Bei einem Audit nach UN-Regulierung Nr. 155 (kurz UN R155) oder branchenüblich UN R155-Audit, bzw CSMS-Audit, steht ein Fahrzeughersteller vor der Aufabe sein Cybersicherheits-Managementsystem (kurz CSMS) unter Beweis zu stellen. Gemäß UN R155 umfasst dies zwei wesentliche Schritte. In einem ersten Schritt erfolgt ein Audit auf organisationaler Ebene, bei dem implementierte Prozesse einer Bewertung unterzogen werden und das nicht an bestimmte Produkte gebunden ist. In einem zweiten Schritt erfolgt eine produktspezifische Evaluierung, das sogenannte Produkt Assessment. Wenngleich die UN R155 erst seit Juli 2024 für die Typzulassungen aller neuen Fahrzeuge greift, existieren zur Durchführung von UN R155-Audits bereits Best Practices und Empfehlungen.
Manuel Sandler
Weiterhin gilt, dass etliche Akteure, sowohl OEMs und Zulieferer, aber auch prüfende Institutionen, noch immer unsicher sind, welche Maßnahmen und Maßstäbe für ein Audit erforderlich werden. Es besteht Unsicherheit über die Erwartungshaltungen der Auditoren, den erforderlichen Detaillierungsgrad und den genauen Umfang des Audits. Verantwortliche auf Organisations- und Projektebene sind sich häufig unklar, ob ihre Vorgehensweise als angemessen zu bewerten ist oder ob sie vielleicht sogar zu detailliert/überdimensioniert vorgegangen sind. Darüber hinaus besteht intensiver Informationsbedarf auf Seiten der Unternehmen, welche Fragen die Auditoren stellen werden und wie eine adäquate Vorbereitung darauf erfolgen kann.
Da die UN-Regulierung Nr 155 in ihrem vollumfänglichen Anwendungsbereich entlang der gesamten Wertschöpfungskette sowie für benachbarte Fahrzeugindustrien neben dem Auto durchaus noch neu ist, gibt es nur wenige weitläufig bekannte Branchen-Insights rund um das UN R155 Audit. Unternehmen, die das Audit zum ersten Mal durchführen, verfügen häufig über keine Referenz.
Dennoch gibt es Hilfsmittel und Checklisten, die Unternehmen bei der Vorbereitung helfen können. Mit Hilfe dieser Hilfsmittel kann festgestellt werden, ob die getroffenen Maßnahmen ausreichend und logisch kohärent sind, was wesentlich zum Bestehen des Audits beiträgt.
Im Folgenden soll ein aktueller Blick auf vorhandene Checklisten und Tools vorgenommen werden.
KBA Checkliste zum UN R155-Audit
Ein erstes Hilfsmittel ist eine Checkliste, die vom Kraftfahrt-Bundesamt (KBA) herausgegeben wird. Das Kraftfahrt-Bundesamt (KBA) hat einen Katalog mit Mindestanforderungen zur Vorbereitung auf ein Audit für die UN R155 sowie auch bereits für die UN R156 erstellt. Der Katalog vereint Fragen und Anforderungen sowohl für Cybersicherheits-Managementsysteme (CSMS) als auch für Software-Update-Managementsysteme (SUMS). Er ist auf den Internseiten des KBA in deutscher und englischer Sprache frei verfügbar.
Der Ansatz dabei: Jede Frage innerhalb des Katalogs verweist auf Anforderungen, die sich aus den beiden Regulierungen ableiten lassen. So bietet der Katalog Unternehmen die Möglichkeit, vor einem Audit genau zu prüfen, ob sie die notwendigen Anforderungen erfüllen. Die Darlegung der Erfüllung der Anforderungen sollte zudem eine Erläuterung der verwendeten Methoden und Nachweise beinhalten.
Allerdings findet sich in diesem Katalog keinerlei Verweis auf die ISO/SAE 21434.
Der Katalog ist in verschiedene Abschnitte unterteilt, wobei zunächst allgemeine Anforderungen an CSMS und SUMS erörtert werden. Im Anschluss werden Anforderungen an das Risikomanagement, Prozessanforderungen sowie weitere Anforderungen gemäß UNR 156 dargelegt. Darüber hinaus werden auch Themen wie Überwachung und Messung behandelt.
Der Schwerpunkt der Fragen liegt auf dem Risikomanagement. Insbesondere die Fragen in der deutschen Version sind teilweise aber schwer verständlich, weshalb es von Vorteil ist, mit der Terminologie der UN R155 und UN R156 bereits gut vertraut zu sein. Neben den spezifischen Anforderungen zu diesen beiden Themenbereichen gibt es einen Abschnitt mit allgemeinen Anforderungen an ein Managementsystem, die sowohl für die Cybersicherheit als auch für Software-Updates grundlegend sind.
Vor- und Nachteile des KBA-Katalogs zu UN R155/UN R156
Der wesentliche Vorteil des KBA-Katalogs ist zunächst, dass er direkt von einer Approval Authority erstellt wurde, also von der Instanz, die letztendlich entscheidet, was zu erwarten ist. Darüber hinaus ist er die einzige der drei hier vorgestellten Checklisten, die das CSMS mit dem SUMS kombiniert. Dementsprechend wird bei jeder Anforderung auf die Anforderungen der UN R155 und UN R156 verwiesen. Sehr hilfreich ist auch die Unterscheidung, wo konkrete Nachweise gefordert werden und wo Anforderungen durch reine Prozessbeschreibungen abgedeckt werden können. Der KBA-Katalog ist auch der einzige, der explizit nicht cybersecurity-spezifische Anforderungen als Basis fordert und auflistet. Diese sind auch für den initialen Aufbau eines CSMS sehr hilfreich, da so die notwendigen QMS-Grundlagen geprüft werden können.
Neben den positiven Aspekten ist jedoch festzustellen, dass die verwendete Terminologie, insbesondere in der deutschen Fassung, in der Praxis bei verschiedenen Unternehmen bereits zu Irritationen geführt hat.
Auch überschneiden sich die Anforderungen teilweise, so dass der Katalog bei der ersten Anwendung alles andere als selbsterklärend ist.
Wichtig ist auch zu erwähnen, dass der KBA-Katalog ausschließlich auf den UN-Regelungen basiert und die ISO/SAE 21434 oder andere relevante Normen und Standards nicht nennenswert berücksichtigt.
Dementsprechend sollte er auch ausschließlich zur Vorbereitung auf ein UN 155/156 Audit und nicht für ein ISO/SAE 21434 Audit verwendet werden. Er ist daher in erster Linie nur für OEMs und nicht für Zulieferer interessant. Abschließend bleibt zu erwähnen, dass der KBA-Katalog in erster Linie vom KBA in Zusammenarbeit mit verschiedenen TÜV-Institutionen verwendet wird und daher (möglicherweise noch) nicht international etabliert ist.
VDA Automotive Cybersecurity Management System Audit
Die zweite Checkliste, die wir betrachten, stammt vom Verband der Deutschen Automobilindustrie (VDA) und seinem Qualitätsmanagement-Center (QMC). Sie trägt den Titel “Automotive Cyber Security Management System Audit“. Der Ansatz ähnelt dem des KBA.
Die Checkliste umfasst allgemeine Anforderungen und Definitionen an ein Cyber Security Management System. Dazu gehören Anforderungen an Auditoren, der Prozessablauf, ein Bewertungssystem (für jede Frage und für das Gesamtergebnis) und vor allem ein Fragebogen.
Dieser Fragebogen ist in neun Hauptthemen unterteilt:
- Cyber Security Management
- Risikoidentifikation
- Risikobewertung und -kategorisierung
- Konsistenzprüfung
- Cyber Security Spezifikation
- Verifikation, Validierung und Freigabe
- Aktualisierung der Risikobewertung
- Incident Response und Berichterstattung an Behörden
- Cyber Security Management in der Lieferkette
Zu jedem Thema gibt es Fragen und dazu gehörende Mindestanforderungen. Diese basieren sowohl auf der UNR 155 als auch auf der ISO/SAE 21434, jedoch ohne direkten Verweis auf die spezifischen Requirement-IDs im offiziellen Dokument des Standards bzw. der Regulierung.
Der Katalog kann analog verwendet werden, indem Fragen und Mindestanforderungen betrachtet werden und anhand von Nachweisen aufgezeigt wird, wie das eigene Cyber Security Management System diese erfüllt.
Wichtig ist, dass sich der Katalog ausschließlich auf ein Cyber Security Management System bezieht und nicht auf das Software Update Management. Zusätzlich gibt es einen Leitfaden für Auditoren und ein Glossar.
Im Gegensatz zum KBA-Katalog ist dieser jedoch kostenpflichtig.
Vor- und Nachteile des VDA Automotive CSMS Audit-Katalogs (“Rotbuch”)
Der Detaillierungsgrad des VDA-Dokuments stellt eine gute Mischung aus fachlicher Tiefe und Übersichtlichkeit dar. Wie bereits erwähnt, enthält es auch weitere vertiefende Informationen zum Audit, die auch für die generelle Durchführung interner Audits hilfreich sein können.
Das vorgeschlagene Bewertungsschema gewährleistet zudem eine einheitliche Bewertung. Da es sowohl Aspekte des Standards als auch der Regularie verwendet, kann es sowohl für die Vorbereitung eines ISO/SAE 21434-Audits als auch eines UN R155-Audits verwendet werden.
Demgegenüber ist anzumerken, dass diese Veröffentlichung zwischenzeitlich vom VDA offiziell zurückgezogen wurde. Die Gründe hierfür sind öffentlich nicht ganz transparent, es wird jedoch auf andere existierende Normen verwiesen. Ein weiterer Nachteil ist, dass das Dokument vor allem auf dem deutschen Markt bekannt war und international wenig Beachtung fand. Auch die Tatsache, dass das Dokument kostenpflichtig war, war ein Grund für die Nichtnutzung durch viele Unternehmen.
ENX Vehicle Cybersecurity (VCS) Audit Scheme
Als letztes betrachten wir das Vehicle Cyber Security Audit Schema der ENX Association, um zu sehen, wie es ein UN R155-Audit unterstützen kann. Die ENX, bekannt für TISAX, erkannte die große Nachfrage nach Zertifizierungen gemäß ISO/SAE 21434 und die sich daraus ergebende Herausforderung, dass Zertifizierungsergebnisse schwer vergleichbar sind, insbesondere im internationalen Kontext und angesichts der zahlreichen akkreditierten Zertifizierungsstellen. Dies war einer der Ausgangspunkte für die Entwicklung eines einheitlichen Rahmenwerks für branchenspezifische Cyber Security Audits.
Eine Projektgruppe erarbeitete einen detaillierten Katalog auf Basis verschiedener Standards und Regelwerke. Ziel war es, ein einheitliches Bewertungsschema für Cyber Security zu schaffen.
Das Ergebnis ist eine Excel-Datei, die heute auf den ENX-Internetseiten frei verfügbar ist.
Im Vergleich zum KBA-Katalog und dem VDA-Audit ist dieses Schema deutlich umfassender. Es betrachtet Cyber Security ganzheitlich und nicht nur isoliert in Bezug auf Regularien. Es zielt darauf ab, Unternehmen und Produkte sicherer zu machen und nicht nur schnell und einfach Audits zu bestehen.
Die Inputs für das Vehicle Audit Scheme umfassen die ISO/SAE 21434, UN R155 und weitere Standards. Dazu gehören die Control Questions des VDA zu Information Security Assessments und Auszüge aus der ISO 19011. Auch die ISO PAS 5112 Road Vehicles Guidelines for Auditing Cyber Security Engineering wird verwendet. Ein Positionspapier des VDA zum Development Interface Agreement sowie weitere VDA-Papiere sind ebenfalls enthalten. Das VDA Automotive Cyber Security Management System Audit ist ebenfalls Bestandteil des Schemas.
Der Audit-Katalog ist in verschiedene Hauptthemen unterteilt:
- Organisational Cyber Security, Human Resources incl. Cyber Security Culture, Risk Management, interne Assessments, Konzept- und Produktentwicklungsphase, Nachentwicklungsphase (ohne Operations Maintenance), Operation Security, Incident Management und Supply Chain.
Zu jedem Kapitel gibt es Fragen mit Zielen und Anforderungen, die entweder obligatorisch oder optional sind. Darüber hinaus gibt es zusätzliche Informationen, Empfehlungen und Beispiele sowie eine Liste möglicher Nachweise zur Unterstützung für Unternehmen.
Insgesamt ist der Katalog mit fast 100 verschiedenen Anforderungen, auf rund 20 bis 25 Fragen verteilt, sehr umfangreich, wobei die Anforderungen immer auf die entsprechenden Anforderungen in der Regulatorik/im Standard verweisen.
Vor- und Nachteile des ENX Vehicle Cybersecurity (VCS) Audit Scheme für Cybersecurity-Audits
Im Vergleich zu anderen Katalogen ist das ENX Audit Scheme deutlich umfangreicher und betrachtet Cybersicherheit als Ganzes. Ein weiterer Vorteil ist, dass neben der ISO/SAE 21434 auf verschiedene Standards verwiesen wird, inklusive konkreter Links zu den entsprechenden Anforderungen.
Somit kann er sowohl zur Vorbereitung auf ein UN R155-Audit als auch für Audits nach ISO/SAE 21434 verwendet werden.
Neben den Anforderungen enthält der Katalog auch Beispiele und Empfehlungen, so dass auch erfahrene Cyber Security Manager profitieren und lernen können.
Wichtig zu erwähnen ist auch die Praxisperspektive: Verschiedene Unternehmen aus der Branche (sowohl auf Hersteller- als auch auf Lieferantenseite) waren an der Erstellung beteiligt. Das Dokument deckt somit verschiedene Perspektiven der Branche ab.
Vielleicht ist es eine Frage der persönlichen Präferenz, ob man einen minimalen oder einen umfassenden Ansatz bevorzugt – der ENX-Katalog verfolgt definitiv einen umfassenden Ansatz, der für kleinere Unternehmen überladen und damit überfordernd wirken kann.
In der Tat ist der Katalog umfangreich und für kleinere Organisationen möglicherweise zu komplex. Er richtet sich eher an größere Unternehmen mit vielen Entwicklern und entsprechenden Prozessen als an kleine Hersteller von Nischenprodukten.
Dennoch ist das vermittelte Wissen für jeden, der sich mit einem Cyber Security Management System oder einem Audit beschäftigt, sehr hilfreich. Daher kann für die Praxis durchaus empfohlen werden, den Katalog zu prüfen und gegebenenfalls für den eigenen Kontext zu reduzieren, anstatt ihn von vornherein auszuschließen.
Der Katalog ist frei verfügbar und basiert auf aktuellen Normen und Regelwerken, was ebenfalls für seine Anwendung spricht. Allerdings ist er im Vergleich zum KBA-Katalog deutlich aufwändiger zu bearbeiten.
Fazit zu Checklisten für UN R155-Audits
Die Wahl des geeigneten Katalogs als Checkliste für ein UN R155-Audit hängt letztlich von den Rahmenbedingungen des eigenen Unternehmens sowie dem Ziel der Übung ab. Für Unternehmen, deren primäres Ziel die Erlangung des Certificate of Compliance mit begrenzten Ressourcen ist, empfiehlt sich der KBA-Katalog. Wenn Cybersecurity langfristig und möglichst umfassend adressiert werden soll, ist sicherlich das ENX-Schema zu empfehlen. Das VDA-Dokument ist ein guter Mittelweg dazwischen, sollte aber aufgrund der zurückgezogenen Veröffentlichung eher als internes Hilfsmittel und weniger für den Austausch mit dem Technischen Dienst bzw. der Genehmigungsbehörde gesehen werden.
Unabhängig davon, für welchen Katalog man sich entscheidet, wird für das UN R155 Audit dringend empfohlen, jede einzelne Anforderung schriftlich zu beantworten und zu begründen.
Diese Vorgehensweise ermöglicht es in jedem Fall, den gegebenen Herausforderungen auf den Grund zu gehen und sowohl die Konsistenz als auch die Robustheit des eigenen Ansatzes gegenüber einem möglichen Auditor zu überprüfen.
Denn das ist das Erfolgskriterium für das Bestehen eines UN R155-Audits, nicht die verwendete Checkliste.