Was als harmloser „Filmdreh“ in einer stillgelegten norwegischen Mine begann, wächst sich mittlerweile zu einem internationalen „Cyberbus-Krimi“ aus, der den größten Bushersteller der Welt, das in Zhengzhou beheimatete Privatunternehmen Yutong Bus Co. Ltd., in die Defensive drängt. Die größte norwegische Verkehrsgesellschaft „Ruter AB“, der die Hauptstadt Oslo und weite Teile des Umlandes mit ÖPNV-Leistungen versorgt, hat am 28. Oktober die Ergebnisse eines sogenannten „Lion’s Cage Tests“ zur Cybersicherheit seiner Busse durchgeführt, den Test von der Tageszeitung Aftenposten begleiten und veröffentlichen lassen und gleichzeitig die Ergebnisse ans Verkehrsministerium gemeldet. Die Berichterstattung wurde sofort europaweit aufgegriffen und zumindest in Dänemark und dem Vereinigten Königreich haben große Verkehrsbetriebe eigene Untersuchungen angekündigt. Mit dem Hersteller wurde seitens Ruter laut Yutong erst auf Nachfrage und zudem sehr zögerlich kommuniziert. Auch unser Fragenkatalog an Ruter AB blieb im Laufe einer ganzen Woche bisher unbeantwortet.
Testaufbau: Zwei Busse, aber nur ein relevanter Kandidat
Getestet wurden zwei Busse des eigenen Fuhrparks (Ruter betreibt laut Aftenposten rund 300 Yutong Busse). 2025 wurden in Norwegen insgesamt über 400 Busse chinesischer Marken zugelassen, in Dänemark rund 220 und im UK fast 900 (bis Q3/25, Quelle: DVV Media). Einer der beiden „Testwagen“ durfte aber nur die traurige Rolle des Statisten spielen: ein drei Jahre alter VDL-Bus nicht näher bezeichneten Typs, ohne weitere Online-Fähigkeiten. Im Testbericht, der frei im Internet zugänglich ist, heißt es denn auch lapidar: „Die niederländischen Busse von VDL verfügen nicht über die Möglichkeit für autonome Software-Updates Over The Air (OTA). Daher sind sie nicht besonders interessant.“ Kein Wort darüber, warum man nicht als Referenz einen modernen europäischen Bus eines der großen Hersteller verwendet hat, der zumindest einige Online-Fähigkeiten haben dürfte, wenn auch nicht die gleichen wie der Yutong, dessen Telematiksystem „Link+“ erst auf der Busworld in Brüssel einen „Digital Award“ gewonnen hatte. Wie auch im Pkw-Bereich haben chinesische Fahrzeughersteller extrem schnell digitalisiert, um das teilweise noch dünne Servicenetz in Europa auszugleichen.
Vorwürfe: Zugriff per SIM-Karte und angebliche „Kill Switch“-Funktion
Bei dem Yutong Bus habe man bei dem Test schwerwiegende Sicherheitsmängel festgestellt, weil über eine SIM-Karte der jederzeitige Online-Zugang zum Bus möglich sei. „Theoretisch kann dieser Bus also vom Hersteller gestoppt oder außer Betrieb gesetzt werden.“, so Ruter AB. Diverse Medien in Norwegen, Dänemark und dem Vereinigten Königreich sprechen daher von einem „Ein-/Aus-Schalter“ bzw. „Kill Switch“ der Chinesen. Aftenposten bemüht sogar das Wort der „nationalen Sicherheit“, die womöglich gefährdet sei.
Außerdem gebe es eine Sicherheitslücke in der Software eines Zulieferers von Yutong, die zum Softwareupdate „Over the Air“ (OTA) benötigt werde. Nach den Tests setze Ruter bereits „konkrete Maßnahmen um“, so der Testbericht im Netz. Dazu gehörten: „Noch strengere Sicherheitsanforderungen bei künftigen Beschaffungen; die Entwicklung von Firewalls, die eine lokale Kontrolle gewährleisten und vor Hackerangriffen schützen; die Zusammenarbeit mit nationalen und lokalen Behörden bei der Festlegung klarer Cybersicherheitsanforderungen.“ Besonders interessant ist die Aussage, man wolle jetzt die „technologische Chance [nutzen], bevor die nächste Busgeneration stärker integriert und schwieriger zu sichern ist“. Hier kann es eigentlich nur darum gehen, zu verhindern, dass europäische Hersteller zeitnah den Digitalisierungsgrad der Chinesen erreichen, die nach unserer Schätzung um mindestens fünf Jahre voraus sind.
Yutong weist Vorwürfe zurück
Der Hersteller Yutong, der weder vor, während oder nach dem Test von den Norwegern involviert war, widerspricht der Darstellung von Ruter AB in mittlerweile zwei offiziellen Statements massiv. „Yutong legt stets größten Wert auf die Sicherheit von Fahrzeugdaten und den Schutz der Privatsphäre seiner Kunden und erfüllt seine Verpflichtungen hinsichtlich Cybersicherheitsmanagement für Fahrzeuge und Datenschutz mit hohen Standards,“ heißt es in dem zweiseitigen, detaillierten Dokument. Die Daten aus den Fahrzeugen würden auf einem AWS (Amazon Web Services) Server in Frankfurt am Main gehostet und nur mit dem vollen Einverständnis des Kunden weiterverarbeitet oder -geleitet. „Das OTA-System ist gemäß UN R156 Richtlinie als „Upgrade und Software Upgrade Management System“ zertifiziert. Bei jedem Software-Upgrade sendet Yutong zunächst eine Benachrichtigung mit klaren Upgrade-Details an die Kunden. Das Upgrade wird erst durchgeführt, nachdem die Kunden alle Details verstanden und ihre Zustimmung gegeben haben.“ In der zweiten Erklärung, die zusammen mit dem Importeur Pelican im UK veröffentlicht wurde, heißt es zudem: „Kunden, die dennoch Bedenken haben, können alle Telematikfunktionen deaktivieren, indem sie die Stromversorgung des angeschlossenen Geräts unterbrechen oder die SIM-Karte entfernen. Die Deaktivierung der Telematikfunktionen hat keinen Einfluss auf den normalen Betrieb des Fahrzeugs.“ Alle relevanten Fahrsysteme wie Gaspedal, Lenkung, Bremsen oder Notbremssystem „werden vollständig vom Fahrer gesteuert und nicht durch externe Signale oder Befehle beeinflusst.“ Dies ist bekannter Stand der Technik in der gesamten Automobilbranche und vollkommen legal. Vielleicht gab deswegen CEO Bernt Reitan Jenssen Aftenposten dies zu Protokoll: „Wir wollten von Spekulationen zu Erkenntnissen gelangen. Und ich muss tatsächlich sagen, dass die Ergebnisse nicht so schlimm sind, wie ich befürchtet hatte.”
Sicherheitsstandards als industriepolitisches Werkzeug
In Norwegen sei laut Ruter derzeit kein Tender offen, in London allerdings bietet Yutong seinen neuen elektrischen Doppeldecker in einer Ausschreibung an – der erste Prototyp war auf der Busworld vor der Eingangshalle zu sehen. Und in Deutschland steht der Hersteller nach eigenen Aussagen kurz vor dem Markteintritt. Einen Hinweis auf den eigentlichen Grund der ungewöhnlich feindlichen Aktion gegen den eigenen Lieferanten gab es auf der Busworld in Brüssel bereits am 7. Oktober, als Ruter-CEO Jenssen ein von seinem Unternehmen organisiertes, hochrangiges Podium nutzte, um gemeinsam mit dem gerade wiedergewählten norwegische Verkehrsminister Jon-Ivar Nygård (sozialdemokratische „Arbeiderpartiet“) ein eindeutiges Statement in Sachen Bussicherheit abzugeben. Man wolle mittelfristig „das für Sicherheitsthemen zuständige UNECE-Gremium über die EU“ beeinflussen, was aber durchaus länger dauern könne. Bis dahin sei es wichtig, dass in den einzelnen Märkten die Verkehrsunternehmen „eigene, verschärfte Sicherheitsvorgaben in die Ausschreibungen aufnehmen.“ Das versteckte Drehbuch für den Cyberbus-Gate?
Autor: Thorsten Wagner
