EU setzt auf Cybersicherheitsstandards
Nach EU-Typgenehmigungsrecht sind Hersteller verpflichtet, Fahrzeuge "angemessen gegen Cyberangriffe zu schützen und Zugriffe auf Fahrzeugdaten durch Unberechtigte zu verhindern" . Die UNECE-Regulierungen WP.29 R155 und R156(öffnet im neuen Fenster) setzen seit Juli 2024 verbindliche Cybersicherheitsstandards für alle Neufahrzeuge in der EU.
Hersteller müssen ein Cybersecurity Management System (CSMS) implementieren und regelmäßig Software-Updates bereitstellen. Die Regulierung gilt herstellerunabhängig – also auch für chinesische Marken.
Auch China reguliert. Seit 2021 hat das Land 39 Richtlinien zur Datensicherheit in der Automobilindustrie erlassen, einschließlich Lokalisierungspflichten. Fahrzeugdaten müssen in China gespeichert werden. Der Export ist genehmigungspflichtig. Ein Forschungsbericht zu Smart-Car-Sicherheit in China(öffnet im neuen Fenster) zeigt: Das Land nimmt Cybersicherheit im Automobilsektor ernst – allerdings primär zur Kontrolle, weniger zum Schutz vor staatlichem Zugriff.
Das Bundesinnenministerium will die Lage beobachten. Ein Sprecher des Ministeriums sagte dem Handelsblatt(öffnet im neuen Fenster) : "Aufgrund der steigenden Marktanteile chinesischer Autohersteller im europäischen Markt, der geopolitischen Lage und der chinesischen Machtambitionen ergibt sich die Notwendigkeit, mögliche Risiken chinesischer Fahrzeuge genau im Blick zu haben."
Was bedeutet das für Verbraucher? – Transparenz fehlt bei allen Herstellern
Ein Sprecher des BSI erklärte, dass die meisten in Deutschland angebotenen Neufahrzeuge technisch in der Lage sind, während der Fahrt generierte Daten aufzuzeichnen und an die Hintergrundsysteme der Hersteller zu übermitteln. Explizit nannte er Orts-, Kamera- und Sensordaten. Die Informationen würden unter anderem transferiert, um den Nutzern Zusatzdienste anzubieten oder um Produkte weiterzuentwickeln.
Der konkrete Umfang der generierten Daten und deren Übermittlung sei für die Kunden allerdings häufig intransparent. Der Sprecher verwies zudem darauf, dass die tatsächliche Verwendung der Daten durch den Hersteller insbesondere im Ausland nur schwer überprüfbar sei. Das gilt für chinesische Hersteller – aber auch für US-amerikanische und europäische.
Der Verfassungsschutz gibt unabhängig davon zu bedenken, dass auch bei Geräten des sogenannten Internet of Things (IoT) ähnliche Gefahren wie bei vernetzten Fahrzeugen bestehen. Im Autosektor können das Navigations- oder Fahrassistenzsysteme sein, im Gesundheitsbereich Smartwatches, die Blutsauerstoff, Herzfrequenz oder Blutzucker messen können. Im privaten Umfeld kommen Smart-Home-Geräte zum Einsatz, mit denen die Beleuchtung, Heizung, Sicherheitskameras oder Haushaltsgeräte kontrolliert und gesteuert werden können. Werden IoT-Geräte gehackt, kann dies im schlimmsten Fall dazu führen, dass Angreifer die Kontrolle über die Geräte bekommen.