Ein Großteil der deutschen Autoindustrie ist bislang höchstens unzureichend auf die neuen EU-Sicherheitsregeln für Software im Auto gerüstet, die bereits am 7. Juli in Kraft tritt. Die Umfrageergebnisse, die WELT AM SONNTAG exklusiv vorliegen, deuten auf ein tief greifendes Problem.
Der Kleinwagen Up von Volkswagen ist das wohl prominenteste Opfer: Ab 7. Juli gelten in der EU neue Regeln für die Sicherheit von Software und Daten im Auto – und weil der Up diese Vorgaben nicht erfüllen kann, hat ihn VW ganz aus dem Programm genommen.
Genauso wie den Transporter T6.1, die Porsche-Modelle Macan, Cayman und Boxster sowie etliche Varianten von anderen Marken wie Skoda und Seat. Da es aus Sicht des Konzerns zu teuer gewesen wäre, die Elektronik-Architektur für die alten Baureihen neu zu entwickeln, wird ihr Verkauf schlagartig eingestellt.
So gaben 28 Prozent der Befragten an, dass ihr Unternehmen keine Vorbereitungen für die Umsetzung der veränderten Sicherheitsanforderungen getroffen habe. Nur neun Prozent sagten, sie seien hierfür gerüstet. Der Rest hat einen Plan (23 Prozent) oder befindet sich in dessen Umsetzung (37 Prozent). Befragt wurden im Januar 200 IT-Entscheidungsträger aus Automobil-, Logistik- und Transportunternehmen zur Cybersicherheit in der Automobilbranche und in ihrer Lieferkette.
Das Problem betrifft bei Weitem nicht nur die Autofirmen. „Schwachstellen können in der gesamten Lieferkette entstehen, angefangen beim Teilehersteller von Steuergeräten“, schreibt Waldemar Bergstreiser, General Manager Central Europe bei Kaspersky, in der Studie zur Umfrage. „Während sich Cyberkriminelle auf dem IT-Spielfeld bestens auskennen, ist Cybersicherheit für viele Unternehmen der Automobillieferkette weiterhin Neuland.“ Das Unternehmen wirbt mit dem Papier auch für die eigenen Dienstleistungen.
Die nächsten Schritte der Vernetzung, nach Software-Aktualisierungen per Mobilfunk („Over the Air“) sind schon absehbar: Die Autos werden künftig untereinander kommunizieren und Datenverbindungen mit der Infrastruktur aufbauen, beispielsweise mit Ampeln.
Das alles dient der Sicherheit und einem flüssigeren Verkehr. Es bringt aber auch Risiken mit sich. Für 23 Prozent der Befragten stellt die Vernetzung der Fahrzeuge bis 2026 die größte Sicherheitsherausforderung dar.
Hersteller müssen sich IT-Sicherheit von Zulieferern nachweisen lassen
Cyber-Schwachstellen in der Lieferkette sehen die IT-Experten vor allem bei Lieferanten von Software (57 Prozent) und Komponenten (47 Prozent), bei Logistikdienstleistern (46 Prozent) sowie in der Infrastruktur, etwa bei Ladestationen (42 Prozent). Autohersteller werden durch die neue Regulierung gezwungen, sich die Sicherheitsmaßnahmen ihrer Zulieferer nachweisen zu lassen. Der TÜV beispielsweise bietet dazu Zertifizierungen für Produkte und Prozesse im Unternehmen an.
Fürs Erste werden einige alte Automodelle noch weiter gebaut und exportiert, zum Beispiel bei Porsche. Doch die neuen Sicherheitsregeln werden wohl nicht auf die EU beschränkt bleiben. Sie stammen nämlich von der UN-Verkehrsorganisation UNECE, die weltweit einheitliche Standards für Autos anstrebt.