Cybersicherheitslücken bei norwegischen Yutong-Bussen?
Durch den digitalen Zugriff auf Steuerungssysteme für Software-Updates und Diagnosen könnten 850 Yutong-Busse in Norwegen theoretisch manipuliert werden, wie Ruter mitteilt. Der ÖPNV-Betreiber ist dabei betont sachlich und hält in seiner Veröffentlichung lediglich fest, dass der chinesische Hersteller „digitalen Zugriff auf die Steuerungssysteme für Software-Updates und Diagnosen“ habe. „Theoretisch könnte dies ausgenutzt werden, um den Bus zu beeinflussen“, so Ruter. Und: „Die Buskameras sind nicht mit dem Internet verbunden – es besteht kein Risiko einer Bild- oder Videoübertragung aus den Bussen.“
Sprich: Es geht um einen theoretisch möglichen Fernzugriff, der für Software-Updates aus der Ferne eben nötig ist. Vermutlich aufgrund der Tatsache, dass es sich bei Yutong um einen chinesischen Hersteller handelt, wird die Sache in einigen Medien nicht so nüchtern dargestellt wie von Ruter selbst. Die Frankfurter Rundschau schreibt etwa von einem „schwerwiegenden Problem“ und einem „geheimen Sicherheitstest“, der „alarmierende“ Testerergebnisse ergeben habe. „Die Untersuchung ergab, dass 850 Yutong-Busse in Norwegen von China aus ferngesteuert und sogar komplett gestoppt werden können“, heißt es in dem Artikel aus Deutschland.
Tatsächlich fand der Test bereits im Sommer statt, und zwar „in einer isolierten Umgebung in einem Berg“ – einer stillgelegten Mine. So sollte eine mögliche Mobilfunk-Verbindung und damit ein Einwirken von außen verhindert werden. Bei diesen Analysen kam eben heraus, dass Yutong von außen Zugriff auf das Batterie- und Stromversorgungsmanagementsystem hat, konkret über eine rumänische SIM-Karte. Damit könnte – wie gesagt theoretisch – der Bus vom Hersteller unbrauchbar gemacht werden. Ein parallel getesteter E-Bus von VDL, der schon drei Jahre alt ist, schnitt in diesem Test besser ab. Er bietet eben keine Möglichkeit für Over-the-Ai-Updates und damit auch nicht für den Zugriff von außen. Aber es sind auch keine drahtlosen Updates nötig.
Ruter hält in seiner Mitteilung auch fest, dass die Systeme in dem Yutong-Bus „kaum integriert“ sind – also nicht sonderlich gut versteckt, wie es wohl bei einer als Hintertür zur Fern-Stilllegung der Fall gewesen wäre. Es gibt nur einen Ausgang zu den kritischen Funktionen. „Dadurch lässt er sich leicht von der Außenwelt isolieren. Wir können die Signale an den Bus auch verzögern, um Einblick in die gesendeten Aktualisierungen zu erhalten, bevor sie den Bus erreichen. Solche Mechanismen werden derzeit implementiert“, so der ÖPNV-Betreiber. Experten hätten Sicherheitslücken in einer chinesischen Software-Update-Plattform entdeckt, zu deren Kunden auch Yutong gehört. „Die Sicherheitslücken wurden dem Plattformanbieter gemeldet und inzwischen behoben“, heißt es dazu.
„Dieser umfassende und einzigartige Test ermöglicht es uns, die Busse mit dem richtigen Schutz auszustatten. Der öffentliche Nahverkehr in Oslo und Akershus soll Zugang zu modernster Technologie und höchster Sicherheit haben“, so Bernt Reitan Jenssen, CEO von Ruter. „Nach diesen Tests wandelt sich Ruters Besorgnis in konkretes Wissen darüber, wie wir Sicherheitssysteme einbauen können, die uns vor unerwünschten Aktivitäten oder Hackerangriffen auf die Computersysteme des Busses schützen.“
Ruter hat sich bei den Maßnahmen mit dem Ministerium für Verkehr und Kommunikation getroffen, das „gemeinsam mit uns eine Lösung finden möchte“. Das Unternehmen selbst will zunächst die Sicherheitsanforderungen bei künftigen Beschaffungen verschärfen, selbst Firewalls entwickeln, „die lokale Kontrolle gewährleisten und vor Hackerangriffen schützen“ und mit lokalen und nationalen Behörden kooperieren, um klare Cybersicherheitsanforderungen zu schaffen.
„Busse verfügen derzeit über die gleiche Funktionalität wie Pkw aus dem Jahr 2016. Es stimmt, dass mit zunehmender Verbreitung von Fahrerassistenzsystemen und autonomem Fahren das Risiko steigt, wenn nicht vorher Maßnahmen ergriffen werden“, so das Unternehmen.
0 Kommentare