Wenn es um den Zugang zu vernetzten Fahrzeugen geht, spielen viele Aspekte eine Rolle. Zwar ermöglichen die Kommunikationsschnittstellen Funktionen wie Softwareupdates, verkehrsabhängige Routenplanung oder eine cloudbasierte Sprachsteuerung. Doch stellen Sicherheitslücken eine potenzielle Gefahr für Fahrzeugsicherheit und Datenschutz dar. Die Frage, wer künftig diesen Zugang kontrolliert, hat daher nicht unbeträchtliche Auswirkungen auf die Zukunft des Verkehrs. Doch bei dem Thema liegen die Positionen von Autoindustrie und anderen Akteuren derzeit weit auseinander.
Für die Bundesregierung ist die Antwort auf die Frage klar: „Letztendlich werden wir, wie es im Koalitionsvertrag steht, beim Treuhänder landen“, sagte Unterabteilungsleiter Andreas Krüger vom Bundesverkehrsministerium auf einer Veranstaltung des Bundesdatenschutzbeauftragten Ulrich Kelber in Berlin. Damit bezog sich Krüger auf eine Vereinbarung von SPD, Grünen und FDP mit dem Wortlaut: „Zur wettbewerbsneutralen Nutzung von Fahrzeugdaten streben wir ein Treuhändermodell an, das Zugriffsbedürfnisse der Nutzer, privater Anbieter und staatlicher Organe sowie die Interessen betroffener Unternehmen und Entwickler angemessen berücksichtigt.“
Prüfgesellschaften fordern direkten Datenzugriff
Ein solches Treuhändermodell wird bereits seit einigen Jahren diskutiert. So haben mehrere Prüfgesellschaften wie TÜV und Dekra im Jahr 2019 eine sogenannte Trust-Center-Initiative ins Leben gerufen. Darin forderten die Beteiligten einen „direkten und unabhängigen Zugang zu den prüfungsrelevanten Daten und Diagnosefunktionen im Fahrzeug“.
In einem mehrseitigen Positionspapier hat der TÜV inzwischen sein Konzept genauer erläutert. Darin wird unter anderem eine interoperable Sicherheitsarchitektur, ein sogenanntes Automotive Gateway, vorgeschlagen, das „einen direkten Datenzugriff ohne Backend-Server-Struktur ermöglicht“. Das Fahrzeug wäre dann in der Lage, „sich vor unbefugten Zugriffen von außen geeignet zu schützen (Robustheit gegen Remote-Angriffe)“. Fahrzeugdaten würden entsprechend bestimmten Nutzungsprofilen zugeteilt.
Autoindustrie will Zugang kontrollieren
Der Autoindustrie gefällt das Treuhänder-Modell jedoch gar nicht. Sie will weiterhin über ihre eigenen Backend-Server den Zugang zu den vernetzten Autos kontrollieren. Dazu hat der Verband der Automobilindustrie (VDA) schon 2017 das Nevada-Konzept entwickelt, das inzwischen durch das Adaxo-Konzept ersetzt wurde. Adaxo ist dabei die Abkürzung für „automotive data access, extended and open“ und bedeutet so viel wie „erweiterter und offener Fahrzeugdatenzugriff“.
Einem ausführlichen Positionspapier vom Januar 2022 zufolge werden vonseiten der Autohersteller „alle Daten und Funktionen angeboten, die sie auch zur Erbringung ihrer eigenen Services nutzen“.
Der diskriminierungsfreie Zugang zu den Daten erfolge entweder maskiert, beispielsweise über einen neutralen Server oder direkt über den Hersteller, jeweils auf der Basis von B2C- und B2B-Verträgen. Aus Sicherheitsgründen soll jedoch „die Freigabe der Software und das Management von Fahrzeugressourcen (z. B. Bandbreiten für Datenübertragungen im Fahrzeug) nur durch das für die Zertifizierung des Fahrzeugs verantwortliche Unternehmen erfolgen können“.
Auf der Diskussionsrunde in Berlin sagte VDA-Geschäftsführer Marcus Bollig: „Aus unserer Sicht als Automobilindustrie ist entscheidend, dass wir eine einzige Schnittstelle im Fahrzeug haben, über die der gesamte Datenaustausch abläuft. Das macht die Sicherung dieser Schnittstelle wesentlich besser machbar, als wenn wir unterschiedlichste Hardware zusätzlich ins Fahrzeug hineinbringen.“ Laut Bollig eignet sich dafür die sogenannte Extended-Vehicle-Schnittstelle (ExVe). Diese sei schon millionenfach im Markt erprobt und habe ihre Funktionsfähigkeit nachgewiesen.
Zudem ist laut Bollig das Adaxo-Konzept mit einer Treuhänderfunktion vereinbar: „Entscheidend ist nur, dass der erste direkte Zugriff auf die Daten im Fahrzeug über diese eine, wohl definierte Schnittstelle zu einem Hersteller erfolgt, und danach kann über einen Konnektor, zum Beispiel zu einem neutralen Server, dort die Treuhänderfunktion implementiert werden.“
Dem widersprach der Regierungsvertreter umgehend.
Regierung traut Autokonzernen nicht
„Dieser eine Schritt ist uns zu viel“, sagte Krüger und fügte hinzu: „Das, glaube ich, wird nicht wahr werden. Wenn wir das Backend durch den Treuhänder ersetzen, dann, denke ich, werden wir uns einig.“
Die „spannendere Frage“ sei eher, ob es einen einzigen staatlichen Treuhänder, beispielsweise das Kraftfahrt-Bundesamt (KBA) brauche, oder es auch mehrere private Treuhänder geben könne, die entsprechend zertifiziert würden.
Krüger argumentierte weiter: „Dass die Daten zuerst zu den Herstellern und von da aus weitergehen, das ist genau der Schritt, der viele misstrauisch macht.“ Es werde befürchtet, dass die Daten vielleicht zuungunsten der Kunden manipuliert oder gefiltert werden könnten. Daher sollten die Daten zuerst bei einer neutralen Stelle landen und dann auch den Herstellern weitergegeben werden.
Verbraucherschützer unterstützen Treuhandkonzept
Diese Position unterstützte auf der Veranstaltung auch Marion Jungbluth vom Verbraucherzentrale Bundesverband (VZBV). Sie sehe es „als großes Problem, wenn man den ersten Zugriff den Autoherstellern zulassen würde“. Man hätte dann einen Gatekeeper implementiert, „wo wir gerade dabei sind, andere Gatekeeper wieder abzuregulieren“, sagte Jungbluth in Anspielung auf die geplanten EU-Verordnungen zum digitalen Binnenmarkt.
Trotz des externen Zugriffs ist laut Jungbluth wichtig: „Das Fahrzeug muss komplett sicher sein.“ Diese Sicherheit müsse eigentlich vom KBA bei der Zulassung überprüft werden. Eine Vorstellung, die der Verbraucherschützerin jedoch nicht ganz behagt: „Jetzt hat man nur vielleicht ein bisschen Magengrummeln, wenn man sich das Kraftfahrt-Bundesamt in Flensburg vorstellt, so eine sehr schnarchige Behörde, wie viele junge Leute dort arbeiten. Denn eigentlich braucht man eine ganze Heerschar, die genau diese Hackingangriffe im Sinne der Marktüberwachung macht und dann die Hersteller darauf hinweist, dass sie das natürlich sofort abzustellen haben“, sagte Jungbluth mit Blick auf zahlreiche bekanntgewordene Sicherheitslücken bei vernetzten Autos.
Der bekannteste Fall: 2015 gelang es zwei Hackern, über eine Sicherheitslücke des Unterhaltungssystems eines Jeep Cherokee, das mit dem Internet verbunden ist, in das System des Wagens einzudringen und die Lenkung sowie die Bremsen fernzusteuern. 1,4 Millionen Fahrzeuge mussten daraufhin in die Werkstätten zurückgerufen werden, um die Sicherheitslücke zu schließen.
Kelber will direkten Zugriff auf das Auto
Gastgeber Kelber ging sogar noch einen Schritt weiter als die Verbraucherschützer. Seiner Ansicht nach müssten die Autodaten überhaupt nicht auf einem neutralen Server bereitgehalten werden. Sinnvoller könnte ein direkter Zugriff auf die Daten im Auto sein. „Ich brauche eine Authentifizierung derjenigen, die auf diese Schnittstelle zugreifen dürfen“, sagte Kelber. Ob das dann der Hersteller, ein Treuhänder oder auch drei oder vier seien, „ist nicht die entscheidende Frage von der Sicherheit her“.
In einem wichtigen Punkt widersprechen die Autohersteller jedoch Regierung sowie Verbraucher- und Datenschützern. Auf Nachfrage teilte der VDA mit: „Eine Schnittstelle im Fahrzeug, die ausschließlich von einem neutralen Treuhänder verwaltet wird, ist nicht realisierbar. Denn der Treuhänder müsste über das geschützte geistige Eigentum aller OEMs verfügen, um eine einheitliche Schnittstelle in allen Fahrzeugarchitekturen aller OEMs und dort für alle Fahrzeugmodelle entwickeln zu können. Gleichzeitig müsste der neutrale Treuhänder diese Schnittstelle bis zum ‚End of Life‘ aller Fahrzeuge in den Märkten verantworten und pflegen.“
Die Hersteller befürchten technische Probleme, wenn in ihren Fahrzeugen künftig eine von anderen Anbietern verwaltete Hardware-Plattform mit unveränderlicher Software eingebaut würde. „In diesen Fällen wäre es unklar, wer über das Fahrzeugleben hinweg die Pflege der auch dort notwendigen Anpassungen übernimmt. Ein Beispiel hierfür ist das eCall-Problem, das immer noch 2G und 3G-Module vorschreibt, obwohl diese Netze bald abgeschaltet werden“, hieß es weiter.
Verkehrsministerium setzt auf neutrale Schnittstelle
Das Verkehrsministerium hält es hingegen für möglich, sämtliche vernetzte Funktionen von Fahrzeugen über eine einzige Schnittstelle zu realisieren, die von einem neutralen Treuhänder verwaltet wird. „Dies wäre grundsätzlich möglich. Der Zugang zu fahrzeuggenerierten Daten, Ressourcen und Funktionen ermöglicht einem Treuhänder verschiedene Anwendungen (zum Beispiel im Bereich der Reparatur und Wartung) wettbewerbsneutral zur Verfügung zu stellen, zum Beispiel gegenüber privaten Anbietern, staatlichen Organen, betroffenen Unternehmen und Entwicklern“, teilte das Ministerium auf Anfrage mit.
Über diese Schnittstelle müssten dann nicht nur Software-Updates und Telematikdienste laufen, sondern auch datenintensivere Anwendungen wie Spracherkennungssysteme mit Cloudanbindung.
Hierbei verweist das Ministerium darauf, „dass bei bestimmten Anwendungsfällen die Datenerfassung, -verarbeitung und -analyse im Fahrzeug mittels spezieller Software stattfindet“. Dieses Edge Computing habe unter anderem den Vorteil, dass die Datenübertragung minimiert werde und „nur aggregierte, zum Beispiel zusammengefasste oder verarbeitete Daten der Applikation an den Treuhänder übertragen werden“.
BMW will künftig mehr die Cloud nutzen
Dieser Einschätzung widerspricht jedoch BMW. Der Autohersteller kündigte kürzlich an, dass die kommende Generation des BMW-Sprachassistenten auf der Technik von Amazons Alexa basieren solle. Auf Nachfrage teilte ein Firmensprecher mit: „Grundsätzlich ist es bei den aktuellen BMW-Fahrzeugen mit Sprachassistent so, dass die Spracherkennung sowohl on-board (Fahrzeug) als auch off-board (Cloud) stattfindet. Perspektivisch wird sich die Spracherkennung weiter in Richtung off-board, also Cloud-basiert orientieren.“
Zur Begründung erläuterte der Sprecher: „Ganz allgemein kann man sagen, dass die Cloud-basierte Technologie für Spracherkennung einige Vorteile hat. Im Backbone beziehungsweise in der Cloud können deutlich umfangreichere Anfragen bearbeitet werden. Die Rechenleistung ist einfach um ein Vielfaches höher als im Fahrzeug.“ Darüber hinaus sei die Korrelation der anonymisierten Daten viel besser, so dass durch Machine Learning die Kunden von Erfahrungen anderer profitierten und das System selbst schneller zu höheren Qualitäten und Leistungen komme. Zudem werde die Fahrzeugentwicklung entlastet, da Features und Funktionen einheitlich für alle zentral mit höherer Qualität bereitgestellt würden.
Das bedeutet: Sollte es nur eine einzige Autoschnittstelle mit einem zentral verwalteten Backend geben, müsste dieses künftig den Datenverkehr von Zigmillionen Fahrzeugen alleine in Deutschland bewältigen. Ein Ausfall würde Navigation und Telematikdienste aller Marken betreffen. Dienste wie Spracherkennung setzen zudem einen schnellen und reibungslosen Datentransfer voraus.
Staatliche Behörden mit leichterem Zugriff
Es ist hingegen nachvollziehbar, dass Strafverfolgungsbehörden einen staatlichen Treuhänder wie das KBA gut fänden. Ließen sich damit aus der Ferne die Fahrzeuge von Kriminellen stilllegen? Über die eingebauten Mikrofone die Gespräche abhören? Bewegungsprofile ließen sich anhand der übermittelten Positionsdaten ebenfalls erstellen.
Eine Vorstellung, die dem Datenschützer Patrick Breyer alles andere als behagt. „Zentrale Speicherung bedeutet ein viel größeres Sicherheitsrisiko im Hinblick auf Hacks und Datenverluste“, sagte der Europaabgeordnete der Piratenpartei. Ein solcher Datenpool schaffe Begehrlichkeiten, zumal vielfach Bewegungsdaten vorhanden sein würden. „Die Strafverfolger wollen schon lange Zugriff auf die Mautdaten“, sagte Breyer. Mit der Möglichkeit, Software-Updates über die Schnittstelle aufzuspielen, würde „ein massives Sicherheitsrisiko“ geschaffen. „DerStaat betätigt sich längst als Hacker und dies ist eine Einladung dazu“, sagte der EU-Politiker.
Unklar ist derzeit, wie viel der Aufbau einer zusätzlichen Infrastruktur kosten würde. „Sofern der Ansatz ‚Adaxo plus bedarfsgerechte Treuhänder-Services gewählt‘ wird, sind moderate Anpassungen an bestehenden Implementierungen zu Adaxo absehbar“, teilte der VDA mit. Nach Einschätzung der Bundesregierung hängt der finanzielle Aufwand für das Treuhändermodell von den jeweiligen Anwendungsfällen ab.
VDA: Datenhoheit liegt beim Nutzer
Bei mehreren anderen wichtigen Fragen herrschte jedoch weitgehend Einigkeit auf dem Podium in Berlin. „Die Datensouveränität und -hoheit liegt immer beim Nutzer. Der Nutzer des Fahrzeugs ist auch Eigentümer der Daten, und alles andere geschieht dann auf Basis von Vereinbarungen und Zustimmung des Nutzers“, sagte VDA-Vertreter Bollig. Eine Position, die von Daten- und Verbraucherschützern begrüßt wird.
Wie diese Zustimmung zur Datennutzung umgesetzt werden soll, ist jedoch offen. Nach Einschätzung Kelbers ist die Einwilligung nicht der Weisheit letzter Schluss. „Es wird Dinge geben, die wir gesetzlich vorschreiben sollten“, sagte der Bundesdatenschutzbeauftragte. Das könnte beispielsweise der Fall sein, wenn per Car2X andere Fahrzeuge vor gefährlichen Situationen gewarnt werden könnten. In anderen Fällen könnte man hingegen sagen, „die gehen gar nicht“, weil davon nicht nur der Fahrer betroffen sei, sondern auch Dritte.
Kein Cookiebanner-Terror im Auto
Die Einwilligungen müssten zudem „informiert, freiwillig und konkret“ erfolgen. „Deswegen werden wir uns diese Einwilligungen in diese Massendatenverarbeitung sehr genau anschauen und auch an der Stelle sagen, wo sie unwirksam war“, kündigte Kelber an. Sollte das der Fall sein, hätte der Hersteller keine Rechtsgrundlage für die Verarbeitung.
Der VDA plädiert dafür, die Datenverarbeitung möglichst transparent zu machen. Das Wichtige sei, „dass wir ein Berechtigungsmanagement, auch im Fahrzeug, so einfach und so transparent wie möglich machen“, sagte Bollig. Die Zustimmung müsse dann zweckgebunden und nur so lange gültig sein, wie die Erlaubnis erteilt worden sei. So ähnlich wie bei Cookies auf Webseiten werde diese Zustimmungsabfrage aber nicht erfolgen, sagte Regierungsvertreter Krüger.
Mobilitätsdatengesetz für 2024 angekündigt
Bundesverkehrsminister Volker Wissing (FDP) startete am vergangenen Freitag offiziell den Dialogprozess für ein Mobilitätsdatengesetz. Das Gesetz soll im Jahr 2024 verabschiedet werden, erste Eckpunkte dafür sollen im Frühjahr 2023 vorliegen. „Bei der Erarbeitung des Gesetzes werden auch die auf europäischer Ebene erwarteten Rechtsakte zu Mobilitätsdaten und die Ergebnisse des Data Acts berücksichtigt“, hieß es. Auf Anfrage ergänzte das Ministerium: „Mit einem ersten Entwurf seitens der Europäischen Kommission ist im vierten Quartal dieses Jahres, gegebenenfalls auch erst Anfang nächsten Jahres zu rechnen. Dieses bleibt also zunächst abzuwarten.“
Angesichts der traditionell autofreundlichen Einstellung der deutschen Regierungen dürfte sich die Kommission durch die Position der Ampel ermutigt sehen, ebenfalls für das Treuhändermodell zu optieren. Auf das KBA könnte daher in absehbarer Zeit viel Arbeit zukommen.