Tests ergaben: Der chinesische Bushersteller hatte Zugriff auf die Steuerungssysteme der Fahrzeuge. Für Software-Updates und Diagnosen.
Ein führender norwegischer Nahverkehrsbetreiber verschärft die Sicherheitsanforderungen und will den Schutz vor Hackerangriffen ausbauen. Anlass ist ein Test mit neuen Elektrobussen aus China. Er zeigte, dass der Hersteller die Fahrzeuge aus der Ferne abschalten kann.
Der Betreiber Ruter erklärte, die vergangene Woche veröffentlichten Testergebnisse zeigten, dass der chinesische Hersteller Yutong Group Zugriff auf die Steuerungssysteme für Software-Updates und Diagnosen hat.
„Theoretisch ließe sich das ausnutzen, um den Bus zu beeinflussen“, hieß es.
Die Tests fanden in unterirdischen Bergwerken statt, um externe Signale auszublenden. Sie betrafen fabrikneue Yutong-Busse und dreijährige Fahrzeuge des niederländischen Herstellers VDL, so das Unternehmen. Ergebnis: Die niederländischen Busse konnten keine Software-Updates „over the air“ erhalten, die chinesischen schon.
Yutong reagierte am Mittwoch zunächst nicht auf Anfragen nach einer Stellungnahme.
Die Zeitung The Guardian, die darüber berichtete, zitierte eine Erklärung des Unternehmens. Demnach halte Yutong die Gesetze und Regeln in den Einsatzländern „strikt“ ein. Daten zu den Bussen würden in Deutschland gespeichert.
Weiter zitierte die Zeitung eine nicht namentlich genannte Sprecherin oder einen Sprecher von Yutong: Die Daten seien verschlüsselt und „würden ausschließlich für fahrzeugbezogene Wartung, Optimierung und Verbesserungen genutzt, um die Bedürfnisse der Kunden im Kundendienst zu erfüllen“.
Laut Yutongs Webseite hat der Konzern in den vergangenen Jahrzehnten Zehntausende Fahrzeuge in Europa, Afrika, Lateinamerika und der Asien-Pazifik-Region verkauft.
Die Untersuchung entstand auch aus Sorge vor Überwachung. Viele Länder in Europa, Nordamerika und anderswo ergreifen derzeit Maßnahmen, um Verbraucher- und Fernbetriebsdaten zu schützen.
Breitere Sorgen über Fernsteuerung von E-Autos
Die Ergebnisse zeigen, „dass der Hersteller für Software-Updates und Diagnosen direkten digitalen Zugriff auf jeden einzelnen Bus hat“, so Ruter. Das Unternehmen betreibt nach eigenen Angaben die Hälfte des öffentlichen Verkehrs in Norwegen und ist in Oslo sowie im östlichen Akershus aktiv.
Sorgen über die Fernsteuerung von Elektrofahrzeugen sind nicht neu. US-Aufsichtsbehörden eröffneten im Januar eine Untersuchung gegen Tesla. Auslöser waren Berichte über Unfälle mit einer Technologie des Unternehmens. Sie erlaubt es Fahrern per Smartphone-App, ihr Auto zu sich zurückzuholen oder zu einem anderen Ort fahren zu lassen.
Die Yutong-Busse werden von Menschen gefahren. Es sind keine fahrerlosen Fahrzeuge wie Taxis und Shuttles etwa in Kalifornien oder China.
„Nach diesen Tests wechseln wir von Sorge zu konkretem Wissen darüber, wie wir Sicherheitsmaßnahmen umsetzen können, die uns vor unerwünschten Aktivitäten oder einem Hacken der Datensysteme der Busse schützen“, sagte Ruter-Chef Bernt Reitan Jenssen.
„Alle Fahrzeugtypen“ dieser Art gefährdet
Im nahe gelegenen Dänemark prüft der Verkehrsbetreiber Movia seine Risikobewertungen zu Cybersicherheit und Spionage in Linienbussen. Zudem geht es um Maßnahmen, um Hacking, Datenmissbrauch und das Abschalten von Bussen zu verhindern.
Nach Angaben von Movia haben dänische Behörden keine Fälle gemeldet, in denen Busse deaktiviert wurden. Dennoch sucht das Unternehmen nach Wegen, Schwachstellen zu beseitigen.
Die neuen Erkenntnisse seien auf der Verkehrskonferenz InformNorden von Beratern der Universität Südost-Norwegen vorgestellt worden. Sie zeigten, dass weder ein Hacker noch der Lieferant die Kontrolle über den Bus übernehmen können.
„Wichtig ist auch: Die norwegischen leitenden Berater betonten, dass es sich nicht um ein spezielles Problem chinesischer Busse handelt. Es betrifft alle Fahrzeug- und Gerätetypen mit derartiger eingebauter Elektronik“, schrieb Movia in einer E-Mail.
Strengere Sicherheitsregeln
Die Kameras in den Bussen sind nicht mit dem Internet verbunden. Deshalb „besteht kein Risiko, dass Bilder oder Videos aus den Bussen übertragen werden“, so Ruter. Der Betreiber hat mehr als 100 Yutong-Busse in der Flotte. Eine Fernbedienung der Busse sei nicht möglich.
Dennoch kann der Hersteller laut Ruter über das Mobilfunknetz auf die Steuerung von Batterie und Stromversorgung zugreifen. Theoretisch „können Busse vom Hersteller gestoppt oder unbrauchbar gemacht werden“.
Das Unternehmen reagiert mit strengeren Sicherheitsvorgaben bei künftigen Ausschreibungen. Es entwickelt Firewalls, die lokale Kontrolle sichern und Hacking verhindern. Außerdem arbeitet Ruter mit Behörden an „klaren Cybersicherheitsanforderungen“.
Zudem verzögert Ruter eingehende Signale, „damit wir die gesendeten Updates prüfen können, bevor sie den Bus erreichen“.