Ein geheimer Cybersicherheitstest des Osloer Verkehrsbetriebs Ruter deckte besorgniserregende Sicherheitslücken bei chinesischen Elektrobussen des Herstellers Yutong auf. In Norwegen sind rund 850 dieser Busse im Einsatz. Die Prüfung, die in einer stillgelegten Mine stattfand, zeigte, dass der Hersteller aus China die Fahrzeuge nicht nur fernsteuern und jederzeit stoppen kann, sondern auch vollen Zugriff auf alle Diagnosedaten hat. Dies wird durch eine elektronische SIM-Karte ermöglicht. Als Reaktion darauf informierte Ruter das norwegische Verkehrsministerium und kündigt an, künftig strengere Sicherheitsverfahren für Neubeschaffungen festzulegen, um diese Risiken auszuschließen.
Geheimer Sicherheitstest enttarnt kritische Schwachstelle in Norwegen
Die öffentliche Verkehrsgesellschaft Ruter, die für den Großraum Oslo zuständig ist, führte kürzlich einen verdeckten Test durch. Dieser fand in einer abgelegenen, stillgelegten Mine statt, um die Cybersicherheit der Busflotte zu überprüfen. Angesichts der Tatsache, dass landesweit über 1.350 chinesische Elektrobusse im Einsatz sind – davon allein rund 850 des Großherstellers Yutong – sah man Handlungsbedarf. Nicht umsonst, denn die Ergebnisse dieses Tests waren alarmierend. Während ein vergleichbarer Bus eines niederländischen Herstellers keinerlei Sicherheitsbedenken aufwies, zeigten die Fahrzeuge des chinesischen Anbieters eine umfassende Kontrollmöglichkeit durch den Hersteller. Dieser unbeabsichtigte Fund wirft ernsthafte Fragen zur Kontrolle der kritischen Verkehrsinfrastruktur auf.
Der Mechanismus: SIM-Karte für Fernsteuerung und Daten-Hintertür
Die tiefgehenden Untersuchungen der norwegischen Experten ergaben, dass Yutong-Busse über eine in Rumänien verbundene elektronische SIM-Karte mit dem Mobilfunknetz verbunden sind. Diese Verbindung dient primär der Übertragung von Over-The-Air-Updates (OTA), also Software-Aktualisierungen aus der Ferne. Allerdings ermöglicht diese Schnittstelle dem chinesischen Hersteller weit mehr als nur Updates. Folglich können die Busse von China aus nicht nur ferngesteuert, sondern auch vollständig stillgelegt werden. Die Möglichkeit, die Kontrolle über ein fahrendes Fahrzeug zu übernehmen und es abrupt zum Stillstand zu bringen, war für Ruter die größte Überraschung. Hinzu kommt der permanente und vollständige Zugriff auf sämtliche Diagnosedaten, Parameter, Fehlerprotokolle und sogar die Fernsteuerung von Funktionen wie dem Verriegeln oder Öffnen der Fahrertüren.
Internationale Welle der Untersuchungen in Europa
Die Erkenntnisse aus Oslo lösten in Europa eine sofortige Reaktion aus, da die Busse des chinesischen Herstellers in über 30 Ländern der Welt im Einsatz sind. Nach Norwegen haben sowohl Dänemark als auch Großbritannien umgehend eigene Untersuchungen eingeleitet, um das Risiko einer möglichen Remote-Abschaltung zu bewerten. In Dänemark, wo Yutong mit 262 Fahrzeugen mehr als die Hälfte der E-Bus-Flotte bereitstellt, laufen die Prüfungen noch. Auch die britische Regierung arbeitet zusammen mit dem National Cyber Security Centre (NCSC) an Untersuchungen. Sie möchten feststellen, ob die in Großbritannien verkehrenden 700 Yutong-Busse ebenfalls eine Sicherheitslücke aufweisen. Die Enthüllungen und Nachforschungen verdeutlichen, dass die Abhängigkeit von globalen Lieferketten und vernetzter Technologie neue, sicherheitspolitische Herausforderungen für die Infrastruktur mit sich bringt.
Reaktion der Politik und neue Sicherheitsmaßnahmen
Als direkte Konsequenz der Testergebnisse informierte Ruter umgehend das norwegische Verkehrsministerium. Die Behörden in Oslo haben bereits erste Sofortmaßnahmen ergriffen, um die digitale Kontrolle über die Fahrzeuge zurückzugewinnen. Dazu gehört die Möglichkeit, zukünftige OTA-Updates gezielt zu verzögern und eingehend zu prüfen, bevor sie auf die Busse aufgespielt werden. Weitreichender sind jedoch die Konsequenzen für künftige Beschaffungen. Somit kündigte das Ministerium an, dass für alle Neuanschaffungen striktere und klar definierte Sicherheitsanforderungen gelten werden, um Risiken auszuschließen. Die Priorität liegt nun darauf, eine lokale und souveräne Kontrolle der Fahrzeugsysteme zu gewährleisten.
Hersteller Yutong verteidigt sich mit Datenspeicherung in Frankfurt
Yutong, einer der weltweit größten Bushersteller, reagierte auf die Sicherheitsbedenken mit einer offiziellen Stellungnahme. Das Unternehmen versicherte, man „halte sich strikt an geltende Gesetze und Industriestandards der Standorte, an denen man die Fahrzeuge betreibe“. Insbesondere die Speicherung der sensiblen Busdaten kamen zur Sprache.
Yutong gab an, dass die Telemetriedaten der Fahrzeuge verschlüsselt in einem AWS-Rechenzentrum in Frankfurt am Main gespeichert werden. Diese Daten dienten ausschließlich Wartungszwecken, der Optimierung der Fahrzeuge und deren Fehlerdiagnose und seien vor unbefugten Zugriffen geschützt. Trotz dieser Zusicherung bleiben die Fragen zur Möglichkeit der Fernabschaltung und der vollständigen Kontrolle der Steuerungssysteme durch den Hersteller weiterhin ein zentrales Anliegen der europäischen Verkehrsbehörden.
Quellen / Weiterlesen
Briten untersuchen ihre Elektrobusse auf Kill-Switch | Golem
Bildquelle: © Ruter