Die geplante Einführung eines verbindlichen „End of Cybersecurity-Support“ (EoCSS) im Rahmen der UN-Regelung R155 spaltet die Branche: Während der Zentralverband Deutsches Kraftfahrzeuggewerbe (ZDK) die Regelung als unzumutbar und riskant ablehnt, sehen die Fahrzeughersteller (vertreten durch den VDA) darin einen notwendigen Kompromiss zwischen Sicherheit und wirtschaftlicher Machbarkeit.
Position des Kfz-Gewerbes: Lebenslange Cybersecurity als Pflicht
Der ZDK warnt vor gravierenden Folgen für Kfz-Besitzer:innen und Werkstätten:
Sicherheitslücken im Straßenverkehr: Cybersecurity ist keine optionale Leistung, sondern eine grundlegende Voraussetzung für Verkehrssicherheit und Verbraucherschutz – über die gesamte Nutzungsdauer eines Fahrzeugs hinweg.
Haftungsrisiken für Werkstätten: Ein EoCSS würde die Verantwortung für Cybersecurity-Risiken einseitig auf den Aftermarket verlagern. Werkstätten und Händler wären weiterhin für Betrieb und Instandsetzung verantwortlich, ohne Zugriff auf kritische Updates oder Abhilfemaßnahmen – mit erheblichen Rechtsunsicherheiten und Vertrauensverlust im Gebrauchtwagenmarkt.
Forderung nach lebenslanger Sicherheit: Der ZDK verlangt stattdessen:
Aktive Cybersecurity-Maßnahmen bis zum tatsächlichen End-of-Life der Fahrzeuge, priorisiert für sicherheitskritische Systeme.
Transparenzpflicht über den Cybersecurity-Status für Halter:innen, Käufer:innen und Werkstätten.
Einbindung des Aftermarkets in Sicherheitsprozesse und die Möglichkeit von „Security Patches“ durch zertifizierte Drittanbieter.
Position der Fahrzeughersteller: Praktikabler Kompromiss
Die Automobilindustrie (VDA) argumentiert, dass die UN-R155-Anforderungen technisch und wirtschaftlich nicht unbegrenzt umsetzbar sind. Ihr Vorschlag:
Differenzierung zwischen aktivem Support und passiver Beobachtung:
Aktiver Cybersecurity-Support bis zum EoCSS (definiert durch die Hersteller).
Passive Produktbeobachtung bis zum End-of-Life (EoL) – ohne aktive Updates, aber mit Risikomonitoring.
Flexible Kategorisierung: Hersteller sollen selbst festlegen, welche Fahrzeugsysteme in welche EoCSS-Kategorien fallen.
Ziel: Ein ausgewogener Ansatz, der den Schutz der Kunden gewährleistet, ohne die Innovationsfähigkeit und Wirtschaftlichkeit der Branche zu gefährden.
Konfliktpunkt: Sicherheit trifft auf Machbarkeit
Während der ZDK betont, dass Cybersecurity kein Verfallsdatum haben darf, sehen die Hersteller in einem unbegrenzten Support eine Überforderung. Die geplante Regelung könnte somit:
Kfz-Besitzer:innen mit unsicheren Fahrzeugen zurücklassen,
Werkstätten in Haftungsfallen manövrieren und
den Gebrauchtwagenmarkt durch mangelnde Transparenz destabilisieren.
Eine Lösung muss beides berücksichtigen: die tatsächliche Nutzungsdauer von Fahrzeugen und die realen Grenzen der Industrie. Der aktuelle Streit zeigt: Ohne Kompromiss drohen Sicherheitslücken auf der Straße und wirtschaftliche Risiken für das Kfz-Gewerbe.