Während vernetzte Fahrzeuge weltweit eine wesentliche Rolle in modernen Transport- und Verkehrssystemen spielen (werden), bemühen sich Regierungen auf der ganzen Welt, damit einhergehende Cyberrisiken durch wirkungsvolle Regulierungen und Vorschriften einzudämmen. China, einer der wichtigsten Automobilmärkte Asiens, setzt gegenwärtig alles daran, seine eigene Cybersicherheitsregulatorik in diesem Sinne weiterzuentwickeln, um mit globalen Trends und nationalen Prioritäten Schritt halten zu können. Nǐ hǎo GB 44495: Nachfolgend beleuchten wir die neue Cybersicherheitsrichtlinie.
Felix Roth
Die Chinesische Cybersicherheits-Richtlinie GB 44495 wurde im August 2024 offiziell eingeführt. Sie legt Cybersicherheits-Guidelines für den Automobilsektor fest, einschließlich spezifischer Anforderungen an Datenschutz, Bedrohungserkennung und Incident Response, der Reaktionsfähigkeit auf Vorfälle.
Die Verordnung steht für Chinas zunehmende Regulierungsbemühungen in Fragen der Cybersicherheit und Fortführung technologischer Souveränität. Die Richtlinie steht im Einklang mit der weitreichenderen Strategie des Landes für autonome Fahrzeuge und smarte Infrastruktur.
Einerseits enthält die GB 44495 zwar Elemente aus internationalen Regularien und Standards wie der UN Regulierung Nr. 155 und der ISO/SAE 21434:2021, andererseits stellt sie lokalisierte Compliance dar, um den besonderen Markt- und regulatorischen Anforderungen in China gerecht zu werden.
GB 44495 verstehen: Chinas wichtigster Standard für Automotive Cybersicherheit
Beginnen wir mit den Grundlagen. Was bedeutet GB in GB 44495? In China steht GB für „Guobiao“ (国标), was „nationaler Standard“ bedeutet. Diese GB-Standards dienen in China dazu, branchenübergreifend Einheitlichkeit, Sicherheit und Qualität zu gewährleisten. Wichtig zu beachten: Ein GB-Standard kann entweder verbindlich sein oder nur eine Empfehlung darstellen.
Wird das GB von einem „/T“ begleitet, so bedeutet dies, dass es sich bei der Vorschrift “nur” um einen empfohlenen nationalen Standard handelt, dessen Einhaltung jedoch branchenspezifisch von entscheidender Bedeutung ist.
Bitte beachten Sie: Aus Gründen der Einheitlichkeit und Vereinfachung wird die GB 44495 im Folgenden als Regulierung bezeichnet, in Anlehnung an die UN R155-Regulierung. Dies geschieht auch vor dem Hintergrund des verbindlichen Charakters und um Verwechslungen mit nicht-verbindlichen Standards wie ISO/SAE 21434 zu vermeiden.
Die verbindliche Vorschrift GB 44495 dient als wesentliche Regulierung im Rahmen der nationalen Bemühungen Chinas zur Sicherung vernetzter Fahrzeuge und zur Gewährleistung von nachhaltiger Cybersicherheit in einer zunehmend digitalisierten Automobilwelt.
Sie adressiert Cybersicherheitsrisiken, indem sie einen verbindlichen Rahmen für Risk Assessments, Systemintegrität und Schwachstellenmanagement festlegt.
Darüber hinaus bestimmt die GB 44495 Leitlinien, die Automobilhersteller verpflichtend anwenden müssen, um Cyberangriffe zu verhindern, die sowohl die Fahrzeugsicherheit als auch die Privatsphäre der Nutzer gefährden könnten.
Einstieg in die chinesische Standardisierung für Intelligent and Connected Vehicles (ICV)
Die Cybersecurity-Verordnung GB 44495 ist als wichtiger Bestandteil des umfassenderen chinesischen Standardisierungssystems für intelligente und vernetzte Fahrzeuge (Intelligent and Connected Vehicles, ICV) zu sehen.
Dieses gesamtheitliche System ist eine der weltweit ambitioniertesten Standardisierungsbemühungen für vernetzte und autonome Fahrzeuge und soll die sichere und effiziente Integration fortschrittlicher Fahrzeugtechnologien gewährleisten. Chinas Weg zu einem voll entwickelten ICV-Standardsystem begann mit der Veröffentlichung von Entwicklungsrichtlinien bereits im Jahr 2017. Das vollständige Standardisierungssystem soll bis 2030 komplett ausgearbeitet sein.
Entsprechend lohnt es sich also in die Materie einzusteigen. Das ICV-Normensystem ist in drei große Hauptbereiche von Normen und Vorschriften gegliedert:
- 100er Serie: Hier finden sich Basisnormen, die grundlegende Definitionen und zentrale Richtlinien für ICVs abdecken.
- 200er Serie: Hier geht es um allgemeine Spezifikationen, die wesentliche Funktionen wie Cybersicherheit, funktionale Sicherheit und Fahrzeugkommunikation regeln.
- 300er Serie: Hierzu gehören Standards, die sich auf spezifische fortgeschrittene Produkte und Technologien konzentrieren. Sie sollen sicherstellen, dass vernetzte und automatisierte Fahrsysteme harmonisiert sind.
Ein detaillierter Blick auf die GB 44495-2024 Technical requirements for vehicle cybersecurity
In der dargestellten ICV-Struktur ist die GB 44495 in der 200er Reihe der allgemeinen Spezifikationen positioniert. Genauer gesagt in der Kategorie 220, die sich auf Cybersicherheit und Datenschutz konzentriert. Inhaltlich ist klar: Die GB 44495 ist unverzichtbar, um in der Praxis sicherzustellen, dass vernetzte Fahrzeuge effektive Cybersicherheitsmechanismen anwenden, einschließlich eines sicheren Datenmanagements und der Vermeidung von Systemschwachstellen, die zu externen Angriffen führen könnten.
Die 200er Serie selbst ist in mehrere Kategorien unterteilt, um verschiedene Aspekte der Fahrzeugsicherheit abzudecken. Diese sind
- 210: Funktionale Sicherheit
- 220: Cybersicherheit und Datenschutz (einschließlich GB 44495)
- 230: Fahrzeugkommunikation und -integration
Die GB 44495-2024-Zeitachse: Einführung und Deadlines zur Umsetzung
Der Zeitplan für die vollständige Umsetzung der GB 44495-Vorschrift verdeutlicht Chinas ambitionierten Ansatz, Cybersicherheitsmaßnahmen im Automobilsektor schrittweise einzuführen und dann konsequent durchzusetzen:
- 08/2024: Die Vorschrift wurde zusammen mit GB 44496 (Allgemeine technische Anforderungen an Fahrzeug-Software-Updates) und GB/T 44464 (Allgemeine Anforderungen an Fahrzeugdaten) veröffentlicht.
- 01/2026: Die Regelung wird für neue Fahrzeugtypen in Kraft treten.
- 01/2028: Die Regelung wird für alle Fahrzeugtypen verbindlich, wodurch sichergestellt sein soll, dass jedes vernetzte Fahrzeug auf dem Markt diese kritische Cybersicherheitsregelung erfüllt.
Diese Termine stehen im Einklang mit dem allgemeinen Fahrplan Chinas für ICV-Standards, der die Entwicklung von mehr als 100 Standards bis 2025 und 140 Standards bis 2030 vorsieht. Diese Verordnung wird eine Schlüsselrolle beim Schutz von Fahrzeugsystemen und Verbraucherdaten spielen, während China die Schaffung eines vollständig standardisierten ICV-Ökosystems parallel vorantreibt.
UN Regulierung Nr. 155 / UNECE WP.29 vs. Chinas GB 44495: Vergleich, Gemeinsamkeiten und Unterschiede
Sowohl die UN Regulierung Nr 155 als auch die chinesische GB 44495 legen einen Schwerpunkt auf die Durchsetzung wirkungsvoller Cybersicherheitspraktiken rund um vernetzte Fahrzeuge.
Auch wenn die UN R155 und die GB 44495-Regulierung ein gemeinsames Ziel verfolgen, lassen sich insbesondere in Bezug auf die Umsetzung sowohl Unterschiede und Ähnlichkeiten feststellen, welche in drei Hauptbereiche gegliedert werden können:
- Cybersecurity Management System (CSMS),
- Anforderungen an den Fahrzeugtyp
- und die Handhabe rund um unterstützende Dokumente.
Dies nachfolgend im Detail.
UN R155 vs. GB 44495: Cybersecurity Management System (CSMS)
In Bezug auf das Cybersecurity Management System (CSMS) definieren UN R155 und GB 44495 eine recht ähnliche Struktur und Herangehensweise.
So wird in beiden Fällen von den Herstellern die Implementierung und Aufrechterhaltung eines CSMS gefordert, um die Rahmenbedingungen auf Organisations-, Prozess- und Produktebene zu schaffen, um potenziellen Bedrohungen während des gesamten Lebenszyklus eines Fahrzeugs entgegenwirken zu können.
Eine der größten Ähnlichkeiten besteht in den geforderten CSMS-Prozessen, einschließlich der Identifizierung, Bewertung und des Managements von Cyber-Risiken sowie der Umsetzung von Cybersicherheitsmaßnahmen.
Zudem wird in beiden Regelwerken das aus Cybersicherheitssicht elementare Handlungsfeld des kontinuierlichen Monitorings betont, verbunden mit der Notwendigkeit, Cybersicherheitsmaßnahmen zu aktualisieren, wenn neue Bedrohungen auftauchen.
Im Gegensatz zur UN R155 erwähnt die GB 44495 nicht explizit ein Certificate of Compliance (CoC) als notwendigen Nachweis für ein erfolgreich implementiertes und auditiertes CSMS. Während die UN R155 Genehmigungsbehörden und technische Dienste definiert, die die Zertifizierung (siehe auch UN R155 Audit) durchführen, macht die GB 44495 an dieser Stelle keine spezifischen Festlegungen zu den beteiligten Institutionen.
Es wird jedoch auch gemäß der GB 44495 erwartet, dass alle drei Jahre ein erneutes Audit durchgeführt wird, um sicherzustellen, dass die Cybersicherheitsmaßnahmen und -prozesse auf dem neuesten Stand sind.
UN R155 vs. GB 44495: Ein Blick auf den Prozess der Fahrzeugtypgenehmigung und die spezifischen Testfälle
Während der allgemeine Ansatz für die Cybersicherheit von Fahrzeugen zwischen den beiden Regelwerken grundsätzlich übereinstimmt, besteht ein wesentlicher Unterschied bei der Typgenehmigung von Fahrzeugen.
Ganz konkret unterscheiden sich beispielsweise die Anforderungen an einen Fahrzeugtypen, der zur Genehmigung ansteht.
Einer der Hauptunterschiede besteht darin, dass die GB 44495 spezifische Testfälle für den Fahrzeugtypgenehmigungsprozess vorsieht. Dieser Detailgrad ist in der UN R155 so nicht vorhanden.
Diese dedizierten Testfälle sollen dazu beitragen, dass Fahrzeuge strenge Cybersicherheitsgrundsätze erfüllen und nachweislich “real-world” Cyberbedrohungen standhalten können.
Die UN R155 konzentriert sich weniger auf solch dedizierte Tests während der Typgenehmigungsphase, sondern verfolgt einen risikobasierten Ansatz.
UN R155 vs. GB 44495: Guideline für die Auditierung
Die GB 44495 soll durch eine Audit-Guideline (derzeit im Entwurf, Stand Oktober 2024) ergänzt werden, welche konkrete Mindestanforderungen an die Cybersicherheit festlegt.
Dieses Dokument greift die entsprechenden Abschnitte des GB 44495 auf und erweitert sie um sogenannte “Key points” und “Supporting Material”. Das “Supporting Material” kann auch als notwendiger Nachweis angesehen werden, der dem Auditor bei einem Audit vorgelegt werden muss. Es ist zu erkennen, dass einerseits der theoretische Ansatz und andererseits die praktische Umsetzung und Anwendung in Form von “Reports” gefordert wird.
Diese Guideline steht in direktem Zusammenhang mit Clause 5 und anderen Clauses der ISO/SAE 21434:2021, die sich mit Schlüsselbereichen wie Risikomanagement, Bedrohungsanalyse und Schwachstellenbewertungen befassen.
Diese ergänzende Audit-Guideline stellt eine weitere wichtige Unterscheidung zwischen der GB 44495 und der UN R155 dar, da letztere zwar einen ähnlichen Ansatz mit dem Interpretationsdokument bietet, dieses jedoch nicht als verpflichtend, sondern als rein informativ angesehen wird.
- Im August 2024 hat China offiziell die Richtlinie GB 44495-2024 zur Cybersicherheit im Automobilsektor eingeführt, die Leitlinien für die Akteure der Automobilbranche und ihre Produkte im Bereich der vernetzten Fahrzeuge festlegt.
- Die GB 44495 orientiert sich an der UN-Verordnung Nr. 155 und der ISO/SAE 21434, ist aber in spezifischen Anforderungen an die Bedürfnisse des chinesischen Marktes angepasst.
- Ziel der Richtlinie ist es, die Fahrzeugsicherheit im Kontext zunehmender Konnektivität ganzheitlich zu gewährleisten - eingebettet in den breiteren Ansatz der Standardisierungsbemühungen Chinas, der bis 2030 voll entwickelt sein soll.
- Trotz der Anlehnung an internationale Reguarlien und Standards stehen die Akteure der Automobilindustrie vor der Herausforderung, lokalisierte Compliance-Anforderungen entlang chinesischer Anforderungen zu erfüllen.
- Key Learnings
Fazit: Chinas GB 44495 und Auswirkungen auf die Automotive Cybersicherheit von morgen
Die neue Cybersicherheitsrichtlinie GB 44495 zeigt, wie entschlossen auch China auf die wachsenden Herausforderungen der Digitalisierung im Automobilsektor reagiert. Es zeichnet sich ab, dass nicht nur der Datenschutz und die Absicherung vernetzter Fahrzeuge gegen Cyberbedrohungen eine treibende Kraft sind, sondern gleichzeitig wird durch das entstehende Standardisierungssystem deutlich, dass China eine führende Rolle in der globalen Regulierung vernetzter und digitalisierter Fahrzeuge einnehmen möchte.
Auch wenn beispielsweise durch spezifische Testanforderungen innerhalb der Typgenehmigung Unterschiede zur UN R155 deutlich werden, werden zentrale Elemente wie das Cybersecurity Management System (CSMS) übernommen.
Für internationale Automotive-Akteure, Hersteller wie Zulieferer, wird es weiterhin zwingend notwendig sein, sich mit der technologischen Souveränität Chinas auseinanderzusetzen und die lokalisierten Compliance-Anforderungen zu erfüllen, um die Wettbewerbsfähigkeit zu sichern.
