Datensicherheit

Digitale Dienste in Autos - wie sicher sind die Daten?

Noch vor rund 30 Jahren behielten Autos ihre Informationen für sich. Mit Kameras, Sensoren und integrierten CAN-Bus-Systemen sammeln Autos heute stetig mehr Daten und verschicken sie in Echtzeit an Server. Doch ist das auch sicher?
Von dpa / Stefan Kirchner

Datensicherheit bei Autos im Auto selbst sind die Daten sicher, aber was ist mit den Hersteller-Servern?
Bild: teltarif.de Kurz vor dem Stau erscheint im Navi eine Meldung: "Stau umfahren". Einmal kurz bestätigen und das System leitet den Fahrer um den Stau herum. Praktisch. Bereits bei Echtzeit­verkehrs­informationen fließen Daten des Autos in ein Rechen­zentrum, wie GPS-Position und Geschwindigkeit. Doch wie schützen Hersteller diese Daten ihrer Kunden? Und wie können sich Autofahrer vor Datenklau schützen?

Moderne Fahrzeuge integrieren immer öfter Kommunikations­systeme in ihre Elektronik - und die sind oft mit einer Datencloud verbunden. Dort lagern Informationen über Fahrzeuge, Halter und Bewegungs­profile. Diese werden anonymisiert, zwischen­gespeichert und an einzelne Dienste wie Service- und Hilfe­assistenten weitergeleitet.

Welche Daten derzeit in Autos gesammelt werden, verraten die Hersteller nicht. "So ganz genau weiß man das nicht, es findet ja eine unsichtbare Kommunikation statt", sagt Christof Paar, Professor für Embedded Security an der Ruhr-Universität Bochum. Künftig können deutlich mehr Fahrzeug­daten gespeichert werden, darunter Orts­bestimmungen und das Fahr­verhalten. "Dazu zählen auch Situationen, ob ein Auto in einer 30er-Zone 60 km/h fährt", sagt Paar. Es sei aber nicht klar, ob die Hersteller solche Daten zukünftig sammeln und auswerten.

Wenn das Auto den Standort aufzeichnet

Datensicherheit bei Autos im Auto selbst sind die Daten sicher, aber was ist mit den Hersteller-Servern?
Bild: teltarif.de Zudem gibt es die Option, solche Informationen nur anonym zu speichern, so dass das konkrete Fahrzeug beziehungs­weise der Fahrer selbst gar nicht gespeichert werden. Was die Hersteller jedoch künftig planen, sei eine große Frage. "Beim Smartphone ist es schon schwierig zu sagen, welche Daten gesammelt und weiter­gegeben werden, beim Auto wird es noch schwieriger", sagt er. Seiner Meinung nach sollte die Politik regeln, welche Daten überhaupt gesammelt und weiter­gegeben werden dürfen. "Die Hersteller müssen offen­legen, wie sie mit den Daten umgehen", so Paar.

BMW sammelt Infos aus unterschiedlichsten Daten­quellen - wie Positions­daten aus dem Navigations­system oder Ziel­adressen - und erstellt dazu eine anonyme Kunden-ID. Dadurch werden Dienste personalisiert. Ein Teil der im Fahrzeug gespeicherten Daten wird über die fest eingebaute SIM-Karte an Server übertragen. Theoretisch lassen sich solche Daten abfangen.

"Die Sicherheit von Fahrzeugen und Kunden gegen Manipulation hat für uns oberste Priorität und ist Voraussetzung, um vernetzte Dienste und Funktionen anbieten zu können", sagt Dieter May, Leiter digitale Dienste bei BMW. Entwicklungs­begleitend fänden Sicherheits­tests statt.

Sicherheits­schwachstelle Hersteller-Datenbank

Autobesitzer können sich kaum vor Computer­angriffen gegen ihre Fahrzeuge schützen. "Das Auto besitzt ein eingebettetes Computer­system, da kann man wenig machen", sagt Paar. Können bei Hacker­angriffen an einzelnen Autos lediglich die Daten für eine Fahrt abgefischt werden, sieht er Datenklau bei Herstellern weitaus problematischer. "Dort liegen künftig Datensätze von Millionen Kunden. Die müssen deshalb unbedingt anonymisiert oder verschlüsselt werden."

Eine Gefahr, die auch der Daimler-Konzern erkannt hat. "Das Auto der Zukunft wird immer mehr zum digitalen Begleiter. Das bedeutet gleich­zeitig, dass es nicht nur verkehrs- und betriebssicher, sondern auch datensicher sein muss", sagt Sajjad Khan, Leiter digitale Dienste bei Mercedes-Benz. Daimler schützt die Kunden­daten nach eigener Aussage vor Manipulationen und Missbrauch mit aus der IT-Welt bekannten Sicherheits­mechanismen. Dazu zählen Public-Key-Cryptography, Zertifikats-Infrastrukturen, Firewall-Technologie, Viren­scanner sowie Verschlüsselungs­protokolle nach Empfehlungen des Bundesamtes der Sicherheit in der Informations­technologie (BSI).

"Wir informieren die Kunden über verschiedene Kanäle über die Daten­verarbeitung", sagt Khan. Dazu zählen Homepage des Autobauers, Mercedes-me-App, Betriebs­anleitung und die Nutzungs­bedingungen. Der Autofahrer entscheide selbst, welche Dienste er nutzen und welche Daten er weiter­geben möchte - entweder per Einwilligung, per Vertrag oder per Knopfdruck. Gleichwohl gelte aber auch: Eine 100-prozentige Sicherheit werde es nicht geben. "Wir entwickeln unsere Systeme aber so, dass sie - durch interne und externe Experten geprüft - auf dem aktuellsten Stand der Technik sind und arbeiten kontinuierlich an der Weiter­entwicklung aller Komponenten", sagt Khan.

Eine Möglichkeit besteht bei einigen Herstellern, seine Privatsphäre zu schützen: Man kann in den Allgemeinen Geschäfts­bedingungen der Daten­weitergabe wider­sprechen. Denn personen­bezogene Daten werden bei den Herstellern nicht ohne Einwilligung des Kunden an Dritte weiter­gegeben. "Der Kunde hat jederzeit die Möglichkeit, jeglichen Daten­austausch zu unterbinden." Das bedeute allerdings dann eine Einschränkung des Service-Angebots, sagt May. Dann müssen sie auf einige digitale Dienst­leistungen verzichten - und sich im Stau unter Umständen hinten anstellen.

Lesen Sie in einer weiteren Meldung, wie Sie ihr Fahrzeug mit wenig Zubehör zum Smart Car aufrüsten können.

Mehr zum Thema Auto