smartnuts … the world on the cabaret-style dissecting table

Insolvenzvorsorge im Lichte der UN-R155

By Michael Bunzel
In Automotive Cybersecurity
3 Monaten ago
3 Min Read
I

Die UN-R155 hat die Automobilwelt aufgemischt: Sie verpflichtet Hersteller, ein Cybersecurity Management System (CSMS) nachzuweisen, um neue Fahrzeugtypen überhaupt genehmigt zu bekommen. Klingt erstmal nach einem reinen OEM-Thema – doch wer genauer hinsieht, erkennt: Auch Supplier stehen unter Druck.

Denn der OEM trägt die volle Verantwortung für die Cybersicherheit der Lieferkette. Wenn ein Supplier insolvent geht, können Sicherheits-Updates oder Bugfixes plötzlich ins Leere laufen – und das gefährdet nicht nur die Typgenehmigung, sondern auch die Verkehrssicherheit und den Ruf der Marke.

Die UN-R155 sagt zwar nicht explizit: „Supplier, ihr müsst euch gegen Insolvenz absichern“, aber sie fordert indirekt genau das – über den Supply-Chain-Ansatz. Deshalb werden OEMs künftig bei Vertragsverhandlungen immer öfter auf Insolvenzvorsorge-Klauseln pochen.

Praxisbeispiel: Wenn der Update-Kanal plötzlich versiegt

Stellen wir uns vor: Ein Tier-2-Supplier liefert ein zentrales Steuergerät mit eigener Firmware in die Serie. Zwei Jahre später geht der Supplier überraschend in die Insolvenz.

Ergebnis:

  • Update-Server werden abgeschaltet.
  • Bugfixes bleiben aus, obwohl bereits kritische Schwachstellen gemeldet sind.
  • Millionen Fahrzeuge sind plötzlich auf sich allein gestellt – mit potenziellen Angriffspunkten für Hacker.

Der OEM sitzt nun in der Zwickmühle: Ohne Quellcode, Dokumentation oder Rechteübertragung ist er handlungsunfähig. Das CSMS wackelt – und die Typgenehmigungsbehörde stellt unangenehme Fragen.

Genau für dieses Szenario ist Insolvenzvorsorge kein Luxus, sondern eine Notwendigkeit.

Fit für den Ernstfall

1. Quellcode- und Dokumentationssicherung

  • Einrichtung von Quellcode-Escrow-Vereinbarungen mit unabhängigen Treuhändern.
  • Vollständige technische Dokumentation, inkl. Sicherheitsarchitektur, Schnittstellen und Update-Prozessen.
  • Klare Beschreibung, wie Patches und Bugfixes eingespielt werden können.

2. Vertragliche Absicherungen

  • Step-in Rights für den OEM: Recht, bei Ausfall des Suppliers selbst oder über Dritte aktiv zu werden.
  • IP-Rechte-Optionen: OEM erhält Nutzungsrechte an sicherheitskritischer Software.
  • Klare Wartungs- und Supportpflichten, auch im Falle einer Insolvenz.

3. Business Continuity & Risikomanagement

  • Solider Business Continuity Plan (BCP) mit Szenarien für Liquiditätsprobleme.
  • Sicherstellung, dass Cybersecurity-Services (Monitoring, Patches, Incident Response) weiterlaufen – unabhängig von der Finanzlage.
  • Redundante Infrastruktur mit OEM-zugänglichen Backups.

4. Transparenz & Reporting

  • Pflicht zur frühzeitigen Information, wenn wirtschaftliche Probleme drohen.
  • Regelmäßige Bestätigung, dass Cybersecurity-Verpflichtungen eingehalten werden.
  • Offenlegung von Sub-Supplier-Abhängigkeiten, um Kaskadeneffekte zu vermeiden.

5. Technische & organisatorische Maßnahmen

  • Update-Infrastruktur, die im Zweifel auch vom OEM betrieben werden kann.
  • Logging- und Monitoring-Daten in OEM-zugänglichen Systemen.
  • Notfallkontakte und definierte Eskalationsprozesse.

6. Audits & Verifizierbarkeit

  • Zulassung von OEM-Audits zur Insolvenzabsicherung.
  • Periodische Prüfung der Escrow-Daten, Dokumentationen und Recovery-Pläne.

Wenn der Supplier blockt …

Natürlich gibt es Fälle, in denen ein Supplier keine Escrow- oder Step-in-Klauseln akzeptieren will – sei es aus Angst vor IP-Verlust oder weil er sich schlicht im stärkeren Verhandlungshebel sieht.

OEMs haben dann verschiedene Optionen:

  1. Technische Redundanz schaffen: Aufbau einer eigenen Update- und Patch-Infrastruktur beim OEM, auch wenn die Inhalte vom Supplier kommen.
  2. Second Source etablieren: Kooperation mit einem alternativen Supplier, der im Notfall übernehmen kann – auch wenn das teurer ist.
  3. Risikoreserve einkalkulieren: OEM übernimmt bewusst das Risiko, dokumentiert es aber im CSMS und stellt gegenüber Behörden dar, wie er es überwacht und mitigiert.
  4. Politische/legislative Schiene nutzen: OEMs können in Gremien oder mit Behörden darauf drängen, dass insolvenzbezogene Sicherheitsgarantien künftig verpflichtend geregelt werden.

Kurz gesagt: Auch wenn ein Supplier mauert, bleibt der OEM handlungsfähig – muss aber tiefer in die Tasche greifen oder Risiken stärker managen.

Fazit

Die UN-R155 hat den OEMs die Gesamtverantwortung für die Cybersecurity in der Lieferkette aufgebürdet. Doch jeder Supplier, der clever ist, baut Insolvenzvorsorge als festen Bestandteil seiner Compliance-Strategie ein.

Am Ende gilt: Wer dem OEM heute glaubhaft zeigt, dass Updates, Patches und Security-Maßnahmen auch im Insolvenzfall gesichert sind, hat morgen einen klaren Wettbewerbsvorteil.
Und wer es nicht tut? Der könnte irgendwann im Audit nicht nur Insolvenz-, sondern auch Typgenehmigungs-Schweißperlen ins Gesicht treiben.

About the author

Michael Bunzel

Michael Bunzel (aka maschasan) is a lawyer and engineer currently living in Germany. He has been working in the field of Cybersecurity and related laws and regulations for over 25 years now.

Mike took on various roles and functions in the context of Information Security, Cybersecurity, and SCADA/Shopfloor Security at a German car manufacturer in southern Germany for more than fifteen years - currently in the R&D resort, with focus on E/E-systems in the context of automotive cybersecurity and related regulations in different markets (e.g. UN, EU, China, Korea, India, US, and others).

Mike has worked with global organizations across dozens of countries, cultures and languages, well-travelled in EMEIA, APAC and the Americas.

All articles in this blog do NOT reflect the opinion of his employer, but are all an expression of his personal view of things.

View all posts

Read more

The Cyber-Horror-Bus

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity
3 Monaten ago
4 Min Read
T

I’ve in the meantime abandoned the idea of commenting here on everyday goings-on and the general drift of politics. The level of idiocy on the still-open scale of human failure of reason is simply too high, and life is too valuable to squander it in combat with the vassals of unbearable stupidity. One also has to keep in mind that we’re dealing with self-reinforcing echo chambers. Which means the...

Read on

See you at ASCON 2025?

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Personal
3 Monaten ago
5 Min Read
S

Next week I’ll be in Busan/KOREA with my much-appreciated colleague Felix Roth for the 2025 KSNC/ASCON conference on “All about Advanced Vehicles.” We’ll be talking about the challenges and practical ways to run a global CSMS that covers different automotive cybersecurity regulations across the various markets. The automotive industry has reached the point where cybersecurity can no longer be...

Read on

Automotive Post Quantum Cryptography

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Hardware Security, Technology
3 Monaten ago
8 Min Read
A

Warum PQC Für Automotive jetzt Thema ist Vernetzte Fahrzeuge sind längst keine rollenden Inseln mehr. Sie hängen am Backend, nehmen Over-the-Air Updates entgegen, sprechen mit Apps, perspektivisch mit der Verkehrsinfrastruktur und mit anderen Fahrzeugen. Gleichzeitig bleiben sie 10 bis 15 Jahre im Feld. Das ist der zentrale Konflikt. Wir verbauen heute Kryptografie, die unter Umständen im Jahr...

Read on

Cybersecurity Type Approval in Germany: A Layered Guide (As of 2025)

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Law and Legal Action
3 Monaten ago
11 Min Read
C

A Preliminary Note … The motivation for this post was follow-up questions prompted by several more technically focused or legally specific articles that asked for a general discussion of the normative foundations of automotive cybersecurity as a type-approval-relevant element. Here it is. Cybersecurity is now a non-negotiable entry ticket for vehicles in the EU, and Germany enforces it with...

Read on
By Michael Bunzel 4 Monaten ago
smartnuts … the world on the cabaret-style dissecting table

Get in touch

Tags

ACS (4) AI (8) Automotive Chips (2) automotive cybersecurity (3) Big4 (2) Car Hacking (3) China (5) CRA (2) Crypto (3) Cryptographic Keys (2) CSMS (2) Cyberpolitik (4) Data Act (2) Deloitte (2) Döpfner (2) ECU (3) EU (2) EU-Kommission (2) GB/T (2) GB 44495-2024 (5) Glitching Attack (3) Gossenjournalismus (2) Hacker (6) HSM (3) KI (2) Kowalczuk (2) Large Language Models (2) LLM (3) Made in China 2025 (2) McKinsey (2) OEM (3) Ostdeutschland (2) PCB (3) PwC (2) Secure Boot (2) Secure Element (2) Silicon (2) software quality (2) SPD (2) Springer (2) Tamper Resistance (2) Umfallerpartei (2) UN R155 (11) Vehicle Security Measures (2) VO (EU) 2019/2144 (2)

Meist gesehene Beiträge