Souverän unterwegs im digitalisierten Auto – Fragen zum Spionageschutz
der Fraktion der CDU/CSU
Vorbemerkung
Die Digitalisierung in modernen Autos nimmt stetig zu. Zur Ermöglichung der Funktionen eines modernen Autos sind darin etwa Sensoren, Kameras, Mikrofone und Anwendungen mit künstlicher Intelligenz eingebaut. Durch die digitale Vernetzung mit der Außenwelt können im Fahrzeug zudem neue Dienstleistungen und Funktionen bereitgestellt werden. Dadurch vergrößern sich jedoch auch die Angriffsfläche und damit die Bedeutung der Cybersicherheit in modernen Fahrzeugsystemen. Neue Technologien können manipuliert werden. Cyberangriffe ermöglichen einen Einfluss auf die Fahrsicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht ein Branchenlagebild Automotive zur Cybersicherheit in der Automobilbranche und gestaltet nach eigenen Angaben unter anderem praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen (Branchenlagebild Automotive des BSI, S. 5; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8).
Moderne Autos eignen sich aufgrund ihrer zahlreichen Kameras und Sensoren möglicherweise auch zu Spionagezwecken. Zwar gibt es die rechtlichen Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO), wonach Unternehmen auflisten müssen, welche Informationen sie erheben und speichern. Trotzdem stimmt man bei Übergabe eines neuen Fahrzeugs im Rahmen der Datenschutz-Bestimmungen meist Ausnahmen vom Datenschutz zu, und es gibt kaum neutrale Untersuchungen dazu, ob und wie Positionsdaten, Kamerabilder und Audioaufzeichnungen genutzt werden (Wirtschaftswoche vom 28. Juli 2023 „Der Spion in meinem Auto“, S. 66).
Laut Statistischem Bundesamt stammen 28,2 Prozent der nach Deutschland importierten Personenkraftwagen mit Elektromotor (E-Autos) aus China. Im Vorjahresquartal lag dieser Anteil noch bei 7,8 Prozent. Damit liegt fast eine Vervierfachung dieses Werts innerhalb eines Jahres vor. Immer mehr Unternehmen in Deutschland bieten ihren Mitarbeitern auch E-Autos aus China als Dienstwagen an. Unternehmen im Segment der Autovermietung beziehen für ihre Flotte ebenfalls E-Autos chinesischer Hersteller (www.destatis.de/DE/Presse/Pressemitteilungen/2023/05/PD23_182_51.html und www.bild.de/politik/ausland/politik-ausland/politiker-warnen-vor-sixt-deal-mit-china-spionage-gefahr-auf-raedern-81517322.bild.html).
Umgekehrt werden Medienberichten zufolge in China E-Autos der Marke Tesla immer dann aus der chinesischen Stadt Beidaihe verbannt, wenn dort die Parteiführung der KPCh tagt (Wirtschaftswoche vom 28. Juli 2023 „Der Spion in meinem Auto“, S. 66;). Es wird vermutet, dass mit den verbauten Kameras und Sensoren Spionage betrieben werden könnte (www.reuters.com/business/autos-transportation/chinas-beidaihe-district-bar-tesla-cars-driving-july-local-police-2022-06-20/ ). Darüber hinaus dürfen sich Tesla-Autos nicht mehr auf und unmittelbar rund um chinesische Militärbasen aufhalten (www.auto-motor-und-sport.de/verkehr/china-verbannt-tesla-spionage-beidaihe/). Zudem waren im Juni 2022 Tesla-Autos für die Dauer eines Besuchs des chinesischen Präsidenten Xi Jinping auf bestimmten Straßen der chinesischen Stadt Chengdu nicht gestattet (www.reuters.com/business/autos-transportation/chinas-beidaihe-district-bar-tesla-cars-driving-july-local-police-2022-06-20/ ).
Wir fragen daher die Bundesregierung:
Fragen27
Welches Ressort der Bundesregierung ist federführend verantwortlich in Fragen zur Cybersicherheit in intelligenten, vernetzten, modernen Pkw?
Welche Ressorts der Bundesregierung sind mitberatend zuständig in Fragen zur Cybersicherheit in intelligenten, vernetzten, modernen Pkw?
Welches Ressort der Bundesregierung ist federführend zuständig in Fragen zur Datennutzung und Datenschutz in intelligenten, vernetzten, modernen Pkw?
Welche Ressorts der Bundesregierung sind mitberatend zuständig in Fragen zur Datennutzung und Datenschutz in intelligenten, vernetzten, modernen Pkw?
Welches Ressort der Bundesregierung ist federführend verantwortlich in Fragen zur Spionage im und mit dem intelligenten, vernetzten, modernen Pkw?
Welche Ressorts der Bundesregierung sind mitberatend zuständig in Fragen zur Spionage im und mit dem intelligenten, vernetzten, modernen Pkw?
Wann genau erscheint das nächste Branchenlagebild Automotive des BSI zur Cybersicherheit in der Automobilbranche?
a) Werden darin auch Fragen zu Spionage im intelligenten, vernetzten, modernen Pkw und mithilfe moderner, intelligenter, vernetzter Pkw adressiert?
b) Werden darin auch Fragen zu Datennutzung und Datenschutz in Autos adressiert?
Erfasst die Bundesregierung systematisch Cybersicherheitsvorfälle in und rund um digital vernetzte Autos?
a) Wenn ja, welche Behörde erfasst diese Vorfälle?
b) Wenn ja, wie viele Cybersicherheitsvorfälle in digital vernetzten und rund um digital vernetzte Autos sind der Bundesregierung bekannt (bitte nach Jahren seit Aufzeichnungsbeginn aufschlüsseln)?
c) Wenn nein, warum nicht?
Ist der Bundesregierung bekannt, ob sich chinesische Autohersteller für den Cybersicherheitsstandard TISAX registriert haben, und wenn ja, welche Hersteller genau (Branchenlagebild Automotive des BSI, S. 21; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8)?
Ist das Folgeprojekt zu „AIMobilityAuditPrep“, dessen Start für den Herbst 2022 geplant war, inzwischen gestartet (Branchenlagebild Automotive des BSI, S. 15; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8)?
a) Anhand welcher Anwendungsfälle im Bereich des automatisierten Fahrens genau werden die Vorarbeiten aus dem Projekt „AIMobilityAuditPrep“ getestet?
b) Bis wann genau plant das BSI aus den gewonnenen Erkenntnissen eine modulare technische Richtlinie zu erstellen?
Ist der Bundesregierung bekannt, ob sich chinesische Autohersteller im Rahmen des IT-Grundschutzes an die einschlägigen Spezifikationen des Bausteins „IND Fernwartung in Produktionsumgebungen“, in dem Anforderungen für den Zugriff durch Dienstleister auf die Produktionsumgebung aufgelistet werden, halten (Branchenlagebild Automotive des BSI, S. 19; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8)?
Müssen die regulativen Vorgaben zur Cybersicherheit in Kraftfahrzeugen gemäß der UNECE (Wirtschaftskommission für Europa)-Regelung UN-R155 und der Verordnung (EU) 2018/858 auch von den chinesischen Autoherstellern für alle neuen Fahrzeugtypen umgesetzt werden, wenn ihre Produkte auf den Straßen der Bundesrepublik Deutschland eingesetzt werden?
Ist der Bundesregierung bekannt, ob die chinesischen Autohersteller den im August 2021 veröffentlichten Standard ISO/SAE 21434 „Road Vehicles Cybersecurity Engineering“, der sich an Fahrzeughersteller richtet und einen Rahmen für die Umsetzung von Cybersicherheitsanforderungen in der Entwicklung von Fahrzeugen definiert, vor dem Hintergrund des Umstandes, dass dem BSI zufolge ein Nachweis der Umsetzung der ISO/SAE 21434 nicht formale Voraussetzung für die Erfüllung der UNECE-Regelung UN-R155 ist, halten und umsetzen (Branchenlagebild Automotive des BSI, S. 22; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8)?
Ist der Standard ISO/DIS 24089 „Road Vehicles – Software Update Engineering“ mit einer expliziten Betrachtung von Cybersicherheitsstandards im gesamten Updateprozess zur Unterstützung der Umsetzung der regulatorischen Anforderungen UNECE-Regelung UN-R156 zu Software-Updates und Software-Update Management Systemen inzwischen fertig entwickelt und veröffentlicht (Branchenlagebild Automotive des BSI, S. 23; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8)?
Ist der Bundesregierung bekannt, ob sich chinesische Autohersteller an die seit dem März 2022 existierende Spezifikation ISO/PAS 5112:2022 „Road Vehicles -Guidelines for auditing cybersecurity engineering“ zur Durchführung von internen oder externen Audits für Cyber Security Management Systemen halten und umsetzen (Branchenlagebild Automotive des BSI, S. 22–23; www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2021_2022.pdf?__blob=publicationFile&v=8)?
Ist der Bundesregierung bekannt, wo die durch die Autos chinesischer Hersteller und durch die darin verbauten Fahrzeugsysteme generierten Daten gespeichert werden?
a) Werden die Daten auf Servern in der Volksrepublik (VR) China gespeichert?
b) Hält die Bundesregierung es für möglich, dass die Regierung der VR China Zugriff auf die Daten hat?
c) Hält die Bundesregierung es für möglich, dass sich die Regierung, die Geheim- und Nachrichtendienste und die Behörden der VR China per Fernzugriff Zugriff auf die Fahrzeugsysteme, wie Kameras, verschaffen könnten?
Sind der Bundesregierung Spionagevorfälle im Zusammenhang mit Autos chinesischer Hersteller als Spionagewerkzeug bekannt, und wenn ja, wann gab es diese (bitte mit Jahreszahl auflisten)?
Welche Ressorts der Bundesregierung setzen den No-Spy-Erlass des Bundesministeriums des Innern und für Heimat (BMI) nicht um?
Ist es (E-)Autos chinesischer Hersteller gestattet, auf Parkplätzen der Liegenschaften, Einrichtungen und Gebäuden beziehungsweise im unmittelbaren Umfeld der Liegenschaften, Einrichtungen und Gebäude der folgenden Institutionen und Organisation zu halten oder zu parken (bitte auflisten und im Falle einer Nichtgestattung bitte begründen):
a) Bundesministerien (bitte im Falle der Nichtgestattung das genaue Bundesministerium benennen),
b) Bundeskanzleramt,
c) zweiter Amtssitz des Bundeskanzlers,
d) nach Kenntnis der Bundesregierung Bundespräsidialamt,
e) Nachrichtendienste der Bundesrepublik Deutschland,
f) Einrichtungen der Bundeswehr,
g) Übungsgelände der Bundeswehr,
h) BSI,
i) Bundeskriminalamt und Bundespolizei,
j) Einrichtungen der kritischen Infrastruktur?
Welche Dienstwagen werden an den Auslandsvertretungen der Bundesrepublik Deutschland in der VR China genutzt (bitte Hersteller, Modell und Baujahr benennen)?
Befinden sich Autos chinesischer Hersteller in den Dienstwagenflotten der Bundesministerien, und wenn ja, bei welchen Bundesministerien?
Befinden sich Autos chinesischer Hersteller in der Dienstwagenflotte des Bundeskanzleramts?
Befinden sich Autos chinesischer Hersteller in der Dienstwagenflotte des Fuhrparks der Bundeswehr?
Befinden sich Autos chinesischer Hersteller in den Dienstwagenflotten der Nachrichtendienste der Bundesrepublik Deutschland?
Befinden sich Autos chinesischer Hersteller in den Dienstwagenflotten der Botschaften und Konsulate der Bundesrepublik Deutschland, und wenn ja, an welchen Botschaften und Konsulaten genau?
Befinden sich Autos chinesischer Hersteller in der Dienstwagenflotte des BSI?
Befinden sich Autos chinesischer Hersteller in den Dienstwagenflotten der Bundespolizei und des Bundeskriminalamts?