China macht mit der Veröffentlichung eines neuen Standards, GB 44495-2024, Fortschritte bei der Cybersicherheit von Fahrzeugen. Diese neue Vorschrift orientiert sich an internationalen Richtlinien wie UNECE R155 und ISO/SAE 21434, führt aber zusätzlich einzigartige, auf den chinesischen Markt zugeschnittene, Anforderungen ein.
Worum geht es bei GB 44495-2024?
GB 44495-2024 konzentriert sich auf zwei Hauptbereiche zur Verbesserung der Cybersicherheit von Fahrzeugen in China:
- Cybersecurity Management System (CSMS): Diese Anforderung stellt sicher, dass Unternehmen über robuste Prozesse verfügen, um Cybersecurity-Risiken über den gesamten Lebenszyklus eines Fahrzeugs hinweg zu managen, von der Konstruktion bis zur Außerbetriebnahme.
- Technische Anforderungen für Fahrzeuge: Hierbei handelt es sich um spezifische Regeln und Tests, mit denen bewertet werden soll, ob ein Fahrzeug die erforderlichen Cybersicherheitsstandards erfüllt. Es enthält eine Checkliste von Tests, die Hersteller durchführen müssen, um die Sicherheit ihrer Fahrzeuge zu überprüfen.
Wie sehr ähneln sich GB 44495-2024 und UNECE R155/ ISO/SAE 21434?
GB 44495-2024 ist nicht nur eine nationale Vorschrift, sondern orientiert sich eng an den globalen Standards, um Konsistenz zu gewährleisten.
- CSMS-Anforderungen: Sowohl UNECE R155 als auch ISO/SAE 21434 verlangen ein starkes Cybersicherheitsmanagementsystem. Dazu gehört die Schaffung von Prozessen und Systemen zur Verwaltung von Cybersicherheitsrisiken während des gesamten Lebenszyklus eines Fahrzeugs. Der chinesische Standard folgt diesem Prinzip, hat aber eine eigene Reihe von Kriterien für in China tätige Unternehmen.
- Risikomanagement: Genau wie ISO/SAE 21434 betont auch GB 44495-2024 die Bedeutung des Risikomanagements. Dazu gehören eine kontinuierliche Überwachung, Risikobewertungen und Reaktionsmaßnahmen, um sicherzustellen, dass Fahrzeuge auch dann sicher bleiben, wenn neue Bedrohungen auftauchen.
Hauptunterschiede zur UNECE R155
Trotz der Angleichung an internationale Richtlinien führt GB 44495-2024 einige einzigartige Elemente ein, die sie von der UNECE R155 unterscheiden.
CSMS-Audit vs. Zertifizierung:
- GB 44495-2024: Unternehmen müssen ein CSMS-Audit bestehen, um die Einhaltung der Cybersicherheitsstandards nachzuweisen. Im Gegensatz zu UNR155 führt dieses Audit jedoch nicht zu einem Zertifikat. Dieses Audit dient als technische Richtlinie und hat keine rechtliche Wirkung, es sei denn, es wird in das chinesische System der obligatorischen Zertifizierung (CCC) aufgenommen. Außerdem ist keine dreijährige Erneuerung oder ein Folgeaudit erforderlich.
- UNR155: Verlangt von Unternehmen, ein CSMS-Zertifikat zu erhalten, das alle drei Jahre erneuert werden muss. Dieser Prozess umfasst laufende Kontrollen und Folgeaudits zur Aufrechterhaltung der Zertifizierung.
Spezifische Testanforderungen:
- GB 44495-2024: Listet 27 spezifische Cybersicherheitstests auf, die Hersteller durchführen müssen. Diese Tests decken verschiedene Aspekte der Cybersicherheit von Fahrzeugen ab, darunter externe Verbindungen, Kommunikationssysteme, Software-Updates und Datensicherheit. Zu jedem Test gibt es ausführliche Anweisungen, wie er durchgeführt werden kann.
- UNR155: Stellt keine detaillierte Liste der erforderlichen Tests zur Verfügung, sondern überlässt es den Unternehmen, wie sie die Norm erfüllen. Dies bietet mehr Flexibilität, erfordert aber auch, dass die Unternehmen ihre eigenen Testprotokolle entwerfen.
Regeln für die Verlängerung von Fahrzeugzulassungen:
- GB 44495-2024: Führt strenge Regeln für die Ausweitung von Cybersicherheitszulassungen auf andere Fahrzeugmodelle ein. Wenn es Unterschiede zwischen den Modellen gibt, müssen die Hersteller eine Risikobewertung durchführen und sich möglicherweise zusätzlichen Tests unterziehen, bevor eine Zulassung erteilt werden kann.
- UNR155: Bietet flexiblere Richtlinien für die Erweiterung von Zulassungen, mit weniger spezifischen Bedingungen für die Behandlung von Abweichungen zwischen Modellen.
Auswirkungen für Hersteller
Die Einführung von GB 44495-2024 wird erhebliche Auswirkungen auf die Automobilhersteller haben, insbesondere auf diejenigen, die auf den riesigen und wachsenden chinesischen Markt abzielen. Fahrzeuge in China werden von einem stärkeren Schutz vor Cyber-Bedrohungen profitieren, was die Sicherheit der Verbraucher erhöht. Die Hersteller müssen diese neuen Standards einhalten, was Investitionen in neue Prozesse und Technologien erfordern kann, um den Zugang zu diesem wichtigen Markt zu wahren.
Testliste
Network Entry Protection
Verhindern Sie den unbefugten Zugriff auf Fahrzeugnetzwerke.
Remote Access Security
Schützen Sie sich vor unbefugten Fernzugriffsversuchen.
Data Transmission Encryption
Verhindern Sie den unbefugten Zugriff auf Fahrzeugnetzwerke
Firmware Update Security
Sichern Sie den Prozess der Firmware-Aktualisierung.
Malware Detection
Identifizieren und entschärfen Sie Malware-Bedrohungen.
Data Storage Security
Schützen Sie sensible Daten, die gespeichert werden.
Vehicle Network Isolation
Unterscheiden Sie zwischen kritischen und nicht kritischen Netzwerken.
Wireless Communication Security
Schützen Sie drahtlose Kommunikationsprotokolle.
Anomaly Detection
Identifizieren Sie ungewöhnliches Verhalten innerhalb des Systems.
System Redundancy
Sorgen Sie für betriebliche Kontinuität durch redundante Systeme.
Cryptographic Key Management
Verwalten Sie kryptografische Schlüssel sicher.
Physical Access Control
Schränken Sie den physischen Zugang zu kritischen Systemen ein.
Vehicle Immobilization
Verhindern Sie das unbefugte Sperren von Fahrzeugen.
End-of-Life Security
Erhalten Sie die Sicherheit während des gesamten Lebenszyklus des Fahrzeugs.
External Connection Security
Sichern Sie USB-, Wi-Fi- und Bluetooth-Schnittstellen.
Authentication Mechanism
Implementieren Sie starke Benutzerauthentifizierungsverfahren.
Data Integrity Check
Beugen Sie unauthorisierten Datenänderungen vor.
Software Integrity Check
Vergewissern Sie sich, dass die Integrität der Software intakt ist.
Incident Response
Erarbeiten Sie wirksame Reaktionen auf Cybersicherheitsvorfälle.
Access Control
Beschränken Sie den Systemzugriff auf Basis von Benutzerrollen.
Inter-Module Communication Security
Sichere Kommunikation innerhalb interner Systeme.
Cybersecurity Logging
Führen Sie Protokolle von Cybersecurity-Ereignissen zu Prüfzwecken.
DoS Protection
Implementieren Sie Verteidigungsmaßnahmen gegen Denial of Service-Angriffe.
Security Patch Management
Wenden Sie Sicherheits-Patches rechtzeitig an.
Third-Party Component Security
Überprüfen Sie die Sicherheit der Komponenten von Drittanbietern.
User Data Privacy Protection
Schützen Sie die Privatsphäre der Benutzerdaten.
Supply Chain Security
Sichere Komponenten in der gesamten Lieferkette.
Fazit
GB 44495-2024 hilft China, die Lücke in der Cybersicherheit von Fahrzeugen zu schließen, indem es sich an internationale Standards anpasst und gleichzeitig marktspezifische Anforderungen hinzufügt. Da sich die Automobilindustrie ständig weiterentwickelt, wird die Einhaltung dieser neuen Vorschriften für die in China tätigen Hersteller entscheidend sein.
dissecto HydraVision vereinfacht diesen Compliance-Prozess. Unsere intelligente Sicherheitstestumgebung ermöglicht es Herstellern und Zulieferern, Cybersicherheitstests für ihre Produkte automatisch und aus der Ferne durchzuführen. Wir entwickeln kontinuierlich Testfälle für neue Bedrohungen, die von Entwicklern, dissecto Research oder Dritten wie Auto-ISAC gemeldet werden. Mit dissecto HydraVision erhalten Sie die volle Transparenz und Kontrolle über alle Plattformkomponenten und stellen sicher, dass Ihre Fahrzeuge konform und sicher gegen neue Bedrohungen sind.
Sie haben Fragen oder benötigen Unterstützung?
Wir sind für Sie da! Wenden Sie sich an unseren Experten, wenn Sie Fragen zu dissecto HydraVision oder unseren anderen Dienstleistungen haben: