 auf Kill-Switch und Fernzugriff, da Norwegen Abschaltmöglichkeiten entdeckte.){kind=link}
Angesichts der alarmierenden Berichte aus Norwegen und Dänemark leitete auch das Vereinigte Königreich Untersuchungen ein, um die Sicherheit seiner Elektrobusflotten des chinesisches Herstellers Yutongs zu prüfen. Das britische Verkehrsministerium (Department for Transport) arbeitet dabei eng mit dem National Cyber Security Centre (NCSC) zusammen, um den Anfangsverdacht zu klären. Gemeinsam analysiert man, ob es Yutong tatsächlich möglich ist, von China aus in die komplexen Steuerungssysteme der Busse einzugreifen, d.h. diese zu manipulieren und vollständig lahmzulegen. Auslöser für diese Untersuchungen ist der norwegische Fund des Verkehrsbetriebs Ruter, der feststellte, dass eine verbaute SIM-Karte nicht nur für Over-The-Air (OTA) Updates, sondern theoretisch auch für eine Remote-Abschaltung nutzbar ist. In Großbritannien sind etwa 700 Yutong-Busse im Einsatz, was die Sorge vor Fremdeinfluss und möglichen „Kill-Switches“ zusätzlich verstärkt.
Norwegen erkannte das Risiko eines Fernzugriffs
Die Ursache der europaweiten Kontrollen sind die detaillierten Tests des norwegischen ÖPNV-Unternehmens Ruter. Zur Identifikation potenzieller Sicherheitslücken überprüfte man einen neuen Yutong-Elektrobus in einem stillgelegten Bergwerk, um externe Mobilfunk-Einflüsse auszuschließen. Bei dieser Untersuchung stellte man fest, dass eine im Fahrzeug verbaute rumänische SIM-Karte vorhanden ist. Diese dient primär dazu, die Fahrzeuge über das Mobilfunknetz mit Software-Updates (Over-The-Air, OTA) zu versorgen. Zudem ermöglicht sie den Zugang zum Energie- und Batteriemanagementsystem.
Ruter bewies, dass man diesen digitalen Zugang theoretisch auch dazu nutzen könne, die 850 Yutong-Busse aus der Ferne zu manipulieren, ein vollständiges Lahmlegen zu bewirken oder die Türen zu verriegeln. Demgegenüber ergab ein vergleichsweiser Test mit einem älteren Elektrobus des niederländischen Herstellers VDL, dass dieser keinen entsprechenden digitalen Zugang zur Fernwartung besitzt. Entwarnung gab Ruter jedoch bezüglich der eingebauten Kameras, da diese nicht mit dem Internet verbunden und daher nicht von außen nutzbar sind. Überdies sei das Modul für den Fernzugriff nicht tief in die Fahrzeugsysteme integriert, wodurch der Kontakt zur Außenwelt leicht abgeklemmt und gesendete Aktualisierungen vorab eingesehen werden können.
Die Gefahr des „Kill-Switch“ ist eine Herausforderung für Europa
Demzufolge lösten die Funde des norwegischen Verkehrsunternehmens Ruter eine Kettenreaktion aus, die sich rasch über die skandinavischen Grenzen hinaus ausbreitete. Zunächst reagierte Dänemark auf die Sicherheitswarnung aus Oslo und leitete ebenfalls offizielle Untersuchungen ein. Mit 262 Yutong-Fahrzeugen, die mehr als die Hälfte aller Elektrobusse des Landes ausmachen, ist Dänemark ebenso von potenziellen Fernzugriffen betroffen. Auch in Norwegen selbst leitete man angesichts der 850 betroffenen Busse sofort neue Sicherheitsmaßnahmen ein. Künftige Over-The-Air (OTA)-Updates für Yutong-Busse sollen daher verzögert und vor der Auslieferung strenger geprüft werden. Die Reaktion Norwegens sowie die darauf folgenden Prüfungen in Großbritannien und Dänemark zeigen, dass eine mögliche ferngesteuerte Manipulation der chinesischen E-Busse nicht nur ein nationales, sondern ein ernstzunehmendes europäisches Problem der Cybersicherheit im öffentlichen Verkehr ist.
Yutongs Marktanteile und politische Dimension in Großbritannien
Die Sorge eines Zugriffs ist dabei nicht unbegründet, denn im Vereinigten Königreich gibt es rund 700 Yutong-Busse. Diese sind hauptsächlich in Glasgow, Nottingham und Südwales unterwegs. Demgegenüber hat der chinesische Hersteller BYD 2.500 E-Busse (über 1.000 in London) in Betrieb und hält somit den größten Marktanteil. Jedoch ist auch der heimische Hersteller Wrightbus ein bedeutender Marktführer, der rund 1.700 E-Busse in Europa im Einsatz hat. Laut einem Bericht aus dem Jahr 2024 verzeichnete man letztes Jahr 786 Neuzulassungen im Vereinigten Königreich.
Über die bereits betriebenen 700 E-Busse hinaus verfolgt Yutong weiterhin ehrgeizige Pläne auf dem britischen Markt. Das Unternehmen möchte einen speziellen Elektro-Doppeldecker entwickeln, der die Londoner Standards erfüllt. Obwohl für dieses Modell noch keine Aufträge vorliegen, verfolgt Yutong weitere Expansionsbestrebungen. Allerdings steht man diesen aufgrund der ohnehin angespannten Beziehungen zwischen London und Peking mit Skepsis entgegen. Konservative Abgeordnete, darunter Sir Iain Duncan Smith, äußerten die Befürchtung, dass die chinesischen Fahrzeuge nicht nur eine funktionelle Schwachstelle darstellen, sondern im schlimmsten Fall als „Abhörgeräte“ auf britischen Straßen dienen könnten. Dies verdeutlicht, dass die Debatte weit über technische Sicherheitsfragen hinausgeht und tief in geopolitische Konflikte eingebettet ist.
Hersteller Yutong weist Manipulationsvorwürfe zurück
Trotz der Erkenntnisse aus Großbritannien, Dänemark und Norwegen streitet Yutong die Vorwürfe vehement ab. Yutong betont, man habe sich an die „geltenden Gesetze, Vorschriften und Industriestandards der Standorte, an denen die Fahrzeuge betrieben werden“, gehalten. Den eigenen Angaben zufolge werden die Busdaten gemäß den EU-Datenschutzgesetzen in einem AWS-Rechenzentrum in Frankfurt/Main verschlüsselt gespeichert. Somit seien diese Daten vor unbefugten Zugriffen geschützt und seien ausschließlich für fahrzeugbezogene Wartungs-, Optimierung- und Verbesserungszwecke vorgesehen. Folglich sei der Zugriff nur mit Kundenautorisierung möglich.
Quellen / Weiterlesen
Untersuchung: Elektrobusse in Großbritannien aus China abschaltbar? | Heise
Norwegen: China kann Yutong-Elektrobusse kontrollieren | Energyload
Bildquelle: © Yutong