In Euro 7 warnen die Regulierer, dass das Manipulieren von Fahrzeugen, um Teile der Abgasreinigung zu entfernen oder zu deaktivieren, ein bekanntes Problem sei. Auch das Manipulieren des Kilometerzählers, das zu falschen Laufleistungen führen und die ordnungsgemäße Kontrolle eines Fahrzeugs im Betrieb behindern könne, wird in dem Dokument von 2024 als Sorge genannt.

Die Cybersicherheitsbestimmungen sind in den Abgasrichtlinien der EU vergleichsweise neu. Laut Dr. Liz James, leitende Sicherheitsberaterin bei NCC Group, könnte ihre Aufnahme mit dem “Dieselgate”-Skandal von 2015 zusammenhängen, bei dem Volkswagen vorgeworfen wurde, Software zur Fälschung von Abgas- und Verbrauchstests installiert zu haben. Wichtiger sei jedoch, dass Euro 7 die Verbesserung der europäischen Abgasstandards fortführe.

Das Ziel, Emissionen eines Fahrzeugs über dessen Lebensdauer genau zu messen, sei selbst zu einem Angriffsziel geworden, erklärt James. Die EU brauche verlässliche Daten, um Emissionen effizienter nachzuverfolgen und zu steuern. Euro 7 schaffe den Rahmen, um die Branche zur Rechenschaft zu ziehen.

Die Norm verknüpft das Thema Datenmanipulation laut James mit der UN-Regelung Nr. 155 zu Cybersicherheits-Managementsystemen, die einheitliche Vorgaben für die Fahrzeugzulassung setzen soll. Hersteller müssen nachweisen, dass sie gründliche Risiko- und Bedrohungsanalysen durchgeführt haben, um Schwachstellen zu mindern und unbefugten Zugriff auf das Fahrzeug oder dessen Kommunikationssysteme zu verhindern. “Die Einhaltung dieser Abgasstandards bedeutet, dass man ausdrücklich zeigen muss, dass diese Bedrohungen beherrscht werden”, so James. Gerade weil viele Autobauer einen Anreiz hätten, Daten zu manipulieren, gehe es darum, die Genauigkeit der Informationen sicherzustellen.

Nikhil Gupta, Professor am Fachbereich für Maschinen- und Luftfahrttechnik der New York University, verweist auf die wachsenden Risiken vernetzter, softwaregesteuerter Fahrzeuge. Würden Schwachstellen nicht behoben, könnten Angreifer die Systeme eines Autos hacken: etwa das GPS, um an sensible Standortdaten zu gelangen, oder im System gespeicherte Finanzdaten, was Daten- und Finanzdiebstahl ermögliche. Viele dieser Dienste liefen über Abonnements. Gupta warnt zudem, dass ein Angreifer softwaregesteuerte Bauteile wie Bremsen manipulieren und die Hardware zum Versagen bringen könnte. “Wie entwickelt man ein vertrauenswürdiges System? Das ist der Kern”, sagt er.

Das größte Problem sieht Gupta bei der Integration: Software eines Fahrzeugmodells stammt häufig von verschiedenen Zulieferern, und eine einzige verwundbare Komponente könne die gesamte Lieferkette gefährden. Jeder Anbieter sichere seine eigene Software ab, doch der Autohersteller müsse all diese Teile zusammenführen – ein Schritt, der zusätzliche Zeit beanspruchen könne. “Die einzige Sorge ist: Schaffen wir die Fristen?”, sagt Gupta. Einen Widerstand der Branche erwartet er nicht.

Beide Fachleute halten die Umsetzung für machbar, da Cybersicherheitsanforderungen an Software bereits existieren. Die Vorgaben schrieben nicht vor, wie zu mindern sei, sondern verlangten ein angemessenes Risikomanagement, betont James. Schwieriger werde es für Hersteller, die dies vor Euro 7 nicht getan hätten – etwa Produzenten schwerer Maschinen und emissionsstarker Fahrzeuge. “Vieles tun sie bereits, es geht nur darum, herauszufinden, was wirklich neu ist”, sagt James.