Hacker werden zur Gefahr für Flotten und Unternehmen, Datenschutz zur Herausforderung für Fuhrparkmanager, Kommunikation zum Risiko.
Das Auto ist ein riesiger Datenspeicher. Doch wie definiert sich künftig Datenschutz im Firmenwagen? Bislang ging es hauptsächlich darum, dass Informationen über den Fahrer in nur engen Grenzen nutzbar sind. Datenschutz bedeutete, sich an Gesetze zu halten. Überwachungsmechanismen, etwa durch GPS-Ortung, sind rechtlich geregelt und einwilligungspflichtig. Selbst simple Fahrdatenaufzeichnungen sind nur zulässig, wenn sie dem Unternehmenszweck dienen oder vom Fiskus angefordert werden. Daran wird sich auch in Zukunft nichts ändern. Datenschutz aber beinhaltet im Wortstamm den Schutz von allen Daten, die der Betrieb eines Autos generiert. Es geht um Sicherheit. die des Autos und die des Unternehmens.
Auto kapern und fernsteuern: für Hacker ein Kinderspiel
Wikileaks veröffentlichte jüngst, was sogenannte White Hacker mittlerweile mit Automobilen so treiben. White Hacker sind Computerexperten, die im Auftrag von Regierungen oder Unternehmen Sicherheitsrisiken von Netzwerken aufdecken. Leute also, die genau das tun, zu was Kriminelle jederzeit auch in der Lage wären. Das Einschleusen von Viren über die Unterhaltungselektronik gehört genauso zu ihren Erfolgen wie externe Zugriffe auf lebenswichtige Funktionssteuerungen der Fahrzeugtechnik. Ein gekapertes Fahrzeug per Fernsteuerung abbremsen oder auf Befehl losrasen lassen – was nach Kino klingt, ist mittlerweile Realität.
Somit geraten auch Firmendaten und Netzwerkinhalte, die Mitarbeiter über ihre Fahrzeuge transferieren oder abrufen, in das Visier von Datendieben. Einfallstore in der buchstäblichen Wagenburg gibt es genug. Automatische Türsysteme, Reifendrucksensoren, Temperaturfühler und zahllose weitere Systeme kommunizieren über Funkfrequenzen. Diese anzuzapfen ist für Elektronikprofis kein Problem. Ein moderner Pkw weist laut dem Verband der Internetwirtschaft ECO etwa 50 Schnittstellen mit teilweise "sehr unterschiedlichem Sicherheitsniveau" auf.
Ganz oben auf der Agenda der Kritiker: der Zugriff auf Fahrzeugdaten über Smartphone-Apps. Für den Mobilitätsexperten im Verband, Thorsten Suke, gehören Handys und Autos nicht zusammen. "Mobile Endgeräte und mobile Netze sind vergleichsweise unsicher und damit für die hohen Anforderungen im Automobilsektor nur bedingt geeignet." Suke verweist auf die Unverhältnismäßigkeit der Datenschutzsysteme. "Es gibt doch heute kaum noch ein Unternehmen, das seine IT nicht durch ein professionelles Sicherheitsmanagement schützt. Andererseits benutzen die Mitarbeiter Smartphones, auf denen noch nicht mal ein Virenscanner, geschweige denn eine Sicherheitssoftware installiert ist.
Bekannt ist: Das Koppeln von Endgeräten mit Infotainmentsystemen birgt die größte Gefahr eines Datendiebstahls. Die Automobilindustrie aber hat in Sachen IT-Sicherheit nur die Netzwerke bis zu dieser Schnittstelle im Fokus, nicht aber darüber hinaus, beklagt der Softwarekonzern T-Systems. "Hersteller und Zulieferer müssen IT-Sicherheit und Datenschutz schon in der Entwicklung von Ende zu Ende berücksichtigen und über den gesamten Produktzyklus hinweg einplanen", fordert Thomas Fischer, Leiter der Sparte Embedded Engineering bei T-Systems. Bisher denke die Automobilbranche hauptsächlich an die Systeme im Fahrzeug, wie etwa die Steuergeräte. "Ein wirksames Sicherheitskonzept aber muss die gesamte Kommunikationsinfrastruktur rund um das Fahrzeug abdecken. Dazu gehört auch die mobile Kommunikation", so Fischer. Es brauche daher Detektionssysteme, die Datenströme vom und zum Fahrzeug analysieren und bei Anomalien Alarm schlagen.
Die Gefahr, Unternehmens- und Kundendaten oder andere Informationen an Hacker zu verlieren, ist ansonsten groß. Man stelle sich nur das Szenario einer ferngesteuerten »Flottenstilllegung« zu Erpressungszwecken vor. Das Risiko lässt sich allerdings senken, solange ausschließlich gesicherte Dienst-Handys oder Laptops im Dienstwagen benutzt werden.
Dienstwagen-Überlassungsverträge müssen angepasst werden
Sicherstellen lässt sich das durch eine Klausel im Überlassungsvertrag. "Das Thema Datentransfer stellt sich hier in Zukunft zunehmend", schätzt der Kölner Rechtsanwalt Dr. Uwe Schlegel. "Weniger aus arbeitsrechtlichen Überlegungen wie bisher, sondern zunehmend aus Gründen des Datenschutzes." Die Nutzung privater, ungeschützter Endgeräte in Koppelung mit dem Dienstwagen zu verbieten sei durchaus rechtens, so Schlegel. In einem Überlassungsvertrag dürfe alles stehen, was sich sachlich begründen lässt.
Doch nicht nur die Kombination Dienstwagen und Privathandy ist ein Risikofaktor. Schlegel verweist auf den umgekehrten Fall: Firmen-Smartphones oder -Laptops in fremden Autos. "Meist wird doch in einem Mietwagen als Erstes unbedarft das eigne Handy ans Infotainmentsystem gekoppelt. Dass ein solcher Datentransfer nicht geschützt ist, liegt auf der Hand." Auch für solche Vorgehensweisen empfiehlt sich für Flottenbetreiber künftig eine klare Vereinbarung mit dem Mitarbeiter. Im Zweifel bleibt das Handy eben aus. Flottenmanagement der Zukunft jedenfalls wird mehr Datenschutz benötigen als bisher. Nicht nur für den, der am Steuer sitzt.
