Ein Automobilhersteller hat ein Fahrerassistenzsystem mit so weitgehender Funktionalität entwickelt, dass dafür nicht nur eine ASIL C-Qualifizierung benötigt, sondern das Kraftfahrbundesamt zusätzlich auch eine Typgenehmigung sowie eine Allgemeine Betriebserlaubnis für mit diesem Fahrerassistenzsystem ausgerüstete Kraftfahrzeuge erteilen muss. Das Fahrerassistenzsystem verwendet Embedded Realtime-Linux als Betriebssystem und wurde in einer Nachqualifizierung basierend auf dem SIL2LinuxMP-Projekt des OSADL für ASIL C qualifiziert. Um ein Update der Software zu ermöglichen, wurde Googles OTA (Over The Air)-Verfahren implementiert, wobei dafür gesorgt wurde, dass der OTA-Code selbst und die Software des Fahrerassistenzsystems getrennt aktualisiert werden können.

Etwa anderthalb Jahre nach Beginn der Serienfertigung wird eine Sicherheitslücke in Googles OTA-Verfahren gemeldet, die bereits ausgenutzt wird, und es wird ein Update des OTA-Subsystems dringend empfohlen. Wenn dieses Update nicht installiert wird, kann ein Hacker maliziösen Code aufspielen und damit auch das Fahrerassistenzsystem kompromittieren.

Fragen:

1. Verlieren alle mit diesem Fahrerassistenzsystem ausgerüsteten Kraftfahrzeuge im Moment der Publikation dieser Sicherheitslücke ihre Betriebserlaubnis?
2. Wird das Kraftfahrbundesamt möglicherweise auf die Publikation reagieren und mit einer entsprechenden Anordnung allen mit diesem Fahrerassistenzsystem ausgerüsteten Kraftfahrzeugen die Betriebserlaubnis entziehen und diese erst wieder erteilen, wenn das Update aufgespielt ist?
3. Kann das Kraftfahrbundesamt einen solchen Entzug überhaupt anordnen? Wenn ja, kann ein Autofahrer behaupten, er habe diese Anordnung nicht erhalten und sein Kraftfahrzeug weiterhin nutzen?

Antwort
(Hinweis: Diese Antwort ist nur sichtbar, wenn Sie als OSADL-Mitglied eingeloggt sind.)

Fall 1    Fall 2    Fall 3    Fall 4    Fall 5   

Best practices I        Best practices II