Ende letzten Jahres wurde in Norwegen eine breite Diskussion über die Cybersecurity chinesischer Busse losgetreten, die sich durch den neuerlichen Zuschlag von BYD bei DB Regio massiv verstärkt hat. Ob an den meist ungeprüft übernommenen Vorwürfen etwas dran ist, haben wir den IT-Wissenschaftler mit Erfahrung bei Daimler Buses gefragt.
NahverkehrsPraxis: Herr Sax, wie schätzen Sie die europaweit losgetretene Diskussion über Cybersicherheit bei Bussen als IT-Experte ein?
Eric Sax: Mein Grundtenor ist, dass die Reaktionen in Europa übertrieben sind. Ich könnte mir eigentlich keine Motivation vorstellen, um solche „Kill-Switch“-Szenarien durchzuführen, wie sie in Norwegen und anderswo konstruiert werden.
Wenn es um persönliche Daten von Fahrern oder Passagiere angeht, sind wir in Europa zurecht höchst sensibel, aber als Gesellschaft sind wir auf ganz anderen Feldern stärker verwundbar als dabei, dass jemand Busse lahmlegt oder Türen öffnet. Denken Sie an die Energieversorgung oder die Verkehrsleitung an sich. Und wir haben diese Herausforderungen seit Jahren gemeistert. Selbst bei kriminellen Dritten, die sich solches interne Wissen aneignen würden, sehe ich solche dramatischen Szenarien als kaum wahrscheinlich an.
NahverkehrsPraxis: Sind wir schon beim Zielbild des „Software-Defined Busses“ angekommen?
Eric Sax: Der Busbereich ist traditionell eher konservativ veranlagt gerade auch weil es um den Transport von Menschen geht. Nicht zuletzt deshalb sehe ich uns derzeit noch nicht angekommen an diesem Punkt des „Software Defined Busses“. Trotzdem muss man für den Bus nicht alles neu erfinden, was andere schon gemacht haben. Ich glaube ganz fest daran, dass die Kommunikation mit einem Backend für viele unserer Fragen die Lösung ist – also eher ein Segen als ein Fluch. Ich selbst propagiere daher das vernetzte Fahrzeug schon sehr lange und es gibt ja auch dezidierte Timelines dazu. Zum Beispiel können wir die Reichweite und die Lebensdauer von Batterien in einem Backend, wo Daten einer ganzen Flotte gesammelt und online zur Verfügung gestellt werden viel besser optimieren als offline nur auf ein Fahrzeug bezogen.
Man kann aufgrund des einfacheren Datenzugriffs gerade in Asien schon eine viel größere Bedeutung von Big Data Analytics beobachten. Ich war schon bei Besuchen in China vor rund zehn Jahren von der Mentalität und dem Pragmatismus der Menschen in Asien sehr beeindruckt. Aber auch bei uns könnte das Thema in Zukunft gerade bei den Stadtbussen eine größere Rolle spielen. Dafür sprechen sehr viele Argumente des Betriebsalltags. Wir müssen aufhören, bei diesen Themen hinterherzulaufen. Deswegen auch mein Ansatz, jetzt den übernächsten Schritt vorzuziehen und zunehmend Steuergeräte und damit die singuläre „Intelligenz“ aus dem Bus herauszunehmen, um das Flotten-Knowhow zu nutzen. Das Potenzial des „Software Defined Vehicles“ ist bei weitem noch nicht ausgeschöpft, gerade im Busbereich.
NahverkehrsPraxis: Was sind die technischen Hauptbestandteile einer resilienten Cybersecurity in Sachen Hardware bzw. Software?
Eric Sax: Die Cybersecurity selbst ist ja gewissermaßen ein Add-on zu Funktionalitäten der bestehenden Plattformen, wie zum Beispiel Telematikplattformen, um den Datenaustausch „Over the Air“ zu ermöglichen und ausgesuchte Steuergeräte anzusprechen. Dazu wird eine Telematik-Schnittstelle genutzt, um die Steuergeräte zu vernetzen. Im ersten Schritt sind das natürlich solche, die eben nicht hoch-sicherheitsrelevant nach ASIL-Standard sind, wie Lenkung oder Bremsen – hier es geht mehr um Komfortfunktionen wie Heizung und Klimatisierung. Und diese Verbindungen werden dann im Backend mit Firewalls sehr gut abgesichert und die Daten werden verschlüsselt. Der Bus muss hier aber aus meiner Sicht kein Vorreiter sein und alles neu erfinden – wir können aus anderen Security-Bereichen, wie zum Beispiel der Energieversorgung oder Internetanwendungen, sehr viel übernehmen. Man muss hier also im Wesentlichen eine Transferleistung aus bestehenden Security-Anwendungen durchführen.
NahverkehrsPraxis: Ist das Szenario eines „Kill Switches“ überhaupt realistisch?
Eric Sax: Die kriminelle Energie die Systeme anzugreifen, auf die heute Zugriff möglich ist – also z.B. die erwähnten Komfortfunktionen – – sei es aus kommerziellen, geopolitischen oder welchen Motiven auch immer, sehe ich derzeit eher nicht. Ein sogenannter „Kill Switch“, mit dem Fahrzeuge ferngesteuert stillgelegt würden, ist theoretisch nicht vollkommen auszuschließen, und ein entsprechender Datentunnel kann theoretisch einprogrammiert werden. Auch mit der Künstlichen Intelligenz ergeben sich nochmal andere Möglichkeiten. Aber wir müssen da etwas entspannter werden und uns einer gewissen Doppelmoral bewusst sein, wenn wir einerseits Dritte in Sachen Cybersecurity verdächtigen und gleichzeitig nahezu alle Daten auf unserem eigenen Handy oder durch unser Internetverhalten Dritten freigeben.
NahverkehrsPraxis: Sind denn die gesetzlichen Vorgaben aus Ihrer Sicht auseichend und geeignet, um Cyberkriminalität zu verhindern?
Eric Sax: Man kann natürlich nicht alle Risiken komplett ausschließen aber aus meiner Sicht haben wir enorme Vorkehrungen von Gesetzesseite aus getroffen, so dass diese auf Dauer fast schon die technologische Entwicklung hemmen könnten. Ein Entwickler aus der Südwestdeutschen Automobil-Industrie sagte mir unlängst dazu, Sie hätten mittlerweile bei der Entwicklung automatisierten Fahrfunktionen mehr Aufwand damit, zu beweisen, dass die Personen an einem Zebrastreifen nicht identifiziert werden als die Funktion selbst zu entwickeln. Das ist auch der Grund, warum wir am Institut für ein bestimmtes Forschungsprojekt lieber Tiere im Karlsruher Zoo beobachten und keine echten Menschen, um Verhaltens- und Bewegungsmuster zu erforschen.
NahverkehrsPraxis: Was kann ein Busunternehmen tun, um die Cybersicherheit zu erhöhen, ohne auf Online-Funktionen zu verzichten?
Eric Sax: Man muss sicher nicht so weit gehen und die Online-Verbindung seines Fahrzeuges im Sinne eines „Air-Gaps“ kappen. Sicher ist kriminelle Energie immer gegeben aber wäre das alles so einfach, dann würden wir heute nicht immer noch vom vor 10 Jahren gehackten Jeep Cherokee reden, der 2016 ferngesteuert werden konnte. Und im Falle Ruter in Norwegen ist ja auch nichts dergleichen passiert bei deren „Lion’s Cage“-Test – zumindest soweit mir bekannt ist.
NahverkehrsPraxis: Und wie sieht es mit Remote-Funktionalitäten aus, die es teilweise ja auch im Busbereich gibt, vor allem bei chinesischen Herstellern?
Eric Sax: Das sind sicher schöne Add-Ons für den Kunden und Fahrer, aber dazu brauche ich heute eigentlich kein Onboard-Equipment oder z.B. einen Riesenschlüssel. Ich glaube eher daran, dass wir alle mit unseren Smartphones genug Rechenkapazitäten in der Hosentasche haben, um viele dieser Funktionen von dort aus zu steuern. Sicher sind Onboard-Systeme wie Navigationssysteme noch wirtschaftlich attraktiv für die Hersteller und Zulieferer, aber das wird sich mittelfristig sicher ändern.
NahverkehrsPraxis: Wie müsste ein wissenschaftlicher Test aufgebaut sein und ablaufen, um die Cybersecurity eines Busses zu prüfen und wer macht so etwas derzeit professionell?
Eric Sax: Es gibt nicht nur in meinem universitären Bereich am KIT viele Experten, die nach festgelegten Schemata Cybersecurity-Themen bearbeiten, sondern auch viele private Unternehmen, die sich hier spezialisiert haben. Wo wir aber deutlich mehr Engagement und Motivation brauchen, sind die Zertifizierungs- und Prüfunternehmen wie TÜV und Dekra. Wir werden auch für die Cybersecurity festgelegte Prüfverfahren brauchen, wie für viele andere Themen auch. Der Begriff „Lion’s Gate“-Test, wie er hier im vorliegenden Fall wohl angewendet wurde, ist mir unter diesem Schlagwort nicht bekannt.
NahverkehrsPraxis: Warum spielen neue Elektronikplattformen bei Bussen eine so entscheidende Rolle?
Eric Sax: Das ist sicher nicht nur beim Bus so. Auch die großen Pkw-Hersteller kämpfen mit dem enormen Variantenreichtum an Modellen und Konfigurationen seit langem bei dem Thema. Dazu muss man etwas ausholen: Diese „Elektrik/Elektronik-Architekturen“, wie wir solche Strukturen nennen, sind über die Jahre gewachsen oder fast schon gewuchert, und jetzt kommen Firmen wie Tesla oder Xiaomi, und fahren einen „Greenfield“-Ansatz, bei dem alles „from scratch“ neu konzipiert wird. Die großen Traditionskonzerne können aber schon aus Kostengründen nicht alles über Bord werfen, was seit Jahren entwickelt und genutzt wurde („Component-of-the-Shelf“- oder „Take what we have“-Ansatz). Daher werden zwangläufig Dinge miteinander verheiratet, die nur schwer zusammengehen. So entsteht eine anspruchsvolle Kombination an Elektronikarchitekturen. Beim Bus kommt hier auch noch die Riesenherausforderung der Kundensonderwünsche hinzu. Diese Individualisierung bei vergleichsweise geringer Stückzahl darf man nicht unterschätzen. Ebenso die Bedeutung der immer häufiger online verfügbaren, zubuchbaren Services. Wenn der Hersteller nicht anbietet, dann zunehmend ein Drittanbieter. Jedoch steht der Hersteller durch die einzigartige Fahrzeugkenntnis auf der Pole-Position. Hier werden wir einige Innovationen in den kommenden Jahren erleben.
NahverkehrsPraxis: Sieht das Thema bei Elektrobussen nochmal anders aus als bei einem Dieselfahrzeug?
Eric Sax: Das elektrische Fahrzeug ist aus meiner Sicht keine reine Substitution des Verbrenner-Fahrzeuges, sondern vielmehr ein Door-Opener für all die Zukunftsthemen, die wir schon besprochen haben. Wenn die Nebenaggregate erst einmal alle elektrifiziert sind, dann wird vieles in der Entwicklung einfacher, weil man sich immer in einer „Physik“ eben der Elektrik/Elektronik bewegt. Verbunden mit Informationstechnik ersetzt das die klassische Kraft- und Signalübertragung.
Ein weiterer nicht zu vernachlässigender Aspekt ist, dass wir durch den Remote Access auf die Fahrzeugelektronik zunehmend die Steuerung der Systeme aus dem Fahrzeug herausnehmen können. Derzeit bauen wir vom elektronischen Ansatz her noch Technologie-Riesen, die alle elektronische Hardware an Bord haben. Wenn ich aber weitgehend nur noch ausführende Aktuatorik und Sensorik verbaue, und im Backend einfacher pflegbare Software laufen lasse, dann kann ich über die Flotte lernende Funktionen und die ausführende Hardware im Backend leichter erneuern und das auch kostengünstiger. Das eröffnet ein neues Feld von Services, und wir müssen in Europa Gas geben, dass wir hier mit den Asiaten schritthalten können.
NahverkehrsPraxis: Wie kann es also weitergehen beim Thema Cybersecurity in Europa?
Eric Sax: Ich bin felsenfest davon überzeugt, dass mitteleuropäische Hersteller genau bei dieser Integration von Elektronik und Services führend vorangehen sollten und werden. In der Komponentenentwicklung selbst, zum Beispiel bei Batterien, liegt nicht die Zukunft der Europäer. In der systemischen Integration dagegen liegt das größte Potential. Sicher gehen wir im Bereich der Cybersecurity gewisse Restrisiken ein – aber ich finde, wir müssen vielmehr über die Chancen dessen reden, was hier in Zukunft möglich werden wird. Wir brauchen eine sich wandelnde Kompetenz im Sinne des lebenslangen Lernens. Wir sollten sicher nicht blauäugig ans Thema gehen, aber andere Branchen haben solche Herausforderungen auch schon gemeistert.
Das Interview führte Thorsten Wagner.
Zur Person:
Prof. Dr.-Ing. Eric Sax ist Leiter des Instituts für Technik der Informationsverarbeitung (ITIV) am Karlsruher Institut für Technologie (KIT) und Dekan der Fakultät für Elektrotechnik und Informationstechnik (ETIT). Er ist zudem Direktor am Forschungszentrum Informatik (FZI) und Sprecher des “KIT Mobility Systems Center”. Zuvor war Prof. Sax viele Jahre in leitenden Positionen bei Daimler Buses weltweit und der MBtech Group tätig. Seine Forschungsschwerpunkte liegen in den Bereichen eingebetteter Systeme, der Entwicklung und Optimierung von Hardware-in-the-Loop Tests und sicheren Software-Architekturen, der Implementierung von Fahrerassistenzsystemen und automatisierten Stadtbussen, Big Data Analysen und energieeffizienten Systemen.
