Weckruf aus Washington

US legal

Die US-Legislative nimmt Fahrt auf, und ihr Ziel ist die automobile Zukunft des Landes. Am 6. September passierte Gesetzesvorlage H.R. 3388 – der Self Drive Act – das Repräsentantenhaus. Bei Inkrafttreten würde IT-Security für Autos, die über Systeme für automatisiertes Fahren verfügen, zur zwingenden Zulassungsvoraussetzung in den USA.

Der Self Drive Act visiert gesetzlich verbindliche Standards für autonomes und automatisiertes Fahren an. Dem Thema Automotive Cybersecurity widmet der Gesetzestext dabei ein eigenes Kapitel. Alle Hersteller von Fahrzeuge, die Assistenzsysteme für automatisiertes Fahren an Bord haben, werden demnach verpflichtet, einen so genannten „Cybersecurity Plan“ zu entwickeln. Im Gesetzestext explizit empfohlen werden Intrusion Detection and Prevention Systems (IDPS) zur Angriffsüberwachung und Absicherung wichtiger Steuerelemente sowie Test- und Monitoring-Routinen und regelmäßige Updates.

Der Gesetzentwurf verlangt einerseits Embedded Security-Lösungen, ein leistungsfähiges Backend und stetige Anpassung der Cybersecurity-Komponenten an die sich ständig ändernde Gefahrenlandschaft. Er fordert aber auch ausdrücklich eine organisatorisch verankerte Security Policy, die Verantwortlichkeiten und Zugang zu sensiblen Daten genau definiert.

Solche Security-Maßnahmen sollen auch für Autos vorgeschrieben sein, bei denen Fahrerassistenzsysteme nur Einzelaufgaben übernehmen. Die Gesetzesvorlage spricht hier von „Partial Driving Automation“, lässt aber einstweilen offen, was genau damit gemeint ist. Voraussichtlich werden bereits Fahrzeuge mit automatischer Einparkhilfe oder einem Stauassistenten ohne den gesetzlich geforderten „Cybersecurity Plan“ künftig zum US-Markt keinen Zugang mehr erhalten.

Dass das Gesetz in den USA in Kraft tritt, ist wohl nur eine Frage der Zeit. Derzeit liegt es zur Prüfung beim Senatsausschuss für Handel, Wissenschaft und Verkehrswesen (Committee on Commerce, Science, and Transportation). Aller Voraussicht nach wird der Senat dem Self Drive Act – vorbehaltlich möglicher Änderungen – am Ende zustimmen. Der Weckruf aus Washington ist also deutlich vernehmbar. Es wäre unklug, ihn zu überhören.

Vor diesem Hintergrund bietet ESCRYPT ein umfassendes Strategic Automotive Security Consulting an. Laufende Informationen zur bestehenden Rechts- und Bedrohungslage sowie die Auswertung aktueller Veröffentlichungen und sicherheitsrelevanter Vorkommnisse sind hier wichtige Bausteine. Das übergeordnete Ziel von ESCRYPT ist, den OEM ganzheitlich, über alle Instanzen hinweg zu begleiten – ausgehend von seiner individuellen Situation hin zu Automotive Security auf Benchmark Level. Dazu gehört nicht nur der zielgerichtete Einsatz von Security-Lösungen wie Hardware Security Modulen, sicheren Protokollen zur Datenübertragung, Key Management und Intrusion Detection and Prevention Systems. Mindestens ebenso wichtig ist die Implementierung und Orchestrierung von Security-Prozessen über die gesamte Organisation hinweg und entlang des gesamten Fahrzeug-Lebenszyklus – und zwar unter Einbeziehung aller internen und externen Stakeholder.

Idealerweise ist Automotive Security als Ganzes dann mehr als die Summe seiner Teile. Die Denk- und Handlungsweise, die die US-Legislative in ihrem Gesetzentwurf einfordert, ist bei ESCRYPT heute bereits gelebte Praxis.

Language:
ISO 9001:2015 Home