winyu - stock.adobe.com
Wie sich die Compliance im IoT entwickeln wird
Für vernetzte Fahrzeuge entwickeln sich neue Vorgaben und Richtlinien für IT-Sicherheit. Dies kann als Beispiel für die kommende Entwicklung bei der IoT-Compliance gesehen werden.
Autonomes Fahren ist zurzeit eine der revolutionärsten Technologien in der Automobilindustrie: Intelligente und automatisierte Verkehrswegeplanung verringert Staus und sorgt für eine optimierte Fahrzeugauslastung, so der Bundesverband Digitale Wirtschaft (BVDW).
„Deutschland hat mit den Gesetzen zum automatisierten und zum autonomen Fahren von 2017 und 2021 einen international vorbildlichen Rechtsrahmen für innovative Mobilitätstechniken und -anwendungen gesetzt“, so Dr. Gerd Leutner, Mobilitätsexperte im Bundesverband Digitale Wirtschaft. „Die Ausgestaltung der Details führte allerdings im Gesetzgebungsprozess zu Diskussionen und Schwierigkeiten und legte damit offen, wo Unsicherheiten bezüglich technischer Potenziale und Grenzen liegen und fortbestehen.“
Gleichzeitig geht die Entwicklung bei den vernetzten Fahrzeugen aber immer weiter. Ein Beispiel: Mit dem Gemeinschaftsprojekt Automated Valet Parking (AVP) stellte der Verband der Automobilindustrie (VDA) während der IAA Mobility 2021 in München die fahrerlose Parkfunktion vor. In Zukunft werden entsprechend ausgestattete Parkhäuser in der Lage sein, den vollständigen Parkvorgang von Fahrzeugen zu übernehmen, so der VDA.
„Die Grundlage für den automatisierten Parkvorgang schafft eine intelligente Parkhausinfrastruktur, die über eine entsprechende Sensorik und eine Cloud-basierte Datenverarbeitung verfügt. Die sichere Kommunikation zwischen Parkhausinfrastruktur und Fahrzeug erlaubt das sichere Ein- und Ausparken“, erklärte Joachim Damasky, Geschäftsführer des VDA.
Dafür wird ein internationaler Standard über die International Standardization Organisation, kurz ISO, geschaffen. Dieser Standard unter der ISO 23374 soll dafür sorgen, dass die AVP-Funktion zwischen den notwendigen Akteuren funktioniert, dazu zählen die verschiedenen Fahrzeughersteller sowie die Technologie -und Infrastrukturanbieter.
IT-Compliance für Automobile
Nicht nur der neue ISO-Standard für Automated Valet Parking (AVP) wird in Zukunft eingehalten werden müssen. Gerade die IT-Sicherheit muss genauer eingefordert und geregelt werden. Das moderne Auto ist so stark digitalisiert wie nie zuvor, so das BSI (Bundesamt für Sicherheit in der Informationstechnik).
Die IT sorgt dabei nicht nur für das passende Entertainment während der Fahrt, sondern übernimmt längst wichtige Funktionen zur Steuerung des Fahrzeugs. Bremsen, Lenken, Einparken – in naher Zukunft werden Computer das Fahrzeug, auch mit Hilfe künstlicher Intelligenz, vermehrt eigenständig steuern.
Durch die für neue Funktionen nötige Vernetzung vergrößert sich aber automatisch die Angriffsfläche für Cyberangriffe. In seinem Branchenlagebild Automotive fordert das BSI deshalb die Hersteller daher auf, Cybersicherheit frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle zu berücksichtigen.
„Computer sind das Hirn jedes modernen Fahrzeugs und übernehmen längst zentrale Steuerungsfunktionen“, sagte BSI-Präsident Arne Schönbohm. „Wenn Autos mit anderen Autos oder mit der Straßeninfrastruktur vernetzt sind, müssen wir sichergehen können, dass wir beim Fahren vor Manipulationsversuchen Dritter geschützt sind. Cybersicherheit wird dabei genauso wichtig wie funktionierende Bremsen. Wir brauchen einen Crashtest für Cybersicherheit“, so der BSI-Präsident.
Das neue Branchenlagebild Automotive (PDF) des BSI betrachtet deshalb neben der IT im Auto auch die Cybersicherheit der Lieferkette im Herstellungsprozess. So kann unzureichend geprüfte oder manipulierte Hard- oder Software die Sicherheit des Autos einschränken, wenn dies im Produktionsprozess nicht rechtzeitig erkannt wird.
Um die Cybersicherheit für den Wirtschafts- und Automobilstandort Deutschland zu erhöhen, arbeitet das BSI in Fragen der Cybersicherheit eng mit dem Kraftfahrtbundesamt und dem Verband der Automobilindustrie (VDA) zusammen. Mit neuen Regeln in den Bereichen Typgenehmigung und Marktüberwachung sollen beispielsweise das Thema Cybersicherheit in der Fahrzeugentwicklung fest verankert und Risiken besser vorgebeugt werden.
Dieses Vorgehen kann als Beispiel dienen, wie Cybersicherheit im IoT generell erhöht werden kann. Man kann deshalb davon ausgehen, dass es, wo immer möglich, entsprechende Vorgaben für IT-Compliance und IT-Sicherheit auch in anderen Feldern des Internet of Things geben wird, nicht nur bei den vernetzten Fahrzeugen.
Beispiel für die weitere Entwicklung im IoT
Entsprechende Forderungen hat auch der BDI (Bundesverband der Deutschen Industrie e. V.) bereits aufgestellt. Im Jahr 2022 wird jeder Deutsche fast zehn vernetzte Geräte besitzen, so der BDI. Würden diese von Cyberkriminellen gehackt, könnten die Folgen gravierend sein. Neben umfangreichen Cyberangriffen auf kritische Infrastrukturen und Unternehmen werden auch sensible Privat- und Geschäftsdaten zunehmend gestohlen. Daher bedarf es der Einführung horizontaler Cybersicherheitsanforderungen auf Basis des New Legislative Frameworks. Die CE-Kennzeichnung muss für Cybersicherheit stehen, fordert der BDI.
Für Unternehmen sind kohärente gesetzliche Regelungen entscheidend, um die Entwicklung und das Inverkehrbringen von Produkten zu ermöglichen, die den gesetzlichen Anforderungen entsprechen. Der BDI setzt sich daher für die Einführung von horizontalen Cybersicherheitsanforderungen ein, die sich an den Grundsätzen des New Legislative Framework, dem Ordnungsrahmen für die Europäische Produktregulierung, orientieren.
Das New Legislative Framework konzentriert sich auf das Inverkehrbringen eines Produkts auf dem europäischen Binnenmarkt. Ziel ist es, sicherzustellen, dass alle Produkte und Dienstleistungen, die von Herstellern und Importeuren auf dem europäischen Binnenmarkt in Verkehr gebracht werden, den Anforderungen an die Sicherheit entsprechen. Dies trägt zu einer sicheren Inbetriebnahme dieser Produkte bei, so der BDI.
Dabei sollte eine CE-Kennzeichnung auch bedeuten, dass die Cybersicherheit den Vorgaben entspricht. Für Nutzer und Anbieter von IoT-Lösungen ist dies eine wichtige Entwicklung für die Compliance und ohne Zweifel für eine höhere Akzeptanz bei den Kunden, die bei IoT immer auch Risiken für die IT-Sicherheit und Datensicherheit fürchten.