Wie Europas Städte die Kontrolle über ihre E-Busse an China verlieren

In Norwegen entdeckten Verkehrsbetriebe Datenzugriffe aus China auf ihre E-Busse. Ein Einzelfall? Wohl kaum.

Getty Images / VW Pics

In Norwegen machten Verkehrsbetriebe eine unangenehme Entdeckung: Mehrere chinesische E-Busse verfügten über externe Zugänge, die unkontrolliert Daten übertragen konnten. Noch beunruhigender: Theoretisch ließen sich darüber auch Befehle an die Fahrzeuge senden. Die Norweger reagierten prompt und trennten kurzerhand alle SIM-Karten ihrer betroffenen Busse. Lieber keine Vernetzung als eine unsichere.

Was zunächst wie ein lokales Problem klingt, ist in Wahrheit ein Warnsignal für ganz Europa. Denn moderne Busse sind keine simplen Fahrzeuge mehr. Sie sind rollende Computer auf vier Rädern. Ihre Software erhält regelmäßig Updates „over the air“, ähnlich wie ein Smartphone. Das ist notwendig, um Systeme aktuell und sicher zu halten, Reichweiten zu optimieren und Fehler zu beheben. Gleichzeitig öffnet genau dieser permanente Zugriff eine Tür. Wer sie kontrolliert, kontrolliert die Fahrzeuge. Wer sie offenlässt, lädt Unbefugte ein.

Wer kontrolliert die Daten?

Der Fall aus Norwegen zeigt, wie fahrlässig Europa bislang mit seiner digitalen Infrastruktur im Verkehr umgeht. Öffentliche Verkehrsbetriebe kaufen Busse zu günstigen Preisen, vergleichen Reichweiten und Ladezeiten. Aber kaum jemand stellt die entscheidende Frage: Wie sicher sind eigentlich die Software-Schnittstellen? Wer hat Zugriff auf welche Systeme? Und wohin fließen die Daten?

Dabei gibt es längst verbindliche Standards. Die UNECE-Regelungen R155 und R156 verpflichten Hersteller seit einigen Jahren, Cybersecurity-Systeme und Software-Updates nachweislich zu sichern. Fahrzeuge müssen dokumentieren, wie sie vor digitalen Angriffen geschützt sind. Doch zwischen Theorie und Praxis klafft eine Lücke. Zulassungsbehörden kontrollieren nur stichprobenartig. Kommunen verlassen sich auf Herstellerangaben. Und wenn doch mal jemand nachfragt, ist die technische Expertise oft nicht vorhanden.

Probleme auch mit westlichen Anbietern

Das Ergebnis: Niemand weiß wirklich genau, welche Daten wohin fließen. Gesammelt wird einiges, unter anderem Batteriedaten, GPS-Informationen, Fahrerprofile, Streckenverläufe. Das alles landet in Cloud-Systemen, die häufig außerhalb Europas betrieben werden. Was passiert, wenn ein Anbieter den Dienst einstellt? Wenn Zugriffe aus politischen Gründen blockiert werden? Wenn Server kompromittiert oder in einem Cyberangriff lahmgelegt werden? Diese Fragen kann heute niemand zuverlässig beantworten. Im schlimmsten Fall bleibt der Bus einfach stehen. Oder schlimmer: Er fährt nicht mehr dorthin, wo er soll.

Und das Problem ist keineswegs auf chinesische Hersteller beschränkt. Auch westliche Anbieter halten gern an proprietären Cloud-Lösungen fest, die Betreiber langfristig in Abhängigkeit bringen. Das Geschäftsmodell ist bekannt: Günstige Hardware, teure Software-Lizenzen, geschlossene Systeme. Doch während Tech-Konzerne und Startups Cybersicherheit längst als Kernaufgabe begreifen, behandeln viele Kommunen sie immer noch als lästige Fußnote im Pflichtenheft. Es fehlt an klaren Prozessen, an regelmäßigen Audits, an technischer Kompetenz in den Verwaltungen.

Drei Dinge müssen passieren

Was jetzt passieren muss, ist eigentlich klar. Erstens: Jede Flotte benötigt eine eigene Sicherheitsarchitektur. Kein Hersteller darf unkontrollierten Vollzugriff auf alle Systeme haben. Zweitens: Beschaffungsstellen müssen Cyber-Zertifikate nach UNECE-Standard zwingend einfordern, bevor Fahrzeuge überhaupt zugelassen werden. Wer die nicht vorlegt, kommt nicht auf die Straße. Drittens: Die EU braucht eine zentrale Prüfstelle für kritische Fahrzeugsoftware. Ähnlich wie das TÜV-System, aber spezialisiert auf digitale Risiken.

Denn die Mobilitätswende ist längst kein reines Hardware-Projekt mehr. Wenn Städte die Kontrolle über ihre Fahrzeuge verlieren, verlieren sie auch die Kontrolle über ihre Infrastruktur. Und damit über ein Stück öffentlicher Daseinsvorsorge.

Oslo hat reagiert, bevor etwas Schlimmes passiert ist. Deutschland sollte daraus lernen, bevor es zu spät ist. Die öffentliche Hand darf nicht zum digitalen Bittsteller ihrer eigenen Systeme werden. Wer heute Busse kauft, kauft eben auch Code. Und der gehört unter europäische Kontrolle.