Datensicherheit im Auto: Der Schlüssel weiß alles

Moderne Autos erfassen ungeahnt viele Daten. Hersteller, Versicherer oder Leasingnehmer können sogar den Charakter des Wagenlenkers ziemlich genau ausleuchten. Und das könnte unangenehme Folgen haben.

Spätnachts am 11.Dezember haben Sie augenscheinlich etwas über den Durst getrunken – oder vielleicht die neue Cannabis-Freiheit etwas zu lang ausgekostet? Deutliche Schlangenlinien, starkes Beschleunigen, dann wieder Kriechgang und zwei ruppige Bremseinsätze sprechen da eine klare Sprache. Und dass Sie statt über die Bundesstraße lieber nachts um drei auf einem Feldweg nach Hause gefahren sind, zeugt auch nicht gerade von Verantwortungsbewusstsein.

Kann gut sein, dass so ein Verhalten den Lenker seinen Leasingvertrag kostet, die Versicherung sich verdoppelt – oder gleich Fahrzeug und Führerschein eingezogen werden. Und zwar nicht in einer finsteren Science-Fiction-Zukunft oder wie in fernöstlichen Überwachungsstaaten. Den Schlüssel für den Blick in die automobile Seelenlage haben die Autohersteller längst – und zwar im wörtlichen Sinn.

Denn moderne Autoschlüssel speichern längst nicht nur die Zugangsberechtigung zum Fahrzeug und gewähren damit ihrem Besitzer den Zugang zur Mobilität, wie Christoph Langwasser weiß. Der Leiter des Allianz-Zentrums für Technik (AZT) sagt, "dass der Datenabruf prinzipiell auch sehr weitreichend in die andere Richtung möglich ist" – also aus dem Fahrzeug in den Datenspeicher des Schlüssels. Die meisten Kunden ahnen das wahrscheinlich nicht, wenn sie etwa einer Werkstatt, dem guten Bekannten oder dem Leasinggeber zeitweilig die Schlüssel überlassen. Und die Empfänger werden wohl auch nur selten Finsteres im Sinn haben.

Datensicherheit: Umfangreiche Daten verfügbar

Dabei ließe sich recht einfach auslesen, wann ein Fahrer unterwegs ist, von wo nach wo, über welche Straßen und mit welcher Geschwindigkeit. Daten des Gurtstraffers, der Bremssensoren, des Spurhalteassistenten, ESP oder Drehzahlmessers zeigen auch, wie zackig der Mensch unterwegs war. Alles natürlich mit exakter Tageszeit und GPS-Position; daher weiß der Schlüssel auch, wenn die Heimfahrt vom Stammtisch über den Schleichweg weit weg von allen Polizeikontrollen ging. Die meisten dieser personenbezogenen Daten dürfen etwa eine Werkstatt, dahinter hängende Unternehmen oder Behörden derzeit nicht nutzen – im Prinzip. Aber das könnte sich bald schon ändern.

Denn eigentlich würden etwa Versicherer wie die Allianz schon ganz gern auf einzelne Daten zurückgreifen. Nicht natürlich, um den Kunden bei Verkehrsverstößen bei der Polizei zu melden, wie Lucie Bakker betont. Die Vorständin Schaden bei der Allianz-Versicherung würde vielmehr mit den Daten maßgeschneiderte Policen anbieten. Besonders weitsichtige, zurückhaltende und sichere Autofahrer könnten so mit niedrigeren Prämien belohnt werden. Zumal der Schüssel etwa an der Sitz-, Spiegel- und Lenkradeinstellung sowie an vielen Fahrdaten erkennen kann, dass der Versicherungsnehmer auch wirklich selbst am Steuer saß. Der Versicherungskunde müsste der Dauerüberwachung natürlich zustimmen. Falls nicht, könnte das aber generell in der Branche teurer werden; oder so mancher Fahrer dürfte für seinen Traumsportwagen gar keinen Versicherer finden.

Datensicherheit: Fahrer müssen Datenhoheit haben

Datenschützer sind denn auch wenig begeistert von den Schlüssel-Möglichkeiten. Die Bundesdatenschutzbeauftragte Ulrich Kelber fordert, dass Fahrer "jederzeit die volle Hoheit über die Verwendung personalisierbarer Fahrzeugdaten haben". Eine pauschale Einwilligung für beliebige Verwendungszwecke, etwa beim Kauf eines automatisierten Fahrzeugs, genüge nicht. Nutzer sollten zudem selbst auch personenbezogene Daten löschen können, soweit die Speicherung nicht gesetzlich notwendig ist. Dazu gehört vor allem das "Recht auf Vergessenwerden" im Fahrzeugspeicher: Dort brauche es "ein datenschutzgerechtes Datenmanagement, lokal im Fahrzeug und in den angeschlossenen Cloud-Diensten", so Kelber.

Data Act soll 2025 in Kraft treten

Die EU steht kurz vor einer Regelung der Datenzugänge – allerdings wohl nicht allein zu Verbraucherschutz-Zwecken. Denn der sogenannte Data Act der EU-Kommission soll vor allem regeln, dass nicht allein die Autohersteller wie die Henne auf dem Ei auf dem Datenschatz hocken dürfen. Das Gesetz, das 2025 in Kraft treten soll, sieht einen geregelten Zugang für Dritte vor, die mit den Schlüsseldaten neue Dienste anbieten dürfen. Aber prinzipiell fordert auch die EU, dass die Daten den Autobesitzern gehören – und nur sie festlegen, mit wem sie geteilt werden dürfen. Das Dilemma dabei kennt aber jeder Besitzer eines Smartphones oder Facebook-Accounts: Wer liest schon die ellenlangen Einwilligungen einer App, bevor er sie installiert?

"Eine gesetzliche Regelung muss sicherstellen, dass Fahrzeugbesitzer selbst über ihre Daten verfügen, die Freigabe an Dritte steuern und von der Vermarktung für datenbasierte Geschäftsmodelle profitieren", fordert darum etwa auch ADAC-Technikpräsident Karsten Schulze – will allerdings auch selbst neben Freien Werkstätten, Versicherern oder Start-ups "Angebote zum Nutzen von Fahrzeugbesitzern entwickeln". Zum Beispiel ein eigenes integriertes Notrufsystem – auf Knopfdruck im Schlüssel.

Obwohl … selbst der Schlüssel in der Hosentasche ist schon auf dem Rückzug. Erste Fahrzeuge werden allein über eine App im Smartphone bei Annäherung geöffnet – und der Besitzer kann auf diesem Weg bei Bedarf noch beliebig viele "Zusatz-Schlüssel" für Familie, Freunde oder die Werkstatt kreieren. Oder auch nur dem Paketboten Zugang zum Kofferraum gewähren, falls er die Sendung mal nicht selbst in Empfang nehmen kann.

Ganz schön praktisch – aber für Versicherungs-Vorständin Bakker auch höchst beunruhigend. "Wir müssen sicherstellen, dass im Schadenfall der Nachweis über alle Virtuellen Schlüssel einfach und problemlos vom Fahrzeughersteller zur Verfügung gestellt werden kann", sagt Bakker. "Wir müssen wissen, wann welches Smartphone für einen Virtuellen Schlüssel berechtigt wurde." Sie appelliert darum an alle Fahrzeughersteller, "die Kernforderungen des AZT konsequent umzusetzen": Alle berechtigten Fahrzeugnutzer müssen übersichtlich, transparent und unveränderlich für Kunden und Versicherung aufgeführt sein. Kunden müssen bei einem Totaldiebstahl sofort alle Virtuellen Schlüssel nachweisbar zurückziehen können.

Sicherheitskritische Daten gehören in eine sichere Speicher- und Ausführungsumgebung

Die Zugangsberechtigung zum Auto muss von der Fahrberechtigung getrennt sein, um das bestehende Schutzniveau der elektronischen Wegfahrsperre nicht zu unterlaufen. Und die Datenumgebung des Virtuellen Schlüssels sollte anders als bisher "strikt von sonstigen Applikationen getrennt sein". Sicherheitskritische Daten gehören in eine sichere Speicher- und Ausführungsumgebung. Vor allem aber dürfe der Virtuelle Fahrzeugschlüssel nicht beliebig kopierbar sein.

Solche Schlüsselforderungen dürfte mancher Autohersteller, dessen Leasinggesellschaft oder hauseigener Versicherer wohl anders sehen. Und Kunden wie Brandon Dalaly übrigens auch. Der Tesla-Fahrer ist ganz stolz darauf, dass er seinen Virtuellen Fahrzeugschlüssel selbst kopiert hat – und jetzt nie mehr verlieren kann: Auf X (früher Twitter) ist zu sehen, wie sich der Amerikaner den Schlüssel per Mikrochip in seine Hand verpflanzen lässt. Da kennt er nun zumindest immer einen Ort, an dem seine Daten sicher lagern.

Quelle: Autoflotte