Ab Sommer gelten in Europa neue Regeln für die Cybersicherheit in Autos. Das nutzen mehrere Hersteller, um ihr Angebot zu verschlanken. Dabei verfolgen die neuen Regeln einen sicherheitspolitischen Zweck.

Im Kino rettet Meisterspion James Bond mit seinen bestens ausgestatteten Autos gleich die ganze Welt. In der Wirklichkeit können echte Spione unsere Autos als Werkzeuge benutzen. Dem wird nun ein Riegel vorgeschoben.

Denn die elektronische Ausstattung der Autos dient nicht nur der Bequemlichkeit ihrer Fahrer und soll zur Sicherheit im Straßenverkehr beitragen. Sie ermöglicht ebenso, dass Autos und ihre Benutzer immer besser beobachtet werden können.

Das haben die Vereinten Nationen und die Europäische Union erkannt und darauf reagiert: Mit den UN-Regeln R155 und R156, die die Cybersecurity und die damit verbundenen Software-Updates betreffen, werden höhere Anforderungen auch an Autofirmen und ihre Zulieferer gestellt. Diese UN-Maßgaben werden ab dem 7. Juli dieses Jahres auch in der EU umgesetzt.

E-Mobilität ist ja eine ziemlich saubere Sache - aber sauber und einfach auch für Hacker und Spione ... Bild: Torsten Sukrow/SULUPRESS.DE/picture alliance

Spione mit vier Rädern

Die Relevanz von Cybersecurity im Verkehr erklärte der Wirtschaftsforscher Moritz Schularick dem Handelsblatt am 23. März damit, dass "Fragen der nationalen Sicherheit" berührt seien: "Es geht um sensible Daten, die abgesaugt werden können - auch bei den E-Autos. Diese sind mit ihren vielen Sensoren und Kameras aus Sicht von Geheimdiensten nichts anderes als Spionage-Maschinen auf vier Rädern."

Bei einer Veranstaltung der Helmut Schmidt Foundation und der DW in Berlin hatte er bereits im Dezember 2023 gesagt: "Diese Autos, die durch die Straßen von Berlin fahren, filmen alles, was um sie herum passiert und geben es an ihre Unternehmen weiter - auch an ihre Muttergesellschaften in China". Und stellte die rhetorische Frage: "Wollen wir das? Wollen wir Augen und Ohren einer ausländischen Regierung millionenfach auf unseren Straßen?"

Die Spione sind schon da

Das zeigt auch die Studie Automotive Cyber Security, die vom Center of Automotive Management (CAM) in Kooperation mit dem Unternehmen Cisco Systems im März 2024 verfasst wurde. Mit der zunehmenden Vernetzung und Digitalisierung von Autos, Produktion und Logistik steige das Risiko für Cyberangriffe auf die Automobilindustrie.

"Die Cybergefahrenlage für die Automobilbranche ist kontinuierlich angestiegen. Mit der Verbreitung von Software-definierten Fahrzeugen, der Elektromobilität, dem autonomen Fahren und der vernetzten Lieferkette erhöhen sich die Cyber-Risiken weiter", fasst Studienleiter Stefan Bratzel, Direktor des CAM, zusammen.

Die Studie zeigt an Beispielen, wie gefährdet die Industrie schon jetzt ist. So musste der weltgrößte Autobauer Toyota vor zwei Jahren seine Produktion unterbrechen, weil ein Zulieferer von "von einem mutmaßlichen Cyber-Angriff" betroffen war. Im Sommer 2022 wurde der Zulieferer Continental zum Ziel von Cyberkriminellen: Angreifer hatten trotz etablierter Sicherheitsvorkehrungen Daten aus IT-Systemen entwendet. Im März 2023 sei auch Tesla angegriffen worden. Hacker wählten sich in ein Fahrzeug ein und konnten diverse Funktionen ausführen. Sie konnten etwa die Hupe betätigen, den Kofferraum öffnen, das Abblendlichtes einschalten und das Infotainment-System manipulieren.

Der Porsche Macan geht jetzt nur noch als "Verbrenner" in den Export Bild: DW

Das Aus für Up & Bulli?

Auch wegen der neuen Regeln nehmen nun einige Hersteller Modelle aus dem Programm. Bei Volkswagen ist das der Kleinwagen Up und der Transporter T6.1, bei Porsche sind es die Modelle Macan, Boxster und Cayman, die als "Verbrenner" nur noch in den Export gehen, wie die Deutsche Presseagentur (dpa) meldet. Auch Audi, Renault und Smart würden ältere Modelle nach dem Stichtag nicht mehr bauen.

Der Agentur gegenüber begründete VW-Markenchef Thomas Schäfer die Maßnahmen mit dem hohen Aufwand, der für die neuen Regeln erforderlich sei: "Wir müssten da sonst noch einmal eine komplett neue Elektronik-Architektur integrieren. Das wäre schlichtweg zu teuer."

Wiebke Fastenrath von der Unternehmenskommunikation Volkswagen Nutzfahrzeuge bestätigt das der DW gegenüber: "Um die gesetzlichen Regelungen für die Elektronik-Architektur des T6.1 umzusetzen, hätte es sehr hoher Investitionen in eine auslaufende Plattform bedurft. Aufgrund der geringen Restlaufzeit des Modells wurden diese Investitionen nicht mehr getätigt, zumal die Nachfolgemodelle bereits auf dem Markt sind."

Für CAM-Direktor Stefan Bratzel ist "Cybersecurity ein Hygienefaktor" in der Autoindustrie Bild: CAM

"Ein unerlässlicher Hygienefaktor"

Bestens vorbereitet scheint der schwäbische Konkurrent Mercedes-Benz zu sein. Unternehmenssprecherin Juliane Weckenmann teilte der DW mit, dass die "Regularien keine Auswirkungen auf das Portfolio von Mercedes-Benz" hätten: "Alle unsere Architekturen erfüllen die Anforderungen und sind oder werden rechtzeitig nach UN R155/ R156 zertifiziert."

Auch bei Volkswagen sieht man sich gerüstet: "Zum neuen Modelljahr 2025", teilte uns Wiebke Fastenrath mit, "werden unsere Modelle entsprechend überarbeitet." Das hält Stefan Bratzel auch für bitter nötig, denn "eine professionelle Cybersecurity-Strategie von Unternehmen gewinnt als unerlässlicher Hygienefaktor in der Automobilindustrie stark an Bedeutung."

"Für Automotive-Unternehmen wird das Thema Cybersecurity entscheidend", ergänzt Christian Korff, Mitglied der Geschäftsleitung von Cisco Deutschland und Auftraggeber der CAM-Studie. "Die Automobilindustrie ist ein Eckpfeiler unserer Wirtschaft. Wir dürfen uns hier keine Anfälligkeiten im Cyberbereich erlauben. Nur wer auf allen ebenen sichere Fahrzeuge und Services bereitstellt, behält das Vertrauen der Kunden."