Ab dem kommenden 6. Juli dürfen Neuwagen, die nicht den UNECE-Normen R155 und R156 entsprechen, nicht mehr verkauft werden. Aber mal sehen, wie diese Regeln aussehen und ob die Heiligen Drei Könige mir den V10 bringen können, den ich mir gewünscht habe ... oder nicht.

Die Norm R155 ist Teil eines von der UNO geförderten Gesetzespakets, soll Fahrzeuge vor möglichen Cyberangriffen schützen und ein effizientes Management von Vorfällen und Schwachstellen gewährleisten, die bis zum Ende der Lebensdauer des Fahrzeugs auftreten können. Mit anderen Worten werden wir weiterhin Software-Updates erhalten, selbst wenn 2 oder 3 Jahre vergangen sind und bereits eine neue Version unseres Modells verfügbar ist, so wie es derzeit geschieht.

R156 legt seinerseits Anforderungen fest, um sicherzustellen, dass diese Soft- bzw. Firmware-Updates sicher durchgeführt werden, d. h. dass kein Cyberkrimineller das Softwarepaket kapern kann, um es zu ändern, bevor es unser Auto erreicht, dass der Softwarecode sicher und ordnungsgemäß geprüft ist und dass das neue Update natürlich keine neuen Risiken oder Schwachstellen enthält.

Ja, ja, das ist alles schön und gut ... aber was ist mit dem 560 PS starken 2015er V10, um den ich die Heiligen Drei Könige in der Erwartung gebeten habe, dass ich dieses Jahr wirklich sehr artig sein werde?

Die Regeln gelten nur für Fahrzeuge, deren Neuzulassung nach Juli 2022 erfolgte, sie gelten also nur für neue Modelle, die nach dem 6. Juli 2024 hergestellt werden. Bei GMV haben wir in diesem Sinne mit einem bekannten Bushersteller zusammengearbeitet, der vier neue Modelle zugelassen hat, bei denen wir verschiedene Aktivitäten durchführen mussten, wie z. B. eine detaillierte Risikoanalyse (TARA) und einen sehr spezifischen Pentest , um zu prüfen, ob die in der TARA identifizierten Risiken korrekt behandelt wurden ... mit anderen Worten, ein Cyberkrimineller konnte nicht an der Haltestelle Plaza de Castilla in Madrid einsteigen, sich mit seinem Kapuzenpulli in die letzte Reihe setzen und einen Denial-of-Service-Angriff auf den gesamten Bus durchführen, so dass wir zu spät im Büro ankommen oder die Heizung hochdrehen, damit wir wie die Hühner schwitzen.

Ich kann also die Heiligen Drei Könige um den 2015 zugelassenen V10 bitten ... auch wenn die Umweltvorschriften in meiner Stadt es mir wahrscheinlich nicht erlauben werden, ihn zu fahren.

Nicht alle Länder haben den verbindlichen Charakter dieser Standards akzeptiert, da sie beispielsweise von Japan und Südkorea problemlos über europäische Länder hinaus übernommen wurden, aber die Vereinigten Staaten orientieren sich stärker an Richtlinien und Standards, die von nationalen und internationalen Organisationen entwickelt wurden, wie z ISO/SAE 21434. Letztendlich bietet uns ISO/SAE 21434 einen detaillierten Rahmen für die Verwaltung der Cybersicherheit in Fahrzeugen während ihres gesamten Lebenszyklus, von der Konstruktion und Entwicklung bis hin zur Produktion, Wartung und Stilllegung nach ihrer Nutzungsdauer.

Es handelt sich in der Tat um eine sehr interessante Norm, obwohl sie im Gegensatz zu ihren Schwestern R155 und R156 keine verbindliche, sondern eine freiwillige internationale Vorschrift ist, die von der Internationalen Organisation für Normung (ISO) und der Society of Automotive Engineers (SAE) ausgearbeitet wurde. Ihre Einführung kann jedoch indirekt durch Vorschriften (z. B. beim Fahrzeugexport nach Europa), Marktanforderungen oder spezifische Verträge in der Automobilindustrie vorgeschrieben oder notwendig sein.

Darüber hinaus hat sich GMV als Vorreiter zu all diesen Normen und Vorschriften geschult und verfügt derzeit über ein leistungsfähiges Team, das die Hersteller beim gesamten Validierungsprozess neuer Fahrzeuge unterstützen kann. Wir können die vom Hersteller bereitgestellten TARA überprüfen und alle erforderlichen Penetrationstests durchführen, um die ermittelten Risiken zu validieren und dabei in vielen Fällen neue, vom Hersteller noch nicht erkannte Schwachstellen finden. Jetzt kommt der lustigste Teil.

Selbstverständlich weist der oben beschriebene 2015er V10 viele Schwachstellen im Fahrzeugnetzwerk auf, die nie gepatcht worden sind ... aber da die Fahrzeuge im Jahr 2015 nicht mit der Außenwelt verbunden waren, ist die effektivste Schutzmaßnahme, die wir anwenden können, niemandem die Schlüssel zu überlassen.

Autor: Carlos Sahuquillo