Wenn ein Feuerwehrfahrzeug auf die Straße darf, ein Müllfahrzeug seine Runden dreht oder ein Kippfahrzeug auf der Baustelle zum Einsatz kommt, dann steckt dahinter mehr als bei einem gewöhnlichen Personenkraftwagen. Besonders aus der Perspektive der Cybersicherheit: Hinter einem Fahrzeug mit Aufbau verbirgt sich ein komplexes Geflecht aus Verantwortlichkeiten – besonders mit Blick auf den Umgang mit Cybersecurity-Anforderungen und besonders eben auch rund um die Frage der Typzulassung. Die UN Regulation No. 155, kurz UN R155, hat die Spielregeln der Sicherheit in Fahrzeugen mittlerweile fundamental verändert. Sie beschäftigt längst nicht mehr nur die großen Automobilhersteller und ihre klassischen PKW-Serienfahrzeuge. Insbesondere für OEMs, Zulieferer und spezielle Lösungsanbieter von Spezialfahrzeugen gilt es Antworten zu detaillierten Fragestellungen der Cybersecurity-Verantwortung zu finden. Darum soll es in diesem Beitrag gehen.
Manuel Sandler
Wenn ein klassisches PKW-Serienfahrzeug aus dem Werk eines OEMs rollt, sind die Verantwortlichkeiten und Prozesse rund um die ordnungsgemäße Cybersicherheit mittlerweile relativ klar definiert. Anders sieht es aus bei mehrstufig gebauten Nutzfahrzeugen, bei denen verschiedene Akteure im Spiel sind. So liefert etwa ein Fahrzeughersteller ein Grundfahrzeug (häufig Chassis genannt), ein Hersteller von Aufbauten ergänzt dieses mit einer „Funktionalität“ und häufig sind bei beiden Akteuren auch noch viele weitere Zulieferer involviert.
Die erste Frage lautet in so einem Szenario: Wer ist hier jetzt eigentlich der „klassische“ Vehicle Manufacturer, wie ihn die UN R155 adressiert?
Hinter dieser simplen Frage steckt mit Blick auf die UN R155 nicht weniger als die Gesamtfragestellung, wer eigentlich wie welche gesamtheitliche Verantwortung für die Cybersicherheit des Gesamtfahrzeugs (entlang des Produktlebenszyklus) trägt.
Daraus abgeleitet die Folgefrage: Was resultiert daraus konkret für die Entwicklungsarbeiten und den Prozess der Typzulassung?
Bei aller Passion für die formvollendete Berücksichtigung von Cybersicherheit in sämtlichen Entwicklungsarbeiten, letztendlich geht es im gesamten Geltungsbereich der UN R155 in erster Linie stets um die (lokale) Typzulassung. Also die Berechtigung, dass ein Fahrzeug auch auf die Straße darf. Eine organisatorische Fragestellung, die es zu klären gilt.
Der Ausgangspunkt: Was die UN R155 wirklich fordert
Seit Juli 2024 ist die UN R155 für alle neuen Fahrzeugtypen verpflichtend. Die Regulierung verfolgt ein klares Ziel: Fahrzeuge müssen systematisch gegen Cyberangriffe geschützt werden – und zwar über ihren gesamten Lebenszyklus hinweg. Das beginnt in der Entwicklung, setzt sich in der Produktion fort und endet nicht mit der Auslieferung, sondern reicht bis in die Betriebsphase und schließt auch Software-Updates (UN R156) mit ein.
Im Kern verlangt die UN R155 von Fahrzeugherstellern den Aufbau und Nachweis eines Cybersecurity Management Systems, kurz CSMS.
Dieses CSMS ist keine einmalige Zertifizierung, sondern ein lebendiges Managementsystem, das kontinuierlich arbeitet. Es muss dokumentieren, wie das Unternehmen Bedrohungen identifiziert, Risiken bewertet, Schutzmaßnahmen umsetzt und auf Sicherheitsvorfälle reagiert. Die technische Grundlage dafür bildet in der Regel die Anwendung der ISO/SAE 21434, ein international angewandter Industriestandard, der detailliert beschreibt, wie Cybersecurity im Automotive-Bereich umzusetzen ist.
Was bedeutet das konkret?
Ein Fahrzeughersteller muss nachweisen können, dass er sich systematisch mit allen potenziellen Angriffsvektoren beschäftigt hat: vom Infotainmentsystem über drahtlose Schnittstellen wie Bluetooth und WLAN bis hin zu Over-the-Air-Updates, USB-Ports und der Diagnose-Schnittstelle. Jede dieser Schnittstellen könnte theoretisch als Einfallstor für einen Angriff dienen. Das CSMS soll sicherstellen, dass diese Risiken nicht nur einmalig betrachtet, sondern während der gesamten Lebenszeit des Fahrzeugs im Blick behalten werden.
Mehrstufige Typgenehmigung: Wenn mehrere Hersteller an einem Fahrzeug arbeiten
Bei Personenkraftwagen ist die Sache meist einfacher überschaubar. Wenngleich natürlich unzählige Zulieferer involviert sind, gilt: Ein OEM entwickelt und produziert das komplette Fahrzeug, lässt es genehmigen und bringt es auf den Markt.
Doch im Nutzfahrzeugbereich sieht die Realität oft anders aus. Hier ist es üblich, dass Fahrzeuge in mehreren Stufen entstehen.
In der ersten Stufe liefert der Fahrzeughersteller – beispielsweise Daimler Truck, Isuzu oder MAN, Scania (u.a.) – das Grundfahrzeug oder Chassis. Dieses verfügt bereits über alle essenziellen Fahrzeugfunktionen: Motor, Getriebe, Bremssystem, elektronische Steuergeräte, Sicherheitssysteme wie ABS und ESP sowie die grundlegende elektronische Architektur.
Für dieses Grundfahrzeug liegt bereits eine vom OEM erhaltene Typgenehmigung vor, in deren Rahmen der Hersteller des Chassis die Verantwortung für die Erfüllung aller relevanten Cybersicherheits-Anforderungen trägt – einschließlich der möglichen Schnittstellen zu weiteren Use Cases, etwa einem zusätzlichen Aufbau.
In der zweiten Stufe kommt ein Aufbauhersteller ins Spiel, international oft als Bodybuilder bezeichnet.
Dieser ergänzt das Grundfahrzeug mit der spezifischen Funktionalität, die der Kunde benötigt: ein Kippaufbau für Baufahrzeuge, eine Müllpresse für Entsorgungsfahrzeuge, ein Kranaufbau für Nutzfahrzeuge oder eine vollständige Feuerwehrausrüstung. Diese Aufbauten sind oft hochkomplex und verfügen nun wiederum über eigene Steuerungssysteme, Hydraulik, Pneumatik und zunehmend auch elektronische Komponenten.
Und genau an dieser Schnittstelle zwischen Grundfahrzeug und Aufbau entstehen neue Herausforderungen für die Cybersecurity. Deswegen kommt hier zum Tragen: die Erforderlichkeit für ein Multistage Type Approval, eine mehrstufige Typgenehmigung.
Die entscheidende Frage: Wo verläuft die Grenze der Verantwortung?
Die zentrale Frage, die sich nun bei mehrstufigen Zulassungen stellt, lautet: Wann muss der Aufbauhersteller eigene Cybersecurity-Nachweise erbringen, und wann reicht die Typgenehmigung des Grundfahrzeugs aus?
Die Antwort hängt davon ab, wie tief der Aufbau mit der elektronischen Architektur des Grundfahrzeugs verzahnt ist. Dabei geht es nicht nur um eine physische Verbindung, sondern um die Art und Weise, wie der Aufbau mit den Steuerungssystemen des Fahrzeugs kommuniziert.
Fall 1: Der isolierte Aufbau
Betrachten wir zunächst den einfachsten Fall: Beispielsweise ein Kippfahrzeug, das für den Transport von Schüttgut auf Baustellen eingesetzt wird. Der Kippaufbau ist im Wesentlichen ein mechanisches System mit einer hydraulischen Pumpe, die über einen einfachen Schalter gesteuert wird. Die Stromversorgung erfolgt über den standardmäßigen 24-Volt-Anschluss des Fahrzeugs. Es gibt keine Verbindung zum CAN-Bus oder anderen digitalen Kommunikationssystemen des Grundfahrzeugs. Der Aufbau hat technisch gesehen keinerlei Einfluss auf das Fahrzeug-Fahrverhalten bzw. den Chassis an sich.
In diesem Szenario bleibt die Cybersecurity-Verantwortung vollständig beim Hersteller des Chassis.
Der Aufbau interagiert nicht mit den elektronischen Systemen des Fahrzeugs und stellt daher auch kein zusätzliches Cyber-Risiko dar. Die ursprüngliche geltende Typgenehmigung der UN R155 für das Grundfahrzeug ist entsprechend gar nicht betroffen, der Aufbauhersteller muss keine eigenen CSMS-Nachweise erbringen. Natürlich muss der Aufbauhersteller weiterhin seinerseits Sicherheitsanforderungen erfüllen (etwa für isolierte Embedded-Software die Machinery-Direktive), aber aus regulatorischer Fahrzeugcybersicherheits-Perspektive ändert sich nichts.
Fall 2: Die Grauzonen der Vernetzung
Etwas komplizierter wird es, wenn der Aufbau zwar mit dem Fahrzeug kommuniziert, aber nur auf begrenzte Weise. Nehmen wir an, ein Kühlfahrzeug verfügt über ein eigenes Temperaturüberwachungssystem, das Informationen über die Kühlleistung an das Fahrzeug-Display sendet. Diese Kommunikation erfolgt über den CAN-Bus des Fahrzeugs, greift aber nicht aktiv in sicherheitskritische Systeme ein.
Hier bewegen wir uns in einer Grauzone.
Einerseits besteht eine digitale Verbindung zur Fahrzeugelektronik, andererseits erfolgt kein Eingriff in Steuerungs- oder Sicherheitssysteme. In solchen Fällen ist eine Einzelfallprüfung notwendig. Die Technischen Dienste, die für die Typgenehmigung zuständig sind, müssen gemeinsam mit OEM und Aufbauhersteller bewerten, ob durch diese Verbindung neue Cyber-Risiken entstehen.
Oft wird in solchen Szenarien eine Ergänzungsprüfung erforderlich, die bestätigt, dass die zusätzliche Kommunikation keine Sicherheitslücken öffnet.
Fall 3: Die tiefe Integration
Die komplexeste Situation entsteht, wenn der Aufbau aktiv in die Fahrzeugsteuerung eingreift. Ein typisches Beispiel ist ein modernes Müllfahrzeug. Solche Fahrzeuge verfügen über hochentwickelte Presseinrichtungen mit eigenen elektronischen Steuergeräten, den sogenannten Body-ECUs. Diese Steuergeräte müssen aus Sicherheitsgründen mit mehreren Fahrzeugsystemen kommunizieren: Während des Pressvorgangs muss das Fahrzeug stillstehen – die Body-ECU kommuniziert also mit dem Bremssystem und stellt sicher, dass die Feststellbremse aktiviert ist. Gleichzeitig muss das elektronische Stabilitätsprogramm (ESP) über den Vorgang informiert werden, da sich durch die Gewichtsverlagerung während des Pressens das Fahrverhalten ändern könnte. In einigen Fällen muss auch die Motorsteuerung angesprochen werden, um die Hydraulikpumpe mit ausreichend Energie zu versorgen. Ein weiteres Beispiel für einen Eingriff des Müllfahrzeug-Aufbaus in den Antriebsstrang: Stehen Personen hinten auf dem Trittbrett wird diese Information zum Chassis übermittelt – teilweise auch über CAN-Zugriffe.
Diese tiefe Integration bedeutet, dass die Body-ECU direkten Zugriff auf sicherheitskritische Fahrzeugsysteme hat. Damit wird sie selbst zu einem potenziellen Angriffspunkt. Ein Angreifer, der Zugriff auf die Body-ECU erlangt, könnte theoretisch auch auf das Bremssystem oder die Motorsteuerung zugreifen.
In einem solchen Fall reicht die Typgenehmigung des Grundfahrzeugs nicht mehr aus. Der Aufbauhersteller muss entweder ein eigenes CSMS nachweisen oder in das CSMS des OEMs integriert werden.
Exkurs für den Body-Builder im geschilderten Fall: Was ist genau zu tun? Der Bodybuilder muss nun zunächst prüfen, ob die von ihm verwendete Schnittstelle bereits in der Typgenehmigung des Chassis-Herstellers enthalten ist und ob sie dort im Rahmen der Cybersecurity-Bewertung berücksichtigt wurde. Darüber hinaus stellt ein Chassis-Hersteller üblicherweise ein Integrationshandbuch bereit. Dieses beschreibt, wie die Schnittstellen – auch aus Cybersecurity-Sicht – zu verwenden sind. Häufig darf über diese Schnittstellen nur nach vorgegebenen, standardkonformen Spezifikationen kommuniziert werden. Weicht der Bodybuilder davon ab, liegt die Verantwortung für die daraus entstehenden Cybersecurity-Risiken vollständig bei ihm.
Wichtig zu wissen bei einem zweistufigen Type-Approval: Wofür ist der Aufbauhersteller verantwortlich?
Beim zweistufigen Type-Approval trägt der Aufbauhersteller dann nicht nur die Verantwortung für den von ihm gefertigten Aufbau, sondern für das gesamte Fahrzeug. Zwar kann er auf die Typgenehmigung des Chassis-Herstellers verweisen, doch entbindet ihn das nicht von der Pflicht, diese umfassend zu prüfen – einschließlich der darin beschriebenen technischen Schnittstellen und Cybersecurity-Annahmen.
Der Aufbauhersteller muss daher sicherstellen, dass seine Ergänzungen, Systeme und Integrationen vollständig mit den im ersten Schritt genehmigten Anforderungen kompatibel sind und keine neuen Risiken für das Gesamtfahrzeug einführen. Diese Notwendigkeit wird allzu häufig außer Acht gelassen.
Die technische Perspektive: Was bedeutet Integration wirklich?
Um zu verstehen, wann Cybersecurity-Nachweise erforderlich werden, lohnt sich ein Blick auf die technische Ebene. Moderne Fahrzeuge verfügen über eine komplexe elektronische Architektur, oft als E/E-Architektur bezeichnet. Diese Architektur besteht aus verschiedenen Bussystemen und Netzwerken, die unterschiedliche Bereiche des Fahrzeugs verbinden.
Der CAN-Bus ist das am weitesten verbreitete Kommunikationsprotokoll in Fahrzeugen. Er verbindet die verschiedenen Steuergeräte miteinander und ermöglicht es ihnen, Informationen auszutauschen. Dabei wird oft zwischen verschiedenen CAN-Domänen unterschieden: dem Antriebsstrang-CAN, dem HMI-CAN und dem Diagnose-CAN. Modernere Fahrzeuge setzen zunehmend auf Ethernet-basierte Netzwerke, die höhere Datenraten ermöglichen.
Wenn ein Aufbauhersteller sein System mit dem Fahrzeug verbindet, stellt sich die Frage: Mit welcher Domäne wird die Verbindung hergestellt? Eine Verbindung zum HMI-CAN, über den beispielsweise Fensterheber oder Sitzverstellung gesteuert werden, birgt deutlich geringere Risiken als eine Verbindung zum Antriebsstrang-CAN, über den Motor und Bremsen kommunizieren.
Doch selbst diese Unterscheidung greift zu kurz. Denn moderne Fahrzeugarchitekturen sind zunehmend vernetzt, und die Trennung zwischen verschiedenen Domänen wird immer durchlässiger. Ein zentrales Gateway verbindet die verschiedenen Netzwerke miteinander und ermöglicht so eine gesamtheitliche Fahrzeugsteuerung. Das bedeutet aber auch: Ein Angriff auf eine vermeintlich unkritische Komponente könnte über das Gateway zu kritischen Systemen gelangen.
Genau diese Komplexität macht die Bewertung so anspruchsvoll.
Es reicht nicht, nur die direkte Verbindung zu betrachten. Eine vollständige Risikoanalyse, wie sie die ISO/SAE 21434 vorschreibt, muss alle möglichen Angriffspfade berücksichtigen. Diese Analyse nennt sich TARA – Threat Analysis and Risk Assessment. Sie identifiziert potenzielle Bedrohungen, bewertet deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen und definiert angemessene Schutzmaßnahmen. Mit der intelligenten Verschachtelung und dem verzahnten Ineinandergreifen der Cyberrisiko-Analysen und -Bewertungen (über Security-Teams und Organisationsgrenzen hinweg) lassen sich handfeste Entscheidungsgrundlagen erarbeiten.
Die praktische Umsetzung: Zwei Wege zur Compliance
Wenn nun also feststeht, dass ein Aufbauhersteller, wie oben geschildert, in der Pflicht steht, Cybersecurity-Nachweise zu erbringen, stehen ihm grundsätzlich zwei Wege offen.
Möglichkeit 1: Integration in das CSMS des OEMs
Der erste Weg ist die Integration in das bestehende CSMS des Fahrzeugherstellers. In diesem Modell bleibt der OEM die verantwortliche Partei für die Cybersecurity des Gesamtfahrzeugs. Der Aufbauhersteller wird als Teil der Lieferkette behandelt und muss bestimmte Anforderungen erfüllen, die der OEM definiert.
Dieser Ansatz hat mehrere Vorteile: Der Aufbauhersteller muss kein eigenes, umfassendes CSMS aufbauen, was erheblichen Aufwand spart. Die Schnittstellen sind klar definiert, und die Verantwortlichkeiten sind geregelt. Der OEM übernimmt die Gesamtkoordination und stellt sicher, dass alle Komponenten zusammen ein sicheres System bilden.
Allerdings setzt dieses Modell eine enge Zusammenarbeit voraus. Der OEM muss bereit sein, den Aufbauhersteller in seine Prozesse einzubinden. Das bedeutet gemeinsame Risikoanalysen, abgestimmte Entwicklungsprozesse und oft auch vertragliche Vereinbarungen über Verantwortlichkeiten und Haftung. Zudem muss der Aufbauhersteller die Anforderungen des OEMs erfüllen können, was eigene Kompetenzen in der sicheren Entwicklung erfordert.
In der Praxis ist diese theoretische Idee aus diversen Gründen häufig nicht realistisch. Zum einen betriebswirtschaftlich gesehen – Aufbauten sind für die Chassis-Hersteller meist eher ein Nebengeschäft. Zum anderen besteht häufig auch gar kein direktes Vertragsverhältnis zwischen Body- und Chassis-Hersteller, wodurch so eine tiefgehende Öffnung in das eigene technische Wissen und Prozesse als nicht realisierbar anzusehen ist.
Möglichkeit 2: Aufbau eines eigenen CSMS
Der zweite Weg ist der Aufbau eines eigenen CSMS durch den Aufbauhersteller. Dieser Weg ist insbesondere dann erforderlich, wenn der OEM nicht bereit oder in der Lage ist, den Aufbau in sein CSMS zu integrieren, oder wenn der Aufbauhersteller mit verschiedenen OEMs zusammenarbeitet und eine herstellerunabhängige Lösung benötigt.
Ein eigenes CSMS bedeutet, dass der Aufbauhersteller alle Anforderungen der UN R155 selbst erfüllen muss.
Das umfasst die Einrichtung von Prozessen für die Bedrohungsanalyse, die sichere Entwicklung, das Testen auf Schwachstellen, das Management von Sicherheitsvorfällen und die Überwachung während der Betriebsphase. Es erfordert spezialisiertes Personal, entsprechende Tools und oft auch externe Unterstützung durch Cybersecurity-Experten.
Der Vorteil liegt in der Unabhängigkeit. Der Aufbauhersteller kann seine Lösungen flexibel gestalten und ist nicht von den Vorgaben einzelner OEMs abhängig. Gleichzeitig ermöglicht ein eigenes CSMS den Aufbau von Know-how, das langfristig zu einem Wettbewerbsvorteil werden kann.
Hier greift die Anwendung der ISO/SAE 21434, besonders auch mit ihren Clauses zur Cybersecurity auf Organisationsebene (Clause 5) sowie zu vernetzten Cybersicherheitsaktivitäten in der Entwicklung (Clause 7). Eine zentrale Rolle spielt dann das Cybersecurity Interface Agreement (CIA), dass definiert welche Sicherheitsanforderungen gestellt werden, wer welche Informationen über potenzielle Bedrohungen weitergeben werden muss und wie bei Sicherheitsvorfällen (gemeinsam) vorgegangen wird.
Die Lieferkette: Auch Zulieferer sind gefordert
Die skizzierte Komplexität endet nicht beim Zusammenspiel zwischen OEM und Aufbauhersteller. Auch Zulieferer, die Komponenten für Aufbauten liefern, müssen Cybersecurity berücksichtigen. Wenn ein Aufbauhersteller beispielsweise ein Steuergerät von einem Zulieferer bezieht, muss dieser nachweisen können, dass die Komponente nach ISO/SAE 21434 entwickelt wurde.
Das bedeutet: Der Zulieferer muss dokumentieren, welche Bedrohungsanalysen durchgeführt wurden, welche Sicherheitsanforderungen die Komponente erfüllt, welche Tests durchgeführt wurden und welche bekannten Schwachstellen existieren. Diese Informationen sind essenziell für die Risikoanalyse auf Fahrzeugebene.
Für viele kleinere Zulieferer stellt dies eine Herausforderung dar. Sie müssen in Know-how und Prozesse investieren, um die Anforderungen erfüllen zu können. Gleichzeitig wird die Dokumentation zum kritischen Erfolgsfaktor: Selbst eine gut entwickelte Komponente kann nicht verwendet werden, wenn die notwendigen Cybersecurity-Nachweise fehlen. Besonders schwierig ist dies für Zulieferer und Aufbauhersteller, die bislang auf technisch einfache, aber bewährte Steuergeräte setzen. Viele dieser Systeme stammen aus einer Zeit, in der Cybersecurity im Automotive-Umfeld kaum berücksichtigt wurde, und lassen sich nicht ohne Weiteres um moderne Sicherheitsmechanismen wie HSMs erweitern. Ein unmittelbarer Technologiewechsel ist jedoch ebenfalls oft kaum umsetzbar, da er neben erheblichen Investitionen auch tiefgreifende Änderungen in der System- und Softwarearchitektur erfordern würde.
Die Rolle der Technischen Dienste: Neue Prüfmethodik erforderlich
Auch die Technischen Dienste, die für die Typgenehmigung zuständig sind, stehen in diesem Zusammenhang vor neuen Herausforderungen. Bei mehrstufigen Zulassungen sind sie es, die bewerten müssen, ob die Cybersecurity des Grundfahrzeugs durch den Aufbau beeinträchtigt wird. Das erfordert nicht nur ein tiefes Verständnis sowohl der Fahrzeugelektronik als auch der Aufbausysteme, sondern auch für die im Metier gängigen Geschäftsmodelle. (Etwa auch berücksichtigend, dass häufig kein direktes Vertragsverhältnis zwischen Chassis- und Aufbauhersteller existiert.)
Die Prüfung erfolgt in der Regel in mehreren Schritten. Zunächst wird analysiert, ob überhaupt eine Verbindung zur elektronischen Architektur besteht. Falls ja, muss bewertet werden, ob diese Verbindung neue Angriffsvektoren eröffnet. Dazu werden die TARA-Dokumente des OEMs und des Aufbauherstellers herangezogen. Die Technischen Dienste prüfen, ob alle relevanten Bedrohungen berücksichtigt wurden und ob die Schutzmaßnahmen angemessen sind.
In manchen Fällen sind auch praktische Tests erforderlich. Dabei wird überprüft, ob die implementierten Sicherheitsmaßnahmen tatsächlich funktionieren. Beispielsweise könnte getestet werden, ob die Kommunikation zwischen Body-ECU und Fahrzeug ausreichend authentifiziert ist, sodass keine unautorisierten Nachrichten eingeschleust werden können.
Was bedeutet das konkret für die Praxis?
Die Anforderungen der UN R155 im Kontext mehrstufiger Zulassungen mögen zunächst überwältigend wirken. Doch mit der richtigen Herangehensweise lassen sie sich systematisch umsetzen.
Für Chassis-Hersteller bedeutet dies, ihre Rolle neu zu definieren. Sie müssen nicht nur ihr eigenes Fahrzeug absichern, sondern auch die Schnittstellen für Aufbauhersteller klar dokumentieren. Dazu gehört eine präzise Beschreibung, welche Systeme wie angesprochen werden dürfen, welche Sicherheitsanforderungen gelten und welche Informationen ausgetauscht werden müssen. (Besonders auch im Fall eines sicherheitsrelevanten Incidents.) Viele OEMs erstellen inzwischen sogenannte Cybersecurity-Handbücher für Aufbauhersteller, die diese Informationen bündeln.
Für Aufbauhersteller ist zunächst eine ehrliche Bestandsaufnahme erforderlich. Wie tief greift unser Aufbau in die Fahrzeugelektronik ein? Welche Daten werden ausgetauscht? Welche Steuergeräte nutzen wir? Was umfasst der existierende Type-Approval des Chassis-Hersteller? Auf Basis dieser Analyse kann entschieden werden, ob ein eigenes CSMS erforderlich ist oder ob eine Integration in das CSMS des OEMs angestrebt wird.
Unabhängig vom gewählten Weg müssen Aufbauhersteller in Kompetenz investieren. Das kann durch die Einstellung von Fachpersonal, durch Schulungen oder durch die Zusammenarbeit mit spezialisierten Beratungsunternehmen geschehen. Wichtig ist, dass Cybersecurity nicht als lästige Pflicht, sondern als Qualitätsmerkmal verstanden wird.
Für Zulieferer wird die saubere Dokumentation zum entscheidenden Faktor. Komponenten müssen von Anfang an sicher entwickelt werden, und die entsprechenden Nachweise müssen vorliegen. Das betrifft nicht nur die Software, sondern auch die Hardware. Denn auch eine sichere Software kann kompromittiert werden, wenn die zugrunde liegende Hardware Angriffsmöglichkeiten bietet.
Der Blick nach vorne: Cybersecurity als Chance begreifen
Die UN R155 und die damit verbundenen Anforderungen werden häufig, primär einfach aus Ressourcenperspektive, als Belastung wahrgenommen. Doch gerade in Krisensituationen gilt es Investitionen in Cybersicherheit auch aus der Kostenperspektive ganzheitlich zu begreifen.
Für Aufbauhersteller, die frühzeitig in Cybersecurity investieren, können sich neue Geschäftsfelder eröffnen. Wer nachweisen kann, dass seine Systeme höchsten Sicherheitsanforderungen genügen, positioniert sich als Premium-Anbieter. Umgekehrt werden Unternehmen, die das Thema zu lange ignorieren, zunehmend vom Markt ausgeschlossen, da ihre Produkte nicht mehr zugelassen werden können.
Zugleich bietet der Aufbau des notwendigen Cybersecurity-Know-Hows vielen Unternehmen die Chance, ihre internen Prozesse grundlegend weiterzuentwickeln: Weg von einer traditionell Mechanik-zentrierten Arbeitsweise hin zu modernen, softwareorientierten Entwicklungsprozessen. Dadurch entsteht auch die Möglichkeiten ein integriertes Qualitätsmanagementsystem, das Hardware-, Software- und Systementwicklung umfasst auf- und auszubauen – welches wiederum langfristig die Basis für ein nachhaltiges CSMS bildet.
Die Zusammenarbeit zwischen OEMs, Aufbauherstellern und Zulieferern wird intensiver werden müssen. Das mag zunächst mühsam erscheinen, führt aber langfristig zu besseren Produkten und klareren Verantwortlichkeiten. Die Zeit, in der Fahrzeuge nach mechanischen Prinzipien aufgebaut wurden und elektronische Systeme als nachträgliche Ergänzung betrachtet wurden, ist endgültig vorbei.
Cybersecurity ist dabei kein abgeschlossenes Projekt, sondern ein kontinuierlicher Prozess. Neue Bedrohungen entstehen, Angriffsmethoden entwickeln sich weiter, und auch die regulatorischen Anforderungen werden sich fortentwickeln.
Wer heute die Grundlagen schafft – in Form von Prozessen, Know-how und Kooperationen – ist für die Zukunft gut gerüstet. Besonders weil davon auszugehen ist, dass sich auch in diesem Metier Interpretationen der Regulierung, Best Practices und Vorgehensweisen etablieren werden – die mutmaßlich mehr statt weniger Augenmerk auf Cybersicherheit legen werden. Entsprechend ist hier ebenso die UN Regulierung Nr 156 Software Update Management System, auf die gleiche Weise auch für den Aufbauhersteller in Betracht zu ziehen.
