Zu wenig Schutz vor Hackerangriffen: Porsche und VW müssen ihre Modelle einstellen

Was haben der Kleinwagen VW Up und der Porsche Macan gemeinsam? Diese Modelle werden spätestens im Sommer nicht mehr neu erhältlich sein. Der Grund: ab 1. Juli dieses Jahres tritt die EU-Richtlinie UN R155 in Kraft. Diese neue Regel fordert ein zertifiziertes System zur Abwehr von Hackerangriffen in allen Neuwagen, die im EU-Raum angeboten werden.

Die genannten Modelle haben dieses System nicht und dürfen deswegen nicht mehr angeboten werden. Betroffen ist auch der Transporter T6.1 und die Porsche-Verbrenner Macan, Cayman und Boxster. Bereits jetzt bietet der VW-Konzern seine betroffenen Modelle nicht mehr an. Porsches Macan wird im Laufe des Frühjahrs nicht mehr erhältlich sein, wie „Auto, Motor und Sport“ berichtet. Für den Cayman und den Boxster gibt es noch kein konkretes Enddatum.

Porsche reagierte aber weitestgehend gelassen auf die Regelverschärfung. Ein Unternehmenssprecher sagte: „Nur rund ein Drittel des Macan-Absatzes entfällt auf die EU.“ Die Märkte in den USA und in China decken die restlichen zwei Drittel ab. Die Modelle 718 GT4 RS sowie 718 Boxster RS bilden eine Ausnahme. Aufgrund zu geringer Stückzahlen darf Porsche sie künftig weiterhin anbieten.

Bei fast allen anderen Fahrzeugmarken sind offenbar keine Modelle von der Neuregelung betroffen, wie eine „Bild“-Recherche ergab. Lediglich beim französischen Autokonzern Renault fallen die Modelle Twingo, Zoe und die Verbrennerversionen des Mégane weg. „Der Abverkauf der Fahrzeuge ist bis Jahresmitte geplant“, teilte ein Firmensprecher mit.

Warum die Richtlinie?

Praktisch alle modernen Autos sind rollende Computer, da die Hersteller in den vergangenen Jahren immer mehr elektronisches Equipment eingebaut haben. Zudem sind sie jederzeit mit dem Internet verbunden. Bis 2027 soll es weltweit insgesamt 367 Millionen vernetzte Fahrzeuge geben. Im vergangenen Jahr lag die Anzahl bei 192 Millionen. Das macht sie zu einem immer leichteren Ziel für Hackerangriffe.

Mit der neuen EU-Richtlinie müssen laut der „Bild“ Neuwagen ab Juli daher unter anderem den Entwicklungsprozess der gesamten Software dokumentieren und einreichen. Insbesondere bei älteren Baureihen ist das schwer umsetzbar. In die Nachrüstung wollen manche Hersteller nicht investieren, weshalb die betroffenen Modelle auslaufen oder bereits ausgelaufen sind.

Das bestätigte der VW-Markenchef Thomas Schäfer: „Wir müssten da sonst noch einmal eine komplett neue Elektronikarchitektur integrieren. Das wäre schlichtweg zu teuer.“ Somit sei der Entschluss gefallen, den gefragten Kleinwagen Up ohne direkten Nachfolger einzustellen. „Leider“, fügte Schäfer hinzu. Auch weiterhin sei das Einstiegsmodell sehr gefragt bei den Kunden. Die Hersteller müssten einen enorm hohen Aufwand betreiben, sagte auch Stefan Bratzel vom Center of Automotive Management (CAM). Die Kosten gingen pro Fahrzeug in die Millionen.

Moderne Autos sind inzwischen zu Computern auf vier Rädern geworden. Foto: iStock

Wie real sind Hackerangriffe?

Es ist längst möglich, sich mit etwas Fachwissen und der richtigen Ausstattung in ein modernes Auto zu hacken. Das zeigte bereits im Jahr 2015 ein spektakulärer Fall, wie der ADAC darstellt. In den USA erlangten damals „Angreifer“ per Laptop Zugriff auf einen Jeep – und lenkten ihn in den Straßengraben.

Das Motiv der Hacker war jedoch kein kriminelles. Sie wollten lediglich aufzeigen, wie lückenhaft die in dem Geländewagen eingebaute Technik war. Die Hacker benutzten das Entertainment-System als Eingangstor und erhielten dadurch Zugriff auf die Fahrzeugsteuerung. Die Insassen in dem Jeep sind im Vorfeld über den Hackerangriff informiert worden.

Auch in den darauffolgenden Jahren wurden bei anderen Marken immer wieder Sicherheitslücken entdeckt. Der ADAC hat beispielsweise in BMW-Fahrzeugen als mögliche Eingangstore die USB-Schnittstelle, die Diagnose-Schnittstelle (OBD) oder das Bluetooth-Modul erkannt. Als weiteres, besonders großes Eingangstor nennt der Automobilclub das Keyless-Schlüsselsystem. Mehr als 600 Fallbeispiele offenbarten, wie leicht die Hersteller es möglichen Hackern mit unsicherer Technik machen.

Autoindustrie ist kaum vorbereitet

Insgesamt ist Deutschlands Autoindustrie auf die Umsetzung der neuen Cybersicherheitsrichtlinie in der EU nicht ausreichend vorbereitet. Das zeigt eine Umfrage der IT-Sicherheitsberatung Kaspersky.

Darin gaben 28 Prozent der Befragten an, dass ihr Unternehmen keine Vorbereitungen für die Umsetzung der ab 1. Juli gültigen Sicherheitsanforderungen getroffen habe, wie die „Welt am Sonntag“ aus den Zahlen zitiert. Nur neun Prozent sagten, sie seien hierfür gerüstet. Der Rest hat einen Plan (23 Prozent) oder befindet sich in dessen Umsetzung (37 Prozent).

Befragt wurden im Januar 200 IT-Entscheidungsträger aus Automobil-, Logistik- und Transportunternehmen zur Cybersicherheit in der Automobilbranche und in ihrer Lieferkette. Die Antworten deuten auf grundsätzliche Probleme in der Industrie hin. So äußerten laut Kaspersky „mehr als die Hälfte (52 Prozent) der IT-Entscheider ernsthafte Bedenken, dass vernetzte Fahrzeuge ausreichend vor Cyberangriffen geschützt sind“. Für 23 Prozent der Befragten stellt die Vernetzung der Fahrzeuge bis 2026 die größte Sicherheitsherausforderung dar.

Cyberschwachstellen in der Lieferkette sehen die IT-Experten vor allem bei Lieferanten von Software (57 Prozent) und Komponenten (47 Prozent), bei Logistikdienstleistern (46 Prozent) sowie in der Infrastruktur, etwa bei Ladestationen (42 Prozent).

(Mit Material von dts)