IT-Sicherheitsgesetz für Autos in den USA vorgestellt
Moderne Autos sind quasi rollende Computer – und anfällig für Hackerangriffe, wie sich zuletzt diese Woche zeigte. US-Politiker wollen daher gesetzliche Pflichten für mehr Sicherheit und Datenschutz schaffen.
Im US-Senat wird derzeit ein Gesetzentwurf zur IT-Sicherheit in Autos diskutiert, das die Automobil-Hersteller frühestens ab 2017 zu gemeinsamen Datenschutz- und IT-Sicherheitsstandards verpflichten soll. Die Senatoren Ed Markey und Richard Blumenthal stellten diese Woche den "The Security and Privacy in Your Car Act" vor, den sie auch unter der Abkürzung "SPY Car Act 2015" propagieren.
Ein Mittelklasse-Wagen enthält heute durchschnittlich über 70 Steuergeräte, die miteinander über den CAN-Bus vernetzt sind. Fast alle neuen Fahrzeuge haben einen Wireless-Zugang zu diesen Steuergeräten, um die Daten für Zusatzdienste zu verwenden. In den USA machten in den vergangenen Jahren immer wieder Hacker auf Sicherheitslücken in Autos aufmerksam. Diese Woche schafften es zwei Sicherheitsexperten, einen fahrenden Cherokee Jeep ferngesteuert über eine Internetverbindung abzubremsen.
Sicherheit und Transparenz
Das Gesetz sieht vor, dass alle Automobil-Hersteller, die sich auf dem US-Markt bewegen, "angemessene Maßnahmen gegen Hacker-Attacken" treffen, wobei sie alle möglichen Angriffspunkte absichern müssen. Die Netzwerke und Steuergeräte im Fahrzeug müssen voneinander so abgesichert werden, dass ein Angreifer sich nicht beispielsweise über das Infotainment-System zur Bremse durchhacken kann. Angriffe müssen im Auto "sofort entdeckt, gemeldet und gestoppt" werden können.
Das Gesetz soll auch dem Verbraucher Transparenz verschaffen. So verlangt es ein "Cyber-Amaturenbrett", das die Verbraucher auf verständliche Weise mit standardisierten Grafiken darüber informiert, inwieweit das Auto die IT-Sicherheit und Privatsphäre der Insassen schützt.
Datenschutz
Auch Datenschutzregeln nach europäischem Standard sind vorgesehen: So müssen die Verbraucher darüber informiert werden, wie Fahrzeugdaten gespeichert, übermittelt, vorgehalten und genutzt werden. Die Verbraucher sollen jederzeit die Datensammlung aussetzen können, solange die Daten nicht die Sicherheit und Wartung des Fahrzeugs betreffen. Die Fahrzeughersteller dürfen die Daten nur für Werbe- und Marketingzwecke verwenden, wenn der Fahrzeughalter ausdrücklich eingewilligt hat.
Verstöße gegen IT-Sicherheit sollen mit höchstens 5000 US-Dollar geahndet werden, Geldbußen für Datenschutzverstöße sind nicht vorgesehen. Die Regelungen sollen regelmäßig alle drei Jahre überprüft werden.
Regeln für Deutschland
Angesichts der US-Gesetzesinitiative wird jetzt auch in Deutschland eine rechtliche Regelung verlangt. Die IT-Sicherheitsanforderungen könnten über die Straßenverkehrszulassungsverordnung eingebracht werden, meint der SPD-Politiker Gerold Reichenbach gegenüber heise online. "Wir brauchen klare Standards, wann ein Fahrzeug als verkehrssicher gelten darf. Dazu gehört auch die Funktions- und Eingriffsicherheit der Fahrzeugelektronik". Wenn ein Fahrzeug ferngesteuert zu hacken sei, sei die Zulassungsvoraussetzung schon nach heutigem Recht erloschen. Angesichts des Cherokee-Jeep-Hacks stelle sich daher jetzt die Frage, ob der Hersteller eine Rückrufaktion für die betroffenen Automarken einleitet oder ob das Kraftfahrt-Bundesamt in Flensburg entscheidet, die Betriebserlaubnis erlöschen zu lassen.
Der Verband der Automobilindustrie (VDA) arbeitet zurzeit daran, "Standards" für "die Soft- und Hardwarearchitekturen der Fahrzeuge sowie Remote-Zugriffe auf das Fahrzeug über die Telekommunikationsnetze" zu etablieren. Rechtliche Regelungen scheue der Automobil-Verband aber, weiß Reichenbach, "weil er zu Recht befürchtet, dass das Thema "Sicherheit des Connected Car" zur Marktbremse wird, wenn die Kunden Angst bekommen".
Siehe dazu auch in der c't 9/15:
- Sicherheitsversprechen – IT-Sicherheit bei modernen Autos
(anw)