KomNet-Wissensdatenbank
Sind die Kfz-Hersteller verpflichtet, das Cyber-Sicherheitskonzept der einzelnen Fahrzeuge offen zu legen?
KomNet Dialog 43794
Stand: 15.05.2023
Kategorie: Sichere Anlagen / Sicherer Betrieb > Benutzung von Arbeitsmitteln und Einrichtungen > Sichere Benutzung der Arbeitsmittel
Frage:
Die TRBS 1115-1 konkretisiert die BetrSichV hinsichtlich Arbeitsmitteln oder sicherheitsrelevanten MSR-Einrichtungen, die aufgrund vorhandener Schnittstellen (sowohl kabelgebunden als auch kabellos) kompromittiert werden könnten. Prinzipiell würde jedes moderne Firmen-Kraftfahrzeug zu den betroffenen Arbeitsmitteln gehören. Frage: Sind die Kfz-Hersteller verpflichtet, das Cyber-Sicherheitskonzept der einzelnen Fahrzeuge offen zu legen? Oder wie würde man sich dieser Fragestellung am besten nähern?
Antwort:
Im Fall von verwendungsfertigen Arbeitsmitteln, bei denen sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR) Teil des in Verkehr gebrachten Produktes sind, erfolgt die sicherheitstechnische Bewertung durch das jeweilige Produktrecht. Hier ist die Cybersicherheit nicht ausgeklammert, so dass sich der Arbeitgeber – wie bei stationären Arbeitsmitteln auch – auf die Herstellerhinweise, z. B. bezüglich Updates, abstützen kann (siehe TRBS 115-1, 3.3.1 Abs.(2), Nr.1). Die sichere Kommunikation zum Fahrzeug ist damit vom Fahrzeughersteller zu gewährleisten. Bewerten muss der Arbeitgeber allerdings die Bedrohungen für das eigene Netzwerk, wenn Fahrzeuginformationen von Drittanbietern zur Verfügung gestellt werden z. B. als Komfortfunktionen zur Auswertung von Standort, gefahrenen Kilometern, Kategorisierung von Fahrten.