smartnuts … the world on the cabaret-style dissecting table

Insolvenzvorsorge im Lichte der UN-R155

By Michael Bunzel
In Automotive Cybersecurity
4 Monaten ago
3 Min Read
I

Die UN-R155 hat die Automobilwelt aufgemischt: Sie verpflichtet Hersteller, ein Cybersecurity Management System (CSMS) nachzuweisen, um neue Fahrzeugtypen überhaupt genehmigt zu bekommen. Klingt erstmal nach einem reinen OEM-Thema – doch wer genauer hinsieht, erkennt: Auch Supplier stehen unter Druck.

Denn der OEM trägt die volle Verantwortung für die Cybersicherheit der Lieferkette. Wenn ein Supplier insolvent geht, können Sicherheits-Updates oder Bugfixes plötzlich ins Leere laufen – und das gefährdet nicht nur die Typgenehmigung, sondern auch die Verkehrssicherheit und den Ruf der Marke.

Die UN-R155 sagt zwar nicht explizit: „Supplier, ihr müsst euch gegen Insolvenz absichern“, aber sie fordert indirekt genau das – über den Supply-Chain-Ansatz. Deshalb werden OEMs künftig bei Vertragsverhandlungen immer öfter auf Insolvenzvorsorge-Klauseln pochen.

Praxisbeispiel: Wenn der Update-Kanal plötzlich versiegt

Stellen wir uns vor: Ein Tier-2-Supplier liefert ein zentrales Steuergerät mit eigener Firmware in die Serie. Zwei Jahre später geht der Supplier überraschend in die Insolvenz.

Ergebnis:

  • Update-Server werden abgeschaltet.
  • Bugfixes bleiben aus, obwohl bereits kritische Schwachstellen gemeldet sind.
  • Millionen Fahrzeuge sind plötzlich auf sich allein gestellt – mit potenziellen Angriffspunkten für Hacker.

Der OEM sitzt nun in der Zwickmühle: Ohne Quellcode, Dokumentation oder Rechteübertragung ist er handlungsunfähig. Das CSMS wackelt – und die Typgenehmigungsbehörde stellt unangenehme Fragen.

Genau für dieses Szenario ist Insolvenzvorsorge kein Luxus, sondern eine Notwendigkeit.

Fit für den Ernstfall

1. Quellcode- und Dokumentationssicherung

  • Einrichtung von Quellcode-Escrow-Vereinbarungen mit unabhängigen Treuhändern.
  • Vollständige technische Dokumentation, inkl. Sicherheitsarchitektur, Schnittstellen und Update-Prozessen.
  • Klare Beschreibung, wie Patches und Bugfixes eingespielt werden können.

2. Vertragliche Absicherungen

  • Step-in Rights für den OEM: Recht, bei Ausfall des Suppliers selbst oder über Dritte aktiv zu werden.
  • IP-Rechte-Optionen: OEM erhält Nutzungsrechte an sicherheitskritischer Software.
  • Klare Wartungs- und Supportpflichten, auch im Falle einer Insolvenz.

3. Business Continuity & Risikomanagement

  • Solider Business Continuity Plan (BCP) mit Szenarien für Liquiditätsprobleme.
  • Sicherstellung, dass Cybersecurity-Services (Monitoring, Patches, Incident Response) weiterlaufen – unabhängig von der Finanzlage.
  • Redundante Infrastruktur mit OEM-zugänglichen Backups.

4. Transparenz & Reporting

  • Pflicht zur frühzeitigen Information, wenn wirtschaftliche Probleme drohen.
  • Regelmäßige Bestätigung, dass Cybersecurity-Verpflichtungen eingehalten werden.
  • Offenlegung von Sub-Supplier-Abhängigkeiten, um Kaskadeneffekte zu vermeiden.

5. Technische & organisatorische Maßnahmen

  • Update-Infrastruktur, die im Zweifel auch vom OEM betrieben werden kann.
  • Logging- und Monitoring-Daten in OEM-zugänglichen Systemen.
  • Notfallkontakte und definierte Eskalationsprozesse.

6. Audits & Verifizierbarkeit

  • Zulassung von OEM-Audits zur Insolvenzabsicherung.
  • Periodische Prüfung der Escrow-Daten, Dokumentationen und Recovery-Pläne.

Wenn der Supplier blockt …

Natürlich gibt es Fälle, in denen ein Supplier keine Escrow- oder Step-in-Klauseln akzeptieren will – sei es aus Angst vor IP-Verlust oder weil er sich schlicht im stärkeren Verhandlungshebel sieht.

OEMs haben dann verschiedene Optionen:

  1. Technische Redundanz schaffen: Aufbau einer eigenen Update- und Patch-Infrastruktur beim OEM, auch wenn die Inhalte vom Supplier kommen.
  2. Second Source etablieren: Kooperation mit einem alternativen Supplier, der im Notfall übernehmen kann – auch wenn das teurer ist.
  3. Risikoreserve einkalkulieren: OEM übernimmt bewusst das Risiko, dokumentiert es aber im CSMS und stellt gegenüber Behörden dar, wie er es überwacht und mitigiert.
  4. Politische/legislative Schiene nutzen: OEMs können in Gremien oder mit Behörden darauf drängen, dass insolvenzbezogene Sicherheitsgarantien künftig verpflichtend geregelt werden.

Kurz gesagt: Auch wenn ein Supplier mauert, bleibt der OEM handlungsfähig – muss aber tiefer in die Tasche greifen oder Risiken stärker managen.

Fazit

Die UN-R155 hat den OEMs die Gesamtverantwortung für die Cybersecurity in der Lieferkette aufgebürdet. Doch jeder Supplier, der clever ist, baut Insolvenzvorsorge als festen Bestandteil seiner Compliance-Strategie ein.

Am Ende gilt: Wer dem OEM heute glaubhaft zeigt, dass Updates, Patches und Security-Maßnahmen auch im Insolvenzfall gesichert sind, hat morgen einen klaren Wettbewerbsvorteil.
Und wer es nicht tut? Der könnte irgendwann im Audit nicht nur Insolvenz-, sondern auch Typgenehmigungs-Schweißperlen ins Gesicht treiben.

About the author

Michael Bunzel

Michael Bunzel (aka maschasan) is a lawyer and engineer currently living in Germany. He has been working in the field of Cybersecurity and related laws and regulations for over 25 years now.

Mike took on various roles and functions in the context of Information Security, Cybersecurity, and SCADA/Shopfloor Security at a German car manufacturer in southern Germany for more than fifteen years - currently in the R&D resort, with focus on E/E-systems in the context of automotive cybersecurity and related regulations in different markets (e.g. UN, EU, China, Korea, India, US, and others).

Mike has worked with global organizations across dozens of countries, cultures and languages, well-travelled in EMEIA, APAC and the Americas.

All articles in this blog do NOT reflect the opinion of his employer, but are all an expression of his personal view of things.

View all posts

Read more

TPMS Security – again

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Hardware Security, Technology
5 Tagen ago
4 Min Read
T

The IMDEA Networks research group, together with academic and government partners, has published a new paper on a long-standing problem (e.g. 1, 2, 3, and 4) in vehicle security and privacy: TPMS wheel sensors still tend to broadcast tyre telemetry over the air in clear text and include identifiers that remain stable for long periods. The paper’s central claim is not that this is a new weakness...

Read on

Global CSMS Certifications — The After-Effects of Korea

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Politics
1 Monat ago
11 Min Read
G

English version: The after-effects of the CSMS certification required for market access in Korea, based on UN R155, are multifaceted. They do not play out in isolation within individual OEMs; they have also become a topic in the discussions around amending a free trade agreement (FTA) between the European Union and Korea. How are the two connected? From the perspective of the OEMs that, over...

Read on

Geopolitical Risks in Automotive Security

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Law and Legal Action
1 Monat ago
14 Min Read
G

English Version: Connected vehicles are a near-perfect illustration of how readily Europe can default to a familiar policy pattern: define technical minimum standards, mandate processes, audit artefacts, and assume that “cybersecurity” has thereby been dealt with. In the automotive context, this approach is well institutionalised in Europe, above all through UN Regulation No. 155, with its CSMS...

Read on

EU-Roadworthiness-Reform: Die politische Instrumentalisierung von PTI und RSI

By Michael Bunzel
In ACS Regulation, Automotive Cybersecurity, Law and Legal Action
1 Monat ago
6 Min Read
E

Mit der Reform des europäischen Roadworthiness Package wird ein altes Prüfregime in eine neue Welt gezwungen. Periodische technische Inspektionen (PTI) und Roadside Inspections (RSI) sollen nicht mehr nur mechanische Zustände, sichtbare Mängel und klassische OBD-Artefakte abklopfen, sondern zunehmend das prüfen, was moderne Fahrzeuge tatsächlich steuert: elektronische Sicherheitssysteme. In...

Read on
By Michael Bunzel 6 Monaten ago
smartnuts … the world on the cabaret-style dissecting table

Get in touch

Tags

ACS (5) AI (8) Automotive (2) Automotive Cybersecurity (4) Car Hacking (3) China (5) CRA (2) Crypto (4) Cryptographic Keys (2) CSMS (3) Cyberpolitik (4) Data Act (2) Deloitte (2) Döpfner (2) ECU (3) EU (3) EU-Kommission (2) EU Commission (3) Euro-NCAP (2) GB/T (2) GB 44495-2024 (5) Glitching Attack (3) Gossenjournalismus (2) Hacker (6) HSM (3) Korea (2) LLM (3) Made in China 2025 (2) McKinsey (2) NCAP (2) OEM (4) PCB (3) PwC (2) Secure Boot (2) Secure Element (2) Silicon (2) SPD (2) Springer (2) Tamper Resistance (2) Umfallerpartei (2) UN R155 (13) Vehicle Security Measures (2) Vehicle Type Approval (2) VO (EU) 2019/2144 (2) VSDPS (2)

Meist gesehene Beiträge