Cybersicherheitslücken bei norwegischen Yutong-Bussen?

Der norwegische ÖPNV-Betreiber Ruter beklagt nach Cybersicherheitstests bei einem Elektrobus des chinesischen Herstellers Yutong potenzielle Risiken im Zusammenhang mit Over-The-Air-Software-Updates – und will jetzt mit mehreren Maßnahmen gegensteuern (Update am Artikelende).

Yutong ruter cybersecurity test — Yuton-Bus in der norwegischen Mine.
Bild: Ruter

Durch den digitalen Zugriff auf Steuerungssysteme für Software-Updates und Diagnosen könnten 850 Yutong-Busse in Norwegen theoretisch manipuliert werden, wie Ruter mitteilt. Der ÖPNV-Betreiber ist dabei betont sachlich und hält in seiner Veröffentlichung lediglich fest, dass der chinesische Hersteller „digitalen Zugriff auf die Steuerungssysteme für Software-Updates und Diagnosen“ habe. „Theoretisch könnte dies ausgenutzt werden, um den Bus zu beeinflussen“, so Ruter. Und: „Die Buskameras sind nicht mit dem Internet verbunden – es besteht kein Risiko einer Bild- oder Videoübertragung aus den Bussen.“

Sprich: Es geht um einen theoretisch möglichen Fernzugriff, der für Software-Updates aus der Ferne eben nötig ist. Vermutlich aufgrund der Tatsache, dass es sich bei Yutong um einen chinesischen Hersteller handelt, wird die Sache in einigen Medien nicht so nüchtern dargestellt wie von Ruter selbst. Die Frankfurter Rundschau schreibt etwa von einem „schwerwiegenden Problem“ und einem „geheimen Sicherheitstest“, der „alarmierende“ Testerergebnisse ergeben habe. „Die Untersuchung ergab, dass 850 Yutong-Busse in Norwegen von China aus ferngesteuert und sogar komplett gestoppt werden können“, heißt es in dem Artikel aus Deutschland.

Tatsächlich fand der Test bereits im Sommer statt, und zwar „in einer isolierten Umgebung in einem Berg“ – einer stillgelegten Mine. So sollte eine mögliche Mobilfunk-Verbindung und damit ein Einwirken von außen verhindert werden. Bei diesen Analysen kam eben heraus, dass Yutong von außen Zugriff auf das Batterie- und Stromversorgungsmanagementsystem hat, konkret über eine rumänische SIM-Karte. Damit könnte – wie gesagt theoretisch – der Bus vom Hersteller unbrauchbar gemacht werden. Ein parallel getesteter E-Bus von VDL, der schon drei Jahre alt ist, schnitt in diesem Test besser ab. Er bietet eben keine Möglichkeit für Over-the-Ai-Updates und damit auch nicht für den Zugriff von außen. Aber es sind auch keine drahtlosen Updates nötig.

Ruter hält in seiner Mitteilung auch fest, dass die Systeme in dem Yutong-Bus „kaum integriert“ sind – also nicht sonderlich gut versteckt, wie es wohl bei einer als Hintertür zur Fern-Stilllegung der Fall gewesen wäre. Es gibt nur einen Ausgang zu den kritischen Funktionen. „Dadurch lässt er sich leicht von der Außenwelt isolieren. Wir können die Signale an den Bus auch verzögern, um Einblick in die gesendeten Aktualisierungen zu erhalten, bevor sie den Bus erreichen. Solche Mechanismen werden derzeit implementiert“, so der ÖPNV-Betreiber. Experten hätten Sicherheitslücken in einer chinesischen Software-Update-Plattform entdeckt, zu deren Kunden auch Yutong gehört. „Die Sicherheitslücken wurden dem Plattformanbieter gemeldet und inzwischen behoben“, heißt es dazu.

„Dieser umfassende und einzigartige Test ermöglicht es uns, die Busse mit dem richtigen Schutz auszustatten. Der öffentliche Nahverkehr in Oslo und Akershus soll Zugang zu modernster Technologie und höchster Sicherheit haben“, so Bernt Reitan Jenssen, CEO von Ruter. „Nach diesen Tests wandelt sich Ruters Besorgnis in konkretes Wissen darüber, wie wir Sicherheitssysteme einbauen können, die uns vor unerwünschten Aktivitäten oder Hackerangriffen auf die Computersysteme des Busses schützen.“

Ruter hat sich bei den Maßnahmen mit dem Ministerium für Verkehr und Kommunikation getroffen, das „gemeinsam mit uns eine Lösung finden möchte“. Das Unternehmen selbst will zunächst die Sicherheitsanforderungen bei künftigen Beschaffungen verschärfen, selbst Firewalls entwickeln, „die lokale Kontrolle gewährleisten und vor Hackerangriffen schützen“ und mit lokalen und nationalen Behörden kooperieren, um klare Cybersicherheitsanforderungen zu schaffen.

„Busse verfügen derzeit über die gleiche Funktionalität wie Pkw aus dem Jahr 2016. Es stimmt, dass mit zunehmender Verbreitung von Fahrerassistenzsystemen und autonomem Fahren das Risiko steigt, wenn nicht vorher Maßnahmen ergriffen werden“, so das Unternehmen.

Update 06.11.2025: Yutong weist den zentralen Vorwurf zurück, man könne aus China heraus auf Busse in Europa zugreifen und diese manipulieren. Huang Zhenghua, Global Brand Director im International Marketing Office von Yutong, erklärt gegenüber der Berliner Zeitung, dass eine Fernsteuerung – etwa Lenken, Bremsen oder Beschleunigen – technisch nicht möglich sei. Zwar verfügten moderne Busse über eine Datenverbindung, doch bestehe keine physische Schnittstelle zwischen dem zentralen Steuergerät, der sogenannten T-Box, und sicherheitskritischen Bauteilen wie Lenkung, Antrieb oder Bremsen. Für solche Eingriffe wäre eine sogenannte CAN-Verbindung nötig, die sicherheitsrelevante Komponenten miteinander vernetzt. „Diese Verbindung existiert bei uns nicht zwischen den entsprechenden Modulen“, so Huang. Das Unternehmen wolle sich auf das Geschäft konzentrieren und halte sich an Regeln und Vorgaben in jedem Markt.

Dänemarks Behörde für Zivilschutz und Notfallmanagement hat derweil laut einem Bericht des Guardian nach den Erkenntnissen aus Norwegen eine Untersuchung eingeleitet. Denn Movia, Dänemarks größtes ÖPNV-Unternehmen, hat 469 chinesische Elektrobusse im Einsatz – 262 davon wurden von Yutong hergestellt.

ruter.no (Mitteilung auf Norwegisch), fr.de, berliner-zeitung.de, theguardian.com (beide Update)

5 Kommentare

zu „Cybersicherheitslücken bei norwegischen Yutong-Bussen?“

Holger

03.11.2025 um 23:28

Das ist einer der Gründe, wieso ich niemals Geräte mit Internetverbindung von chinesischen Herstellern kaufen würde. Hier hat man bei den Yutong Bussen eine schlecht versteckte Hintertür gefunden, ich bin mir aber sicher dass jeder Hersteller Hintertüren in seinen Produkten einbaut. Aber wenn die Firma ein chinesisches (Staats-) Unternehmen ist, macht mir das besonders Sorgen. Viele chinesische Autohersteller sind Staatsunternehmen, darunter der Mutterkonzern von MG Motors. Auch die anderen Hersteller sind per Gesetz zur Zusammenarbeit mit der Regierung gezwungen.

Antworten

Regloh Holmen

04.11.2025 um 12:59

Versteckte "Hintertüren" in Hardware und Software kommen weltweit bei so gut wie allen Herstellern in allen technischen Produkten vor. Volkswagen ist in Teilen ebenfalls in Staatshand und Sie dürfen davon ausgehen, dass in deren Autos dem Konzern bekannte wie unbekannte "Hintertüren" verbaut sind. In Deutschland sind "Staatstrojaner" per Gesetz legalisiert. Es ist sehr naiv zu glauben, nur asiatische Hersteller würden "Hintertüren" einbauen.

Antworten

Holger

04.11.2025 um 18:13

Ich habe doch genau das gesagt: Jeder Hersteller baut Hintertüren in die Software ein, auch VW. Das finde ich zwar nicht gut, ist aber verkraftbar. Bei chinesischen Herstellern sieht das jedoch anders aus. Ich sorge mich, dass mein Auto im Falle eines internationalen Konflikts mit China (z. B. wegen Taiwan) zur Waffe wird. Wenn man tausende Autos fernsteuern kann, ist das eine mächtige Waffe und eine große Gefahr. So etwas würde ich der Gewaltdiktatur in China zutrauen.

Antworten

erFahrer

04.11.2025 um 09:18

Nutzfahrzeuge sollten mit OTA-Zugriff keine Zulassung erhalten. Sie kommen ja stets ins Depot um aktualisiert zu werden. Es ist ja egal welche internationale oder nationale Zugriffe von wem auch immer möglich sind.

Antworten

Emobilitätsberatung-berlin K.D.Schmitz

04.11.2025 um 17:01

Sehr gründliche Arbeit der Norweger.

Antworten