„Guten Morgen, Claire. Sie dürften bemerkt haben, dass sich Ihr Fahrzeug nicht mehr unter Ihrer Kontrolle befindet. Ab sofort bestimme ich, wohin Ihre Fahrt geht.“ Zunächst glaubt die betroffene Claire, die in ihrem brandneuen, selbstfahrenden Auto sitzt, an einen schlechten Scherz.
Aber schnell stellt sich heraus, dass sie tatsächlich im Wagen festsitzt – genau wie sieben weitere Passagiere in sieben anderen selbstfahrenden Autos. Bei allen hat sich ein Hacker Zugang zum Bordsystem verschafft und die Kontrolle übernommen. Und nun steuert er die Autos aufeinander zu: Kollisionskurs! Das Ganze streamt er live im Internet und lässt die Zuschauer entscheiden, wer dem ganzen Spiel entkommt – und wer nicht.
Das ist ein kurzer Abriss der Handlung des Science-Fiction-Romans „The Passengers“ von John Marrs, treffenderweise aus seiner „Dunkle Zukunft“ genannten Buchreihe. Aber so abwegig, wie das Ganze klingen mag, ist es nicht. 2015 sorgte ein spektakulärer Fall für Aufsehen, als Hacker in den USA einen Jeep per Laptop in den Straßengraben lenkten.
Der Clou: Der Fahrer des Wagens war Journalist, wusste vorher Bescheid und zeigte mithilfe der „Angreifer“, wie einfach der Zugang zur Fahrzeugsteuerung über das Entertainment-System des Wagens ist.
Tatsächlich gibt es mittlerweile viele Möglichkeiten, sich in moderne Autos zu hacken (siehe Kasten am Ende des Artikels). Das Keyless-Schlüsselsystem ist zum Beispiel eine beliebte Schwachstelle. Geht es um Auto-Diebstahl, ist es heute schon so, dass Gangster Fahrzeuge klauen, indem sie das Keyless-Go-System über Scanner austricksen, den Wagen so öffnen und starten können. „Hier leistet in der Regel die Kaskoversicherung“, gibt die Zurich Versicherung an.
Aber auch Bluetooth-Schnittstellen, etwa für Smartphones, können gefährlich werden. Zumindest in der Theorie. In der Praxis geben die KFZ-Versicherer hierzulande (noch) Entwarnung. „Das Cyberrisiko spielt nach unserer Wahrnehmung zurzeit noch eine untergeordnete Rolle in der KFZ-Versicherung“, heißt es etwa von der R+V. „Bislang sind hierzu keine eindeutigen Ereignisse im KFZ-Markt aufgetreten“, berichtet die Zurich.
Und auch die Allianz gibt auf unsere Nachfrage an, „dass ein Autounfall, der auf einen Cyberangriff zurückzuführen gewesen wäre, bisher nicht eingetreten ist“. Immerhin.
Was wäre aber, wenn? „Wenn ein Hacker-Angriff gelingen sollte und dieser zu einem Unfall führt, sind die Beteiligten durch die KFZ-Versicherung geschützt“, sagt Martin Stadler, Leiter Versicherungsrecht bei der Allianz Versicherung. „Die KFZ-Haftpflichtversicherung zahlt den Schaden eines Geschädigten, und die Vollkaskoversicherung, soweit eine solche für das Fahrzeug besteht, den Schaden am eigenen Fahrzeug. Die Autoversicherung kennt keinen generellen Cyber-Ausschluss“, stellt der Experte klar.
Es gebe auch die Frage am Markt, ob der Halter eines gehackten Fahrzeugs überhaupt haften muss. Hinter dieser Ansicht steht Paragraf 7 Absatz 3 Straßenverkehrsgesetz (StVG), der folgendes besagt:
„Benutzt jemand das Kraftfahrzeug ohne Wissen und Willen des Fahrzeughalters, so ist er anstelle des Halters zum Ersatz des Schadens verpflichtet; daneben bleibt der Halter zum Ersatz des Schadens verpflichtet, wenn die Benutzung des Kraftfahrzeugs durch sein Verschulden ermöglicht worden ist. (…)“
Gilt der Hacker mit anderen Worten also als Schwarzfahrer? Bei manchen ja, bei anderen nicht: „Die Allianz sieht im Falle des Hackerangriffs keine ‚Schwarzfahrt‘, da sich der Hacker nicht des ganzen Fahrzeugs bemächtigt“, so Stadler. Der Versicherer würde also eine Haftung des Halters bejahen.
Um zu verhindern, dass es überhaupt zu Schäden an Autos durch Hacker kommt, sehen die Versicherer die Hersteller in der Pflicht. Bei der Allianz vertraue man auf die Sorgfalt insbesondere der EU-Autohersteller, „die Fahrzeuge mit einem wirksamen Cyber-Schutz auszustatten“, sagt Stadler. „Dies wird insbesondere in Zeiten autonomer Fahrzeuge von erheblicher Bedeutung für das Vertrauen der Bevölkerung in diese Technologie sein.“
Tatsächlich hat sich Cybersicherheit zum wichtigsten Schwerpunkt für Automobilhersteller rund um den Globus entwickelt. Wie die jüngste „Automotive Manufacturing Outlook Survey“ von ABB Robotics aus diesem Jahr zeigt, sehen 95 Prozent der Hersteller Cybersicherheit als wichtigstes Thema in der Fertigung an. Über alle großen Automobilregionen hinweg wurde Cybersicherheit sogar als wichtigste Priorität der Branche für die kommenden fünf Jahre eingestuft.
Seit Juli 2024 gelten in der Europäischen Union zudem höhere Anforderungen an Autofirmen und ihre Zulieferer. Sie beziehen sich auf zwei Richtlinien der United Nations Economic Commission for Europe (UNECE). Konkret geht es um die Regeln R155 und R156. R155 verpflichtet Automobilhersteller dazu, ein Cyber-Security-Management-System in ihre jeweilige Fahrzeugentwicklung einzubauen und auch über das gesamte „Leben“ des Fahrzeugmodells aktuell zu halten. Und R156 verlangt ein System, das die Autos regelmäßig mit Software-Updates versorgt.
Das hat immerhin dazu geführt, dass manche Hersteller bestimmte Automodelle aus dem Programm genommen haben. Der VW Up und der Porsche Macan sind den verschärften Sicherheitsanforderungen zum Beispiel zum Opfer gefallen. Das Nachrüsten wäre schlicht zu teuer.
So oder so kommt man an vernetzteren Autos in Zukunft wohl nicht mehr vorbei. Für die Versicherungsbranche bedeutet das vor allem eines: Sie muss sich anpassen. Ähnlich wie bei früheren technologischen Entwicklungen – etwa der Einführung von Fahrerassistenzsystemen – werden sich auch mögliche Cyberrisiken schrittweise in die bestehenden Modelle integrieren.
Denkbar sind künftig differenziertere Tarife, die beispielsweise den Softwarestand, Sicherheitsupdates oder die Resilienz gegen digitale Angriffe berücksichtigen. Gleichzeitig bleibt der Grundgedanke der KFZ-Haftpflicht bestehen: der Schutz Dritter vor Schäden, unabhängig von der Ursache.
Sollten Cyberangriffe in Zukunft tatsächlich eine relevantere Rolle im Straßenverkehr spielen, ist davon auszugehen, dass Versicherer gemeinsam mit Herstellern, IT-Unternehmen und Regulierungsbehörden Lösungen entwickeln werden.
Oder wie es ein Zurich-Sprecher formuliert: „Die KFZ-Versicherung entwickelt sich schon immer entsprechend der Risikosituationen und Kundenbedarfe zügig weiter. Das ist auch zu erwarten, wenn relevante Cyberrisiken in der Praxis auftreten sollten.“
| Wie dringen Hacker ins Auto ein?
Zu den möglichen Einfallstoren zählen die
Das Keyless-Schlüsselsystem ist auch eine Schwachstelle: In über 600 Fällen konnte der ADAC zeigen, dass die Hersteller hier unsichere Technik verwenden. Auch die immer weiter verbreiteten RFID-Karten und die NFC-Funktion des Smartphones zum Öffnen von Autotüren lassen sich potenziell missbrauchen. Quellen: BMW, ADAC |
