Testergebnisse zeigten, dass der chinesische Bushersteller Zugriff auf die Steuerungssysteme der Fahrzeuge für Software-Updates und Diagnosen hatte.
Ein führender norwegischer öffentlicher Verkehrsbetreiber hat angekündigt, strengere Sicherheitsanforderungen einzuführen und die Anti-Hacking-Maßnahmen zu verstärken, nachdem ein Test an neuen in China hergestellten Elektrobussen gezeigt hatte, dass der Hersteller sie aus der Ferne ausschalten konnte.
Der Verkehrsbetreiber Ruter sagte, die letzte Woche veröffentlichten Testergebnisse zeigten, dass der chinesische Bushersteller Yutong Group Zugriff auf seine Steuerungssysteme für Software-Updates und Diagnosen hatte.
„Theoretisch könnte dies ausgenutzt werden, um Auswirkungen auf den Bus zu haben“, hieß es.
Die Tests – mit Bussen, die in unterirdischen Minen gefahren wurden, um externe Signale zu entfernen – wurden sowohl an brandneuen Yutong-Bussen als auch an drei Jahre alten Fahrzeugen des niederländischen Busherstellers VDL durchgeführt, sagte das Unternehmen. Die Tests hätten gezeigt, dass die niederländischen Busse nicht in der Lage seien, Software-Updates über die Luft durchzuführen, während dies bei den in China hergestellten Bussen der Fall sei.
Yutong reagierte am Mittwoch nicht sofort auf Anfragen mit der Bitte um Stellungnahme.
Die Zeitung Guardian, die über das Problem berichtete, zitierte eine Erklärung des chinesischen Unternehmens, in der es hieß, es halte sich „strikt“ an die Gesetze und Regeln der Orte, an denen seine Fahrzeuge betrieben werden. In der Erklärung heißt es, dass Daten über seine Busse in Deutschland gespeichert würden.
Die Zeitung zitierte einen nicht identifizierten Yutong-Sprecher mit den Worten, die Daten seien verschlüsselt und würden „ausschließlich zur fahrzeugbezogenen Wartung, Optimierung und Verbesserung verwendet, um den Kundendienstanforderungen der Kunden gerecht zu werden“.
Laut der Website von Yutong hat das Unternehmen in den letzten Jahrzehnten Zehntausende Fahrzeuge in Europa, Afrika, Lateinamerika und im asiatisch-pazifischen Raum verkauft.
Die Studie wurde teilweise aufgrund von Bedenken hinsichtlich der Überwachung initiiert, zu einer Zeit, in der viele Länder in Europa, Nordamerika und darüber hinaus Maßnahmen zum Schutz der Daten von Verbrauchern und Fernabläufen ergriffen haben.
Größere Bedenken hinsichtlich der Fernsteuerung von Elektrofahrzeugen
Die Ergebnisse zeigten, dass „der Hersteller für Software-Updates und Diagnosen direkten digitalen Zugriff auf jeden einzelnen Bus hat“, sagte Ruter, der nach eigenen Angaben die Hälfte des öffentlichen Nahverkehrs Norwegens betreibt und in Oslo und der östlichen Akershus-Region tätig ist.
Bedenken hinsichtlich der Fernsteuerung von Elektrofahrzeugen sind nicht neu: US-Aufsichtsbehörden leiteten im Januar eine Untersuchung gegen Tesla ein, nachdem über Unfälle berichtet worden war, bei denen Unternehmenstechnologie zum Einsatz kam, die es Fahrern ermöglicht, ihrem Fahrzeug mithilfe einer Telefon-App aus der Ferne zu befehlen, zu sich selbst zurückzukehren oder an einen anderen Ort zu fahren.
Die Yutong-Busse werden von Menschen bedient – sie sind keine fahrerlosen Fahrzeuge wie Taxis und Shuttles in Ländern wie Kalifornien und China.
„Nach diesen Tests geht Ruter von der Besorgnis zu konkretem Wissen darüber über, wie wir Sicherheitssysteme implementieren können, die uns vor unerwünschten Aktivitäten oder Hacking der Datensysteme des Busses schützen“, sagte Bernt Reitan Jenssen, CEO von Ruter, in einer Erklärung.
„Alle Arten von Fahrzeugen“ dieser Art sind gefährdet
Im nahegelegenen Dänemark sagte das Transportunternehmen Movia, es prüfe Risikobewertungen in Bezug auf Cybersicherheit und Spionage in Linienbussen sowie mögliche Maßnahmen zur Verhinderung von Hackerangriffen, Datenmissbrauch und dem Risiko einer Busbehinderung.
Movia sagte, die dänischen Behörden hätten keine Fälle von Stilllegungen von Bussen gemeldet, suchten jedoch nach Möglichkeiten, Schwachstellen zu beseitigen.
Die neuen Erkenntnisse seien auf der Verkehrskonferenz InformNorden von Beratern der Universität Südostnorwegen vorgestellt worden und zeigten, dass weder ein Hacker noch der Lieferant die Kontrolle über den Bus übernehmen könnten.
„Es ist auch wichtig zu betonen, dass die leitenden norwegischen Berater erklärt haben, dass es sich hierbei nicht um ein chinesisches Busunternehmen handelt, sondern dass es sich um ein Problem für alle Arten von Fahrzeugen und Geräten handelt, die über diese Art von Elektronik verfügen“, sagte Movia in einer E-Mail.
Strengere Sicherheitsregeln
Die Kameras in den Bussen seien nicht mit dem Internet verbunden, daher „besteht kein Risiko einer Bild- oder Videoübertragung aus den Bussen“, sagte Ruter, das mehr als 100 Yutong-Busse in seiner Flotte hat. Die Busse seien nicht fernbedienbar, hieß es.
Dennoch könne der Hersteller laut Ruter über das Mobilfunknetz auf das Steuerungssystem für Batterie und Stromversorgung zugreifen. Das bedeute, dass Busse theoretisch „vom Hersteller angehalten oder unbrauchbar gemacht werden könnten“.
Das norwegische Unternehmen reagierte darauf mit der Einführung strengerer Sicherheitsregeln bei künftigen Beschaffungen, der Entwicklung von Firewalls, die die lokale Kontrolle gewährleisten und Hackerangriffe verhindern, und der Zusammenarbeit mit den Behörden an „klaren Cybersicherheitsanforderungen“.
Außerdem werden Maßnahmen ergriffen, um eingehende Signale zu verzögern, „damit wir einen Einblick in die gesendeten Updates erhalten, bevor sie den Bus erreichen“.
