Warum die Cybersicherheit das Ende beliebter Pkw besiegelt

Frankfurt am Main. „Im Herzen ein Bulli.“ So wirbt der Volkswagen-Konzern für den Multivan 6.1. auf seiner Website. Dort ist selbiger zu sehen, wie er durch einen Wald brettert. Das Fahrzeug stehe wie seine Vorgänger für „maximale Freiheit und Flexibilität“. Es hat schon fast Kultstatus bei Zeitgenossen, die gerne draußen sind. Doch weiter unten die bittere Wahrheit: Der 6.1 sei nicht mehr als Neufahrzeug konfigurierbar. Beim Händler seiner Wahl soll man nachfragen, ob der noch einen auf Lager hat. „Nur solange der Vorrat reicht.“

Die Baureihe T6.1 hat es auch erwischt. Der Wolfsburger Konzern nimmt sie aus dem Programm wegen neuer Regeln für die Cybersicherheit. Die Vorschriften haben auch mit dem Ende des beliebten Kleinwagens Up zu tun. Bei der Konzernschwester Porsche werden die Modelle Macan, Boxster und Cayman in der jeweiligen Verbrennerversion nur noch für den Export gebaut.

Stichtag ist der 7. Juli

Auffällig ist auch, dass für eine Reihe weiterer Modelle anderer Hersteller ebenfalls das Aus naht – für Renaults Elektro-Veteran Zoe, für den CLS von Mercedes, den Smart EQ Fortwo, Audis R8 oder den Ford Fiesta. Insider vermuten, dass auch hier die Vorgaben für die Bordsoftware zumindest ein Faktor für die Einstellung der Fertigung waren, die Unternehmen aber nicht so gerne darüber sprechen, weil sie ihre Kundinnen und Kunden nicht verunsichern wollen.

Der Stichtag ist der 7. Juli. Eine hochgradig spröde Materie entfaltet dann ihre Wirkung: Die Richtlinien R155 und R156 von der United Nations Economic Commission for Europe (UNECE) treten auch für ältere Fahrzeuge in Kraft. Sie schreiben vor, dass Neuwagen, die ab dem 7. Juli zugelassen werden, ein sogenanntes Cyber Security Management System mit genau definierten Standards nachweisen müssen.

Die Hersteller müssen Lösungen installieren, die Fahrzeuge vor Hackerangriffen umfassend schützen sollen. Die Bordsoftware muss dabei genau festgelegten Standards entsprechen, und es muss gewährleistet werden, dass Updates auf eine abgesicherte Art und Weise aufgespielt werden. Es gilt, all dies lückenlos zu dokumen­tieren. Zudem sei es unter anderem nötig, Risiko- und Schwachstellenanalysen durchzuführen, sagte Stefan Bratzel vom Center of Automotive Management in Bergisch Gladbach. Und auch Zulieferer müssten diverse Standards einhalten. Für neu entwickelte Fahrzeuge sind die Managementsysteme schon seit Mitte 2022 verpflichtend, für ältere Modelle wurde eine Übergangsfrist bis zum Sommer 2024 eingeführt.

Stefan Bratzel vom Center of Automotive Management in Bergisch Gladbach.

Quelle: Frank Rumpenhorst/dpa-tmn

Der Aufwand lohnt sich nicht

VW-Markenchef Thomas Schäfer begründete gegenüber der Deutschen Presse-Agentur das Auslaufen der Produktion für Up und T6.1 mit den hohen Kosten. Eine komplett neue Elektronikarchitektur hätte integriert werden müssen. Auch Bratzel bestätigt: „So etwas kostet viel Zeit und Geld.“ Der Aufwand lohnt sich bei Baureihen nicht mehr, die sich ohnehin dem Ende ihres Produktionszyklus nähern. Deshalb werden keine Bestellungen mehr für den T6.1 angenommen. Was noch bis Ende Juni gefertigt wird, ist laut „Handelsblatt“ längst verkauft. Auch eine letzte Charge des Up sei bereits an die hiesigen Händler ausgeliefert worden. Einen direkten Nachfolger für den Kleinwagen gibt es erst mal nicht. VW will aber ab 2027 mit dem ID.1 einen elektrischen Mini auf den Markt bringen.

Bei Porsche werden Macan, Boxster und Cayman weiterhin insbesondere für den chinesischen und den US‑Markt gefertigt: Beide Länder haben sich bislang nicht dem UN‑Regelwerk angeschlossen.

Bösartige Attacken bald vermehrt auf die Fahrzeuge selbst?

Muss der hohe Regelungsaufwand wirklich sein? Für Bratzel gibt es da keine Zweifel. „Bislang beschränken sich die Hackerattacken vor allem auf die Hersteller und die Händler“, sagte er dem RND und fügte hinzu: „Man kann aber die Uhr danach stellen, dass in der Zukunft auch die Fahrzeuge selbst verstärkt angegriffen werden.“ Und das würden dann bösartige Attacken werden.

Für Schlagzeilen hatte schon vor Jahren gesorgt, als es gelang, die Funkschlüssel für BMWs zu hacken. Und ein Reporter des US‑Magazins „Wired“ führte vor, wie einfach es ist, aus mehreren Kilometern Entfernung die Kontrolle über einen fahrenden Jeep Cherokee zu übernehmen. Damals wurde zuerst die Klimaanlage, dann das Radio und schließlich Lenkung und Bremsen gekapert.

Bratzel: „Die Gefahren steigen mit dem Vernetzungsgrad der Autos“

Für Bratzel ist klar, dass strenge Standards zunehmend wichtiger werden: „Die Gefahren steigen mit dem Vernetzungsgrad der Autos.“ Und da tut sich gerade einiges. Tesla war der Vorreiter bei Updates der Bordsysteme „over the Air“: Die neue Software wird mittels Mobilfunktechnik übermittelt, die gerne für Angriffe missbraucht wird. Inzwischen haben viele Autobauer diese Technologien ebenfalls im Einsatz. Fachleute gehen davon aus, dass Autos immer mehr zu vernetzten Endgeräten werden, mit denen die Nutzer und Nutzerinnen auf Abruf dann auch zusätzliche Leistung oder größere Reichweiten buchen können.

Müssen jetzt Fahrerinnen und Fahrer eines Up Angst haben, dass Unbekannte die Kontrolle übernehmen? Bratzel beruhigt: „Je älter die Fahrzeuge sind, umso geringer ist die Gefahr von Hackerangriffen.“

Und ein Trost für Draußen- und Bulli-Fans: Die Camperversion, der California 6.1, ist nach wie vor im Angebot. Aber: „Nur noch für kurze Zeit“, heißt es auf der VW‑Website. Für Wohnmobile gelten die UN‑Regeln erst vom 1. September an.