… oder wie der ZDK aus einem VDA-Positionspapier einen digitalen Aftermarket-Horrorfilm macht.
Der Zentralverband Deutsches Kraftfahrzeuggewerbe hat eine Pressemitteilung veröffentlicht, die ungefähr so klingt, als würden deutsche Hersteller planen, nach zehn Jahren kollektiv den Stecker aus Millionen Fahrzeugen zu ziehen, während freie Werkstätten machtlos danebenstehen und der Gebrauchtwagenmarkt in Flammen aufgeht. Der Titel: Ein Branchenbündnis warnt vor dem „Ende des Cyberschutzes bei Kraftfahrzeugen nach zehn Jahren“. Der Anlass: die VDA-Position zum „End of Cybersecurity-Support“, kurz EoCSS. Der Effekt: maximale Alarmwirkung bei sehr begrenzter begrifflicher Präzision.
Das zentrale Problem beginnt schon bei der Zuspitzung. Die ZDK-Mitteilung behauptet, deutsche Hersteller planten, „nach zehn Jahren keine Updates mehr bereitzustellen“. Das klingt knackig, ist aber im beigefügten VDA-Papier so nicht sauber herzuleiten. Der VDA fordert gerade keinen pauschalen Zehn-Jahres-Schalter, sondern eine regulatorische Anerkennung eines EoCSS, der für Fahrzeugtypen und sogar für einzelne Elemente der E/E-Architektur differenziert festgelegt werden können soll. Das Papier spricht ausdrücklich von Kategorien, risikobasierter Behandlung und unterschiedlichen Zeiträumen für aktive und reaktive Maßnahmen. Die berühmte eine Zahl, aus der die Pressemitteilung ihren kleinen Weltuntergang baut, ist im VDA-Dokument jedenfalls nicht der tragende normative Mechanismus.
Noch kurioser wird es beim Begriff „Cyberschutz“. Der ZDK behandelt ihn rhetorisch wie eine Art digitale Airbag-Funktion: entweder vorhanden oder weg. Aber das ist technisch Unsinn. Cybersecurity-Support ist kein einzelner Knopf mit der Beschriftung „sicher“. Der VDA unterscheidet zwischen aktivem Support, reaktivem Support und passiver Produktbeobachtung. Aktiver Support kann Threat Intelligence, Vulnerability Monitoring, Analyse und Risikobewertung umfassen; reaktiver Support kann Einzelfallmeldungen, Händler- und Importeurmeldungen, Kundenbeanstandungen und Behördenbeanstandungen umfassen. Nach EoCSS soll nicht „gar nichts“ passieren, sondern eine passive Produktbeobachtung im Rahmen der allgemeinen Produktbeobachtungspflicht verbleiben. Das kann man kritisieren. Man sollte es aber nicht so darstellen, als würde der Hersteller am elften Geburtstag des Fahrzeugs die Cybersecurity beerdigen und dem Halter eine Kondolenzkarte schicken.
Der eigentliche Konflikt ist real, aber deutlich komplizierter. UN R155 verlangt, dass das CSMS auch die Post-Production-Phase abdeckt. Diese Phase endet nach der Definition erst, wenn keine Fahrzeuge des betreffenden Fahrzeugtyps mehr betrieben werden. Der VDA leitet daraus zu Recht ein Problem ab: Wenn man das streng liest, entsteht eine faktisch unbestimmte Supportpflicht bis zum letzten operierenden Fahrzeug. Das kann Jahrzehnte dauern. Die technische Lieferkette, Standardsoftware, Open Source, Toolchains, Kryptographie, Backend-Infrastrukturen und Fachkräfteverfügbarkeit interessieren sich aber nicht dafür, dass irgendwo in 27 Jahren noch ein einzelnes Fahrzeug im Alltagsbetrieb läuft. Der VDA sagt im Kern: Eine unbegrenzte aktive Cybersecurity-Pflicht ist industriell, technisch und organisatorisch nicht realistisch. Diese These ist nicht absurd. Sie ist sogar der Teil der Debatte, den man ernst nehmen sollte.
Der ZDK macht daraus allerdings einen Verbraucherschutzkrimi: Fahrzeuge könnten trotz technischer Fahrtauglichkeit ihre Betriebserlaubnis verlieren oder nur noch eingeschränkt nutzbar sein. Das ist eine starke Behauptung. In der Pressemitteilung wird sie aber nicht sauber hergeleitet. Weder folgt aus einem definierten EoCSS automatisch der Verlust der Betriebserlaubnis, noch verlangt das VDA-Papier eine pauschale Außerbetriebsetzung alter Fahrzeuge. Der VDA spricht vielmehr davon, nach EoCSS noch passive Produktbeobachtung vorzusehen und aktive beziehungsweise reaktive Maßnahmen vor EoCSS nach Risiko und Architekturkategorie zu differenzieren. Der ZDK argumentiert also mit einer möglichen regulatorischen Folge, als sei sie bereits das erklärte Ziel der Hersteller. Das ist politisch wirkungsvoll, aber analytisch dünn.
Auch die Formulierung, ein Ende der Updates würde „Millionen Fahrzeuge über Nacht entwerten“, ist eine schöne kleine Feuerwerksrakete aus der Lobbykommunikation. Sie leuchtet hell, macht Lärm und verschwindet bei näherem Hinsehen schnell im Rauch. Ein EoCSS wäre gerade kein überraschender nächtlicher Zauberakt, sondern ein definierter Support-Zeitraum. Man kann darüber streiten, wie lang dieser Zeitraum sein muss, wie transparent er kommuniziert wird, welche Mindestpflichten bleiben und ob sicherheitsrelevante Funktionen anders behandelt werden müssen als Komfortdienste. Aber „über Nacht entwertet“ ist eine Überzeichnung. Besonders ironisch: Gerade die Forderung nach unbegrenztem Support kann Fahrzeuge verteuern, weil Hersteller mehr Hardware-Reserve, längere Lieferkettenverpflichtungen, langfristige Toolchain-Konservierung und Supportkapazitäten einpreisen müssten. Der ZDK warnt also vor Kosten für Verbraucher, ohne sauber zu adressieren, dass seine eigene Maximalforderung ebenfalls Kosten produziert.
Der interessanteste Punkt ist aber die eigene Interessenlage des ZDK. Der Verband vertritt das Kraftfahrzeuggewerbe, also unter anderem Werkstätten und Betriebe, die im Aftermarket Leistungen erbringen. Die Pressemitteilung selbst beschreibt das Bündnis als Allianz entlang des Aftermarkets: ZDK, ADAC, Reifenhandel, Kautschukindustrie, Autoglaser und Teilehandel. Außerdem verknüpft sie Cybersecurity ausdrücklich mit diskriminierungsfreiem Zugang zu Fahrzeugdaten, Reparierbarkeit, Teileversorgung, Werkstattpraxis und bezahlbarer Mobilität. Das ist legitim. Aber es ist nicht nur altruistischer Verbraucherschutz in weißem Kittel. Es ist auch knallharte Marktpositionierung. Wer im Aftermarket Geld verdient, hat ein offensichtliches Interesse daran, dass Fahrzeuge möglichst lange reparierbar, nutzbar und wirtschaftlich betreibbar bleiben — und dass Hersteller nicht über Cybersecurity-Architekturen, Softwarezugänge und Supportmodelle die Kontrolle über den Servicekanal verdichten.
Genau deshalb wirkt die Pressemitteilung an einigen Stellen wie ein rhetorischer Doppeldecker. Oben sitzt der Verbraucherschutz: Sicherheit, bezahlbare Mobilität, Gebrauchtwagenmarkt, soziale Teilhabe. Unten läuft der eigentliche Antrieb: Zugang zu Fahrzeugdaten, freie Werkstätten, Teilehandel, Reparaturgeschäft, Wettbewerbsposition im Aftermarket. Das ist nicht verwerflich. Verbände vertreten Interessen. Überraschung: Wasser ist nass, Lobbyisten lobbyieren. Problematisch wird es erst, wenn die eigene ökonomische Interessenlage als reine Sorge um die Verkehrssicherheit verkleidet wird.
Der VDA ist natürlich ebenfalls kein neutraler philosophischer Zirkel. Auch dort geht es um Herstellerinteressen: Begrenzung unbegrenzter Pflichten, planbare Supportkosten, Haftungsbegrenzung, Lieferkettenrealismus, Innovationsfähigkeit. Aber das VDA-Papier ist zumindest in der Struktur näher an der eigentlichen technischen und regulatorischen Frage: Wie lässt sich Cybersecurity über lange Lebenszyklen risikobasiert organisieren, wenn Hardware, Software, Kryptographie, Lieferanten und Angriffslage sich schneller verändern als ein Fahrzeugbestand altert? Die ZDK-Mitteilung hingegen übersetzt diese Frage in: „Die Hersteller wollen nach zehn Jahren keine Sicherheit mehr.“ Das ist kommunikativ effizient, aber fachlich grob.
Die bessere Position wäre: Ja, unbegrenzter aktiver Cybersecurity-Support bis zum letzten Fahrzeug ist technisch und wirtschaftlich kaum haltbar. Nein, daraus darf kein Freibrief entstehen, sicherheitsrelevante Fahrzeugfunktionen nach beliebiger Herstellerlogik aus dem aktiven Support zu entlassen. Ein vernünftiges Modell müsste Mindestlaufzeiten, risikobasierte Verlängerungspflichten, transparente EoCSS-Angaben beim Kauf, Pflichten für kritische Schwachstellen, Datenzugang für unabhängige Reparaturakteure und klare Regeln für das Abschalten nicht notwendiger Onlinefunktionen kombinieren. Das wäre weniger dramatisch als „Sicherheit darf kein Verfallsdatum haben“, aber deutlich brauchbarer.
Am Ende ist die ZDK-Pressemitteilung ein gutes Beispiel für politisches Framing: Man nehme ein echtes regulatorisches Problem, reduziere es auf einen Empörungssatz, stelle den Verbraucher nach vorn, den Aftermarket knapp dahinter und den Hersteller als kalten Support-Abschalter auf die Bühne. Das funktioniert. Es ist nur nicht besonders sauber. Der VDA will nicht den Cyberschutz abschaffen. Er will eine Grenze für aktive Cybersecurity-Pflichten definieren. Der ZDK will nicht nur Verbraucher schützen. Er will auch sicherstellen, dass seine Mitglieder im digitalisierten Fahrzeugmarkt nicht aus der Wertschöpfung gedrängt werden. Beides ist legitim. Aber wer über Cybersecurity im Fahrzeuglebenszyklus spricht, sollte weniger Theaternebel einsetzen und mehr Architektur, Risiko und Rechtsfolgen sauber auseinanderhalten.
