Experte warnt: "Das Auto ist potenziell eine Superwanze"

Moderne Autos sammeln etliche Daten. Doch wohin fließen sie? Ein Experte erklärt, warum jeder Autofahrer bewusster mit dem Thema umgehen sollte.

12.670 Kilometer – diese Strecke legt jeder Autofahrer in Deutschland im Schnitt mit seinem Auto pro Jahr zurück. In modernen Fahrzeugen erfassen immer mehr Sensoren jedes noch so kleine Detail und viele dieser Details werden gespeichert. Doch wohin fließen all diese Daten? Und wie sicher ist die Datenübertragung?

Arndt von Twickel ist Referatsleiter für Cybersicherheit für intelligente Transportsysteme und Industrie 4.0 im Bundesamt für Sicherheit in der Informationstechnik (BSI). Er ist davon überzeugt: Sicherheit lässt sich nur dadurch herstellen, dass Hersteller und Behörden enger zusammenarbeiten. Aber auch die Autobesitzer sieht er in der Pflicht.

t-online: Wenn ich mir jetzt einen Neuwagen kaufe, was weiß mein Auto in einem Jahr über mich?

Arndt von Twickel: Das lässt sich pauschal nicht sagen. Einerseits gibt es gesetzliche Vorschriften, die erfüllt werden müssen, und dazu gehören auch verpflichtende Systeme, die Daten speichern und übertragen. Andererseits haben auch die Hersteller Möglichkeiten, eigene Daten zu erfassen. Zusätzlich kann der Nutzer die Erfassung, Speicherung und Übertragung der Daten durch Systemeinstellungen beeinflussen.

Was wäre ein Beispiel für die verpflichtenden Systeme?

Zum Beispiel das System E-Call, das bei einem Unfall automatisch einen Notruf absetzt. Neue Fahrzeuge müssen dafür ein Mobilfunkmodul eingebaut haben. Die letzten Standorte des Autos werden gespeichert und bei einem Unfall an eine Notfallstelle übertragen. Aber an dieser Stelle fängt es schon an: Einerseits gibt es das von der EU regulierte Notfallsystem. Die Hersteller haben aber auch die Option, ein eigenes System einzubauen.

Und dort fließen mehr Daten?

Ja, aber dazu müssen dann die Kunden ihre Einwilligung geben. Das machen sie schon bei der Übergabe des Autos durch den Händler. Die meisten Kunden bemerken diesen Vorgang der Zustimmung wahrscheinlich nicht mal oder wissen nicht, was da genau passiert. Dann fließen bereits deutlich umfangreichere Daten. Aber andersherum ist genau diese Zustimmung zum Datenaustausch meist auch Voraussetzung für einen erweiterten Funktionsumfang, dass beispielsweise Softwareupdates eingespielt werden können, das Auto also auf dem neuesten Stand ist.

Was können Autos alles erfassen?

Bildhaft ausgedrückt ist ein Auto potenziell eine Superwanze, ausgestattet mit allen Sensoren, die man sich vorstellen kann: von Mikrofonen über Kameras bis hin zu Ultraschall- oder Lasersensoren. Ein Auto kann feststellen, ob der Fahrer auf dem Sitz sitzt, ob das Lenkrad festgehalten wird, wann was am Infotainmentsystem bedient wird, wie schnell der Fahrer fährt, ob er müde ist und so weiter. All diese Daten stehen womöglich zur Verfügung.

Die Frage ist eben, wann werden diese Daten aufgenommen? Wann und wo werden sie gespeichert? Wann und wohin werden sie übertragen? Und wer hat dann nachher Zugriff auf diese Daten und unter welchen Bedingungen?

Weiß man, welche Daten übertragen werden?

Auch für Experten ist es schwierig, in diese Systeme reinzuschauen. Die Hersteller sind in Bezug auf IT-Sicherheit inzwischen ziemlich erfahren. Die Daten werden verschlüsselt, das heißt, wir können teilweise nur noch sehen, wie viele Daten wann übertragen werden – aber nicht, welche Daten genau. Neben der freiwilligen Transparenz der Hersteller haben hier Fahrzeughalter nach DSGVO den Anspruch, auf Nachfrage von den Herstellern Auskunft über die gespeicherten Daten zu erhalten. Mit einem entsprechenden Aufwand und im gesetzlich vorgegebenen Rahmen sind auch unabhängige Prüfungen denkbar.

Wozu werden diese Daten gebraucht?

Klar ist: Die Hersteller benötigen diese Daten für die Entwicklung ihrer Assistenzsysteme. Es ist EU-Vorgabe, dass wir den Straßenverkehr sicherer machen, und wir alle wollen komfortableres Fahren. Das ist nur mit Assistenzsystemen möglich, mit künstlicher Intelligenz im Fahrzeug. Um diese Systeme zu trainieren, werden Daten entsprechender Qualität und Quantität benötigt. Ohne Daten funktionieren sie nicht.

Das heißt, wir müssen immer wieder eine Balance herstellen zwischen den Anforderungen an den Datenschutz einerseits und dem Bedarf an Daten für die Ermöglichung bestimmter Funktionen andererseits.

Was können Autofahrer selbst bestimmen?

Zum einen gibt es die Datenschutzgrundverordnung, die auf Datenminimierung abzielt. Zum anderen gibt es den Data Act der EU, bei dem es um die bessere Nutzung von Daten geht – aber auch, dass der Nutzer die Hoheit über diese Daten hat. Und da ist das Entscheidende, inwieweit der Nutzer vom Hersteller einbezogen wird bei der Frage, was mit den Daten passiert.

Unsere Aufgabe als BSI ist es, die Industrie und die Marktüberwachungsbehörden – bei uns in Deutschland das KBA (Kraftfahrt-Bundesamt, Anm. d. Red.) – darin zu unterstützen, dass die Daten sicher übertragen werden, dass es keine Schwachstellen gibt, die von eventuellen Angreifern ausgenutzt werden können.

Wie gehen Sie da heran?

Ein modernes Fahrzeug ist ein sehr komplexes System. Es ist eigentlich ein fahrendes Computernetzwerk mit vielen Schnittstellen nach außen – von der SIM-Karte für das E-Call-Modul über WLAN-Schnittstellen, Schnittstellen zum Smartphone des Fahrers. Oder bei E-Fahrzeugen eine Verbindung zur Ladesäule, mit der Abrechnungsdaten übertragen werden, sowie Informationen über den Zustand der Batterie und so weiter. Je komplexer das wird, desto mehr stellen die einzelnen Komponenten mögliche Angriffsflächen für einen Angreifer dar.

Wir müssen also zunächst analysieren, wie dieses System abgesichert werden kann, sodass Angreifer möglichst gar keinen unerlaubten Zugriff bekommen – und erst recht nicht auf sensible Daten. Dann treiben wir die Absicherung der Systeme durch technische und organisatorische Maßnahmen gemeinsam mit Forschung, Industrie und anderen Behörden voran.

Aber kann man sich überhaupt vor jedem Risiko schützen?

Nicht zu 100 Prozent. Vielmehr müssen wir risikobasiert arbeiten. Wir prüfen, wo die größten Risiken sind, und darum müssen wir uns besonders kümmern. Es gibt Bereiche, die schon gut abgesichert sind. Doch nicht immer ist alles bis ins Detail reguliert: Es heißt etwa in bestimmten Richtlinien, dass das Netzwerk oder Schnittstellen abgesichert werden müssen. Wie genau das funktioniert, steht da nicht drin. Dann ist es Aufgabe des BSI, zu untersuchen, wo es noch weiße Flecken auf der Landkarte gibt und wo noch große Risiken bestehen.

Entscheidend ist, bei dieser Komplexität den Überblick zu behalten und für eine Gesamtsicherheit zu sorgen. Bei der konkreten Absicherung helfen dann in vielen Fällen die technischen Richtlinien und Empfehlungen des BSI, zum Beispiel zur Kryptografie (Verschlüsselung, Anm. d. Red.).

Vermutlich sind da recht viele Akteure nötig, um regulativ einzugreifen.

Ein großes Problem ist es, überhaupt einen Überblick zu bekommen. Es geht immer um die Frage, welche Schwachstellen es gibt und was passieren könnte. Wir arbeiten daran, eine intensivere Vernetzung zwischen Behörden und Industrie herzustellen. Es gibt immer mehr Regularien und Richtlinien für Hersteller, Zulieferer und Softwareanbieter, die nun in Kraft treten und die nicht immer klar voneinander abgegrenzt sind.

Wir müssen Wege finden, um sinnvoll mit der steigenden Zahl an Schwachstellen- und Vorfallsmeldungen umzugehen. Dafür bauen wir Ressourcen auf und etablieren Prozesse, um diese Dinge zu automatisieren. Gleichzeitig arbeiten wir mit der Industrie zusammen, um diese Schnittstellen zu verbessern. Wir müssen besser untereinander kommunizieren und auch sicherstellen, dass die relevanten Informationen zu uns kommen und wir diese so verarbeiten können, dass wir dann auch Hilfestellung leisten können. Es soll eben nicht zu Problemen kommen, wenn solche Schwachstellen auftreten, oder falls doch, sollen diese Probleme möglichst minimiert werden.

Haben Sie ein Beispiel dafür, wo das aktuell noch schwierig ist?

Wir erhalten zum Beispiel eine Meldung, dass ein Hersteller von Ampeln eine Sicherheitslücke in seinem System hat. Dann fragen wir uns: Wo sind diese Ampeln überhaupt verbaut? Und wenn diese Ampeln da sind, haben die eine Softwareversion, die überhaupt angreifbar ist? Es gibt keine zentrale Stelle, bei der wir diese Informationen abfragen können. Letztlich landen wir bei den Kommunen und müssen einzeln und zeitaufwendig abfragen, welches Ampelsystem sie verbaut haben. Nur so können wir herausfinden, wo die Lücke ist. Hier ist es wichtig, zeitnah Prozesse zu erarbeiten, die zentrale Abfragen und zeitnahe Antworten ermöglichen.

In solchen Fällen ist doch eigentlich Tempo gefragt.

Genau das ist auch unser Ziel. Wir arbeiten im engen Austausch mit unserem Lagezentrum, dem KBA und den Unternehmen. Allerdings ist die Komplexität eine Herausforderung. Wir wollen diese komplexen Systeme und ihre Vorteile nutzen. Aber wir müssen regelmäßig daran arbeiten, das Vertrauen in sie zu stärken. Früher spielte die Typgenehmigung die zentrale Rolle für ein Fahrzeug und dessen Sicherheit. Heute gewinnt mit steigender Systemkomplexität eine kontinuierliche Marktüberwachung stetig an Bedeutung.

Es genügt, wenn jemand in einer Software ein Einfallstor findet und das auf YouTube präsentiert. Schon gibt es eine riesige Angriffsfläche, die zum Zeitpunkt der Genehmigung und Zulassung des Fahrzeuges nicht bekannt war. Auch durch Softwareupdates ist das Fahrzeug kein statisches Gerät mehr. Das heißt, auch wenn wir das Fahrzeug in der jetzigen Version untersuchen, dann heißt das nicht, dass nach dem Softwareupdate das Fahrzeug genauso sicher ist, wie es vorher war. Da muss man schnell reagieren.

Das erinnert an die Faxgeräte in deutschen Gesundheitsämtern in Zeiten der Corona-Pandemie. Ist Deutschland beim Thema Digitalisierung weit genug, um solche Herausforderungen in nächster Zeit meistern zu können?

Wir hinken da als Deutschland nicht hinterher. Es ist ein generelles Problem dieser Prozesse. Wir müssen uns vor Augen halten, wenn wir über die Cybersicherheit von Fahrzeugen sprechen, wie viele Komponenten, Parteien und Prozesse daran beteiligt sind – und dass es natürlich auch um teilweise sehr schützenswerte Daten geht. Die Unternehmen sind zögerlich, alle ihnen zur Verfügung stehenden Informationen weiterzugeben, um zu vermeiden, dass diese in die Hände der Konkurrenz gelangen. Wir als BSI oder auch andere Behörden versuchen natürlich, ein Vertrauensverhältnis aufzubauen. Denn je mehr Informationen wir bekommen, desto besser.

Wie gehe ich am besten als Besitzer eines Neuwagens mit dem Thema Datensicherheit um?

Wir müssen uns alle mehr mit Daten und ihrer Nutzung beschäftigen, sowohl seitens des Gesetzgebers als auch des Nutzers. Das heißt: Autobesitzer müssen Entscheidungen aktiver treffen, beispielsweise zu Datenschutzeinstellungen. Jeder sollte sich fragen: Welche Daten sollen zum Hersteller übertragen werden? Möchte ich, dass meine Daten dorthin fließen oder nicht? Welche Risiken bestehen, wenn ich Finanzdaten preisgebe? Wie funktioniert denn generell ein solches System? Welche Risiken gibt es? Und dann bewusst auswählen, was für einen persönlich wichtig ist und was nicht.

Wir bemühen uns um Aufklärung, aber auch die Verbraucher müssen mithelfen. Wer sich im Vorfeld ein wenig mit dem Thema Cybersicherheit im Auto auseinandersetzt, kann schon beim Autokauf Fragen stellen: Welche Einstellmöglichkeiten habe ich? Ist das im Handbuch ausführlich erklärt? Gibt es eine Möglichkeit, die über mich gesammelten Daten abzufragen? Wer das ignoriert, muss auch damit rechnen, dass Dinge passieren, die nicht erwünscht sind. Das BSI, andere nationale und europäische Behörden sowie die Industrie üben jedoch eine Schutzfunktion aus und arbeiten daran, diese unerwünschten Folgen zu minimieren.

Kann ich es komplett verhindern, dass meine Daten von meinem Auto geteilt werden?

Noch einmal das Beispiel E-Call-System: Das ist eine gesetzliche Vorgabe, da kommen Sie nicht drumherum – und bei einem Unfall möchte man wahrscheinlich auch, dass Helfer schnell vor Ort sind. Meist haben Sie die Wahl: Sie können das Herstellersystem nutzen, das mehr Daten sendet, aber dafür auch mehr Funktionen ermöglicht. Das ist eine persönliche Entscheidung, die jeder selbst treffen muss.

Ich wünsche mir einfach, dass es transparenter wird, dass eine bessere Aufklärung stattfindet und dann alle Verbraucher auch eine bessere Entscheidungsgrundlage haben. Hierfür setzt sich das BSI durch den Austausch und Kooperationen im großen Expertennetzwerk, durch Studien und Projekte und durch die Bereitstellung von Informationsmaterialien ein.