UNECE Regelung 156 zu Software-Update Managementsystemen: : Integration der Anforderungen in einem Prüfkatalog und die Bedeutung für die Kunden-Lieferanten Schnittstelle.

Abstract

Die zunehmende Anzahl an Datenschnittstellen und der große Softwareanteil in Fahrzeugen erhöhen zusehends die Angriffsfläche für sicherheitsrelevante Cyber-Attacken. Die Gesetzgeber reagieren darauf, indem neue Regularien erlassen werden. Dazu zählt die Anfang 2021 von der UNECE verabschiedete Regelung Nr. 156 zu Software-Update Managementsystemen (SUMS). Sie stellt die erste gesetzlich verpflichtende Grundlage zur Implementierung einer zentralen Kontrolleinheit für Software-Updates dar. Während die Regelung einen Anhaltspunkt zur Umsetzung der Anforderungen im Unternehmen bildet, bleibt sie mit ihren konkreten Ausführungen vage. Es besteht daher der Wunsch nach einer Möglichkeit zur Überprüfung der Vollständigkeit, Angemessenheit und Wirksamkeit der angestrebten Lösung. Eine solche Möglichkeit stellen Prüfkataloge dar. Sie sehen die Ausarbeitung eindeutiger und objektiv zu bewertender Prüfkriterien vor. Damit ermöglichen sie eine kosteneffiziente Vorbereitung auf Zertifizierungen. In der vorliegenden Arbeit wird daher ein Prüfkatalog entwickelt, der Unternehmen bei der Konzeption, Implementierung und Aufrechterhaltung eines Software-Update Management Systems unterstützt. Basis für die Entwicklung des Prüfkatalogs sind einerseits verschiedene Normen, Standards und Empfehlungen mit Bezug zu Software-Updates und Informationssicherheit. Daneben bilden bereits bestehende Prüfkataloge zur Informationssicherheit die Grundlage zur Entwicklung einer Struktur und für den Aufbau des Prüfkatalogs zu SUMS. Zur Validierung wird der entwickelte Prüfkatalog mehreren Informationssicherheits-experten der österreichischen EFS Consulting GmbH vorgelegt. Nach umfassender Prüfung des Katalogs erfolgt eine Bewertung durch die Experten mithilfe der System Usability Scale (SUS) Methode. Diese ergab eine hohe Gebrauchstauglichkeit des Prüfkatalogs für die Anwendung in Unternehmen. Die Verwendung des Prüfkatalogs ermöglicht somit eine effiziente Vorbereitung auf eine Zertifizierung gemäß UNECE Regelung Nr. 156 zu Software-Update Managementsystemen. Die Tatsache, dass Softwaresysteme häufig von unterschiedlichen Lieferanten entwickelt und zugekauft werden, stellt eine weitere Herausforderung dar. Unter anderem mithilfe eines Experteninterviews wird daher im Rahmen der Arbeit die Bedeutung der Regelung für die Kunden-Lieferantenschnittstelle untersucht. Dabei zeigt sich, dass zumindest jene Lieferanten zur Einhaltung der Regelung vertraglich verpflichtet werden sollten, die den Fahrzeughersteller mit sicherheitskritischen Bauteilen versorgen.

The growing number of data interfaces and the large amount of software in vehicles are constantly increasing the attack surface for security-related cyber incidents. Legislators are responding to this by enacting new regulations. These include Regulation No. 156 on Software Update Management Systems (SUMS) which was adopted by the UNECE at the beginning of 2021. It represents the first legally binding regulation for the implementation of a central control unit for software updates.While the regulation provides a reference for implementing the requirements in the company, it remains vague with its concrete explanations. Companies therefore strive for a possibility to check the sufficiency, appropriateness and effectiveness of their intended solution. Such a possibility is usually represented by various test catalogs. They provide for the elaboration of unambiguous and objectively assessable test criteria and thus enable cost-efficient preparation for certifications. In this thesis a test catalog is developed to support companies in the design, implementation and maintenance of a Software-Update Management System. The focus is on the operationalization of the requirements from the UNECE regulation. This includes the presentation of the concrete requirement goal and potential requirement proofs. The basis for the development of the test catalog are, on the one hand, various norms, standards and recommendations related to software updates and information security. On the other hand existing test catalogs for information security were used for the development of a structure of the test catalog for Software-Update Management Systems. For validation purposes the test catalog is presented to information security experts from the Austrian company EFS Consulting GmbH. After a comprehensive review of the catalog, the experts evaluated it by using the System Usability Scale (SUS) method. The results show that the test catalog is highly suitable for the use in companies. It thus enables efficient preparation for certification in accordance with the UNECE Regulation No. 156 on Software-Update Management Systems. The fact that software systems are often developed and purchased from different suppliers poses a further challenge. The significance of the regulation for the customer-supplier interface is therefore examined in this thesis with the help of an expert interview. The results of the analysis show that at least those suppliers who are in charge of safety-critical components should be contractually obligated to comply with the regulation.