Ein kritischer Beitrag zur Bewertung des VSDPS-Testverfahrens im Lichte bestehender Regulierung, industrieller Realität und technischer Entwicklung
Einleitung
Verbände sind auch nur Unternehmen – immer auf der Suche nach neuen Geschäftsmodellen und Einkunftsquellen. Euro-NCAP ist da keine Ausnahme: Während man bisher mit der Safety-Bewertung von Fahrzeugen und diesbezüglichen Tests sein Geld verdiente, kamen die dortigen Verbandsverantwortlichen für Business Development nach Inkrafttreten der einschlägigen Regulierungen zur Automotive Security als Homologationsvoraussetzung (u.a. UN R155, GB 44495-2024) sowie der einschlägigen Industriestandards (ISO/SAE 21434:2021, ISO/PAS 5112:2022, ISO/SAE PAS 8475, ISO/SAE TR 8477) auf die glorreiche Idee, ihr monetäres Wirken auch auf die Automotive Security auszuweiten.
Im Grunde genommen ein konsequenter Schritt – man begann initial mit dem Safety-Rating, dann kam das Assistant Driving Granding dazu und nunmehr das Cybersecurity Rating. Mit letzterem sollen die Kunden in Zukunft also nicht nur eine Antwort auf die Frage bekommen, ob sie nach einem Crash noch lebend aus dem Fahrzeug geborgen werden können oder ob der automatische Spurhalteassisstent das Fahrzeug nicht auf eine Querfeldein-Tour über eine dreispurige Autobahn schickt, sondern auch, ob ihr Fahrzeug mit elektronischer Wegfahrsperre am nächsten Morgen noch an der gleichen Stelle steht oder aber böse Hacker das Onboard-Netzwerk penetrieren und Daten manipulieren können.
Mit der Einführung des VSDPS (Vehicle Security, Data Privacy and Sovereignty) soll ein Bewertungssystem für die IT-Sicherheit, Datenschutz und Datenhoheit im Fahrzeug etabliert werden – analog zu den etablierten Crashtests und Assistenzsystem-Bewertungen. Doch was als Fortschritt erscheint, wirft gravierende Fragen auf: methodisch, regulatorisch und industriepolitisch.
I. Strategischer Hintergrund: NCAPs Grenzüberschreitung
1. Erweiterung des Mandats ohne Legitimation
OEMs nehmen die VSDPS-Initiative als einen strategischen Versuch von Euro-NCAP wahr, seinen Einfluss auf Bereiche auszuweiten, die deutlich außerhalb seines etablierten Mandats liegen. Die Bewertung der automobilen Cybersicherheit unterliegt bereits rechtsverbindlichen Rahmenwerken wie UN R155, teilweise auch der EU7-Verordnung, sowie dem chinesischen Standard GB 44495-2024 – allesamt Vorschriften, die direkt mit der Typgenehmigung von Fahrzeugen verknüpft sind.
Umso erstaunlicher ist es daher, dass Euro-NCAP – ein Konsortium, dem neben Automobilverbänden und Versicherungsunternehmen auch oberste Bundesbehörden aus Deutschland (etwa das Bundesministerium für Digitales und Verkehr) sowie Exekutivorgane anderer europäischer Staaten angehören – widerspruchslos eine Aushöhlung des normativen Rahmens für die Automotive Cybersecurity hinzunehmen scheint. Dies zeigt sich beispielsweise in einer Abkehr vom risikobasierten Ansatz hin zu einer Art Checklisten-Anforderung.
Entweder sind die beteiligten Behörden innerhalb des Euro-NCAP-Konsortiums nicht in die Vorabstimmung entsprechender Initiativen eingebunden, oder es fehlt ihnen schlicht an Interesse. Keine der beiden Alternativen wirft ein gutes Licht auf die Arbeitsweise von Euro NCAP.
2. Wettbewerb statt Komplementarität zur Regulierung
Anstatt regulatorische Lücken zu schließen, schafft die VSDPS-Initiative ein paralleles Bewertungssystem, das OEMs doppelte Arbeit auferlegt, ohne dabei einen klaren Mehrwert für Verbraucher zu bieten. Diese Doppelstruktur untergräbt regulatorische Kohärenz und Klarheit.
Vor diesem Hintergrund sollte jede Bewertung der Cybersicherheitsfähigkeiten eines Fahrzeugs eng an den einschlägigen normativen Anforderungen ausgerichtet sein. Es ist weder sachgerecht noch empfehlenswert, alternative, potenziell irreführende oder gänzlich ungeeignete Kriterien einzuführen, die faktisch ein paralleles Anforderungsrahmenwerk für die Automotive Cybersecurity etablieren würden.
Spätestens angesichts der faktischen Wirkungsmacht auf die Kaufentscheidungen von Endverbrauchern sollte sich Euro NCAP des Umfangs seiner Zuständigkeit und der daraus erwachsenden Verantwortung bewusst sein, bevor derartige Vorschläge veröffentlicht werden.
II. Methodische Kritik: Ein starres Raster in einer dynamischen Realität
1. Statisches Checklistenmodell statt risikobasierter Bewertung
Der VSDPS-Ansatz basiert auf einer vordefinierten Liste von Testpunkten und Schnittstellen (Bluetooth, USB, OBD etc.). Fahrzeuge, die bestimmte Technologien gar nicht besitzen, werden automatisch mit “0 Punkten” bewertet. Das ist weder fair noch technisch sinnvoll – ein Fahrzeug ohne WLAN kann nicht für seine „ungenügende WPA2-Konfiguration“ abgestraft werden.
2. Risiko-Ignoranz: Gleichbehandlung trivialer und kritischer Bedrohungen
Angriffe mit völlig unterschiedlicher Risikorelevanz – z. B. ein erfolgreicher Roll-Jam-Angriff auf Keyless Entry vs. ein akademischer GPS-Spoofing-Test – werden gleich gewichtet. Das widerspricht jeder sicherheitstechnischen Logik. Für OEMs bedeutet dies: Ressourcen werden auf marginale Risiken umgelenkt, während reale Angriffsvektoren in der Gewichtung untergehen.
3. Nicht-anwendbare Tests als Abwertungskriterium
Wenn eine Testmöglichkeit nicht gegeben ist – sei es, weil die Fahrzeugarchitektur sie nicht unterstützt oder weil keine gesetzliche Pflicht zur Implementierung besteht – wird das Ergebnis dennoch als negativ bewertet. Für OEMs ist das eine systematische Verzerrung der Realität.
III. Technologische Kritik: Vergangenheitsfixierung statt Innovationsförderung
1. Veraltete Bedrohungsannahmen
VSDPS berücksichtigt keine modernen Fahrzeugarchitekturen: Keine Bewertung von Over-the-Air (OTA) Update-Mechanismen, keine Absicherung von Vehicle-to-X-Kommunikation, keine Metriken zu Secure Boot, Authenticated Diagnostics oder Zero Trust Architectures. Stattdessen: USB-Passworttests und manuelles Durchsuchen der Head-Unit-Menüs.
2. Testmethodik nicht zukunftssicher
Die beschriebene Methodologie ist nicht reproduzierbar über die Lebensdauer eines Fahrzeugs. Die fortlaufende Weiterentwicklung digitaler Fahrzeugfunktionen führt dazu, dass einmal erzielte Ratings bald obsolet oder irreführend sind. Die Vergleichbarkeit über Modelljahre hinweg ist nicht gewährleistet.
3. OEM-spezifische Architekturen werden ignoriert
Die Testmethodik basiert implizit auf einem monolithischen E/E-Architekturverständnis – in der Realität aber verfolgen OEMs zunehmend software-definierte, serviceorientierte und zonale Architekturen. Eine Einheitsprüfung ist hier weder möglich noch sinnvoll.
IV. Datenschutz und Datenhoheit: Juristische und praktische Inkonsistenzen
1. Veraltete Definitionen und Rechtsverständnis
Die im VSDPS-Dokument zitierten Definitionen zu „Data Privacy“ stammen aus der bereits 2018 aufgehobenen EU-Datenschutzrichtlinie (95/46/EG) – nicht aus der geltenden DSGVO. Dies lässt erhebliche Zweifel an der juristischen Kompetenz des Dokuments aufkommen.
2. „Data Sovereignty“ als undefinierter Begriff
Der Begriff der „Datenhoheit“ wird inflationär verwendet, ohne rechtliche Verankerung, technische Operationalisierung oder Messkriterien. Die vorgeschlagenen Tests basieren auf subjektiven Einschätzungen der Benutzerfreundlichkeit („Ist es klar, wie man Apps startet?“) und stehen in keinem Verhältnis zu tatsächlichen sicherheitsrelevanten Themen.
3. Konflikt mit gesetzlichen Verpflichtungen
Mehrere Tests fordern Funktionen, die mit gesetzlichen Pflichten kollidieren – etwa die Möglichkeit, das Fahrzeug vollständig offline zu betreiben, obwohl Notrufsysteme wie eCall gesetzlich vorgeschrieben sind. OEMs sehen sich hier zwischen regulatorischem Zwang und Testabwertung gefangen.
V. Wirtschaftliche Auswirkungen für OEMs
1. Kosten-Nutzen-Disproportionalität
Die Implementierung von VSDPS-kompatiblen Teststrukturen verursacht Kosten in Entwicklung, Testing und Dokumentation – bei gleichzeitigem Fehlen von Mehrwert im Vergleich zu regulatorischen Anforderungen. Insbesondere für kleinere Hersteller kann das zum Innovationshemmnis werden.
2. Marktverzerrung durch unscharfe Ratings
Fahrzeuge können aufgrund nicht nachvollziehbarer oder irrelevanter Metriken schlechter bewertet werden, was zu Wettbewerbsverzerrung führt. Ein Fahrzeug, das technologisch fortschrittlich ist, aber z. B. keine separate Gastbenutzer-Funktion bietet, könnte schlechter abschneiden als ein technisch schwächeres Konkurrenzmodell.
3. Gefahr eines falschen Sicherheitsgefühls
Ein VSDPS-Rating kann suggerieren, ein Fahrzeug sei „cybersicher“ – obwohl es lediglich bestimmte Prüfungen besteht. Das untergräbt die Idee von Security by Design und risikobasierter Sicherheitsbewertung.
Fazit: VSDPS – Ein gut gemeinter Irrweg
Euro-NCAPs Initiative zur Bewertung von Automotive Cybersecurity ist zweifellos Ausdruck wachsender Relevanz dieses Themas. Doch der VSDPS-Vorschlag in seiner aktuellen Form ist methodisch unausgereift, technologisch rückwärtsgewandt, regulatorisch übergriffig und wirtschaftlich belastend für Hersteller.
OEMs sollten sich nicht scheuen, diesen Vorstoß mit Nachdruck zu kritisieren – nicht, weil Sicherheit unwichtig ist, sondern weil sie zu wichtig ist, um sie mit unausgereiften und ineffektiven Bewertungsmechanismen zu verwässern.
Englische Version? Hier …
.
