China hat einen Kill-Switch für die Öffi-Busse in anderen Ländern

Norwegen ist nicht nur bei Elektro-Pkw führend: Auch im öffentlichen Verkehr ist die Elektrifizierung weit vorangeschritten. Dabei kommen viele E-Busse chinesischer Hersteller zum Einsatz, weil diese deutlich günstiger als die von europäischen Anbietern sind und schnell in hoher Stückzahl geliefert werden können.

Das sorgt für Kritik und Sicherheitsbedenken, vor allem, was den Datenschutz angeht. Ruter, die Betreibergesellschaft für den öffentlichen Verkehr in Oslo, hat deshalb einen Test durchgeführt. Ein 3 Jahre alter E-Bus des niederländischen Anbieters VDL wurde mit einem neuen Bus des chinesischen Herstellers Yutong verglichen.

Entwarnung gibt es bei den Überwachungskameras in den Bussen. Bei beiden Modellen sind diese nicht mit dem Internet verbunden. Beim Fernzugriff unterscheiden sie sich aber. Der VDL-Bus biete keine Over-the-Air-Updates (OTA) und damit auch keinen Zugriff von außen. Das Modell von Yutong aber schon.

Rumänische SIM-Karte im Bus

Das OTA-Modul liefert Yutong jederzeit Zugriff auf den Bus, mittels einer rumänischen SIM-Karte. Laut Ruter kann damit auf das Batterie- und Stromversorgungsmanagementsystem zugegriffen werden. Dadurch sei es Yutong jederzeit möglich, den Bus aus der Ferne zu stoppen und unbrauchbar zu machen.

Immerhin habe man bei den Tests herausgefunden, dass das OTA-Modul nicht allzu tief in die Systeme der Yutong-Busse integriert sei. Es gebe nur eine Verbindung zu den kritischen Busfunktionen, weshalb man den Zugriff darauf isolieren könne.

Ruter arbeitet jetzt an einer Firewall, damit OTA-Updates weiterhin möglich sind, aber diese nicht als Kill-Switch genutzt werden können, um die Busse unbrauchbar zu machen. Außerdem will man einen Mechanismus implementieren, mit dem die empfangenen Updates erst ausgelesen und ausgewertet werden können, bevor sie tatsächlich in die Bus-Software eingespielt werden.

➤ Mehr lesen: Probesitzen im 7.000 Euro Elektroauto: Dieses Microcar kommt nach Europa

Yutong ist der größte Bushersteller der Welt

Man geht davon aus, dass die nächste Generation von Bussen die OTA-Module stärker integriert hat und es deutlich schwieriger werden wird, diese nachträglich mit einer Firewall auszustatten. Deshalb werden jetzt auch strengere Sicherheitsanforderungen für künftige Beschaffungen von Fahrzeugen festgelegt.

Auch für andere Öffi-Betreiber dürfte die Untersuchung von Ruter wertvoll sein. Yutong ist nämlich seit 9 Jahren der größte Bushersteller der Welt und hat seine Fahrzeuge u. a. nach Europa, Afrika, Australien und Südamerika verkauft. Auch in der niederösterreichischen Stadtgemeinde Amstetten werden 7 E-Busse von Yutong genutzt. Ob diese Fahrzeuge mit einer Möglichkeit für OTA-Updates ausgestattet sind, ist nicht bekannt. 

Einfallstor für Cyberkriminelle

Yutong entstand zwar aus einem staatlichen Betrieb, wird aber seit etlichen Jahren als Unternehmen an der chinesischen Börse geführt. So oder so sollten jedoch die Hersteller nicht die Möglichkeit haben, Fahrzeuge des öffentlichen Verkehrs stillzulegen.

Hier muss man nicht dem Unternehmen selbst oder dem Staat dahinter böse Absichten unterstellen, um zu merken, dass das keine gute Idee ist. Cyberkriminelle könnten sich durch Sicherheitslücken Zugriff auf das System verschaffen und die Busse lahmlegen, um Chaos zu stiften oder um Lösegeld zu erpressen.

Dass das eine reale Gefahr ist, berichtet Ruter ebenfalls. Experten hätten eine Sicherheitslücke auf einer Software-Update-Plattform entdeckt, die auch von Yutong genutzt wird. Die Lücke wurde dem Softwareanbieter gemeldet und mittlerweile geschlossen.