Wenn Busse plötzlich keinen Bock mehr haben, klingt das nach einer Szene aus einem Spionagethriller – unsere heutige Geschichte spielt aber nicht in einem fiktiven Hollywood-Szenario, sondern in Norwegen. Genauer gesagt: in einer verlassenen Mine, irgendwo im Nirgendwo, weit weg von allem, was ein Handy „Netz“ nennen würde. Kein WLAN, keine Mobilfunkmasten. Also ideal für das, was man einen „Offline-Test“ nennt. Oder wie ein IT-Sicherheitsprofi sagen würde: kontrolliertes digitales Vakuum.

Was dort getestet wurde? Busse. Genauer: die Cybersicherheit des öffentlichen Nahverkehrs von Oslo und Akershus. Deren Betreiber „Ruter“ wollte wissen, ob und wie sehr man den Hightech-Bussen vertrauen kann, mit denen täglich tausende Menschen fahren. Klingt vernünftig – denn fast zwei Drittel dieser E-Busse stammen vom chinesischen Hersteller Yutong. Und wer sich im Bereich IT-Sicherheit ein wenig auskennt, weiß: Wenn auf der Verpackung „Made in China“ steht, fragt man besser doppelt nach, was genau da alles mitgeliefert wird – Funkkanäle inklusive.

Die Tester wurden schnell fündig: Eine eSIM aus Rumänien war im Bus installiert. Der Bus ist also nicht nur mobil, sondern auch mobilfunkfähig – auf eigene Faust. Er baut selbstständig Internetverbindungen auf, sendet und empfängt Daten. Was genau? Unter anderem Steuerbefehle, Diagnosedaten, Softwareupdates … und – besonders pikant – er lässt sich aus der Ferne stilllegen. Ja, richtig gelesen: aus dem Ausland kann man theoretisch die Türen verriegeln und den Motor deaktivieren. Im Klartext: Kill-Switch.

Dass so ein Szenario nicht nur theoretisch ist, zeigt ein ganz anderer Fall – mit einem ganz anderen Fahrzeug: Einem Staubsauger-Roboter. Der Software-Ingenieur Harishankar Narayan stellte fest, dass sein chinesischer Saugfreund regelmäßig Daten nach Hause schickte – inklusive Grundriss seiner Wohnung. Als Narayan die Kommunikationskanäle kappte, um wenigstens seine Privatsphäre zu behalten, schaltete sich der Roboter einfach ab. Beim Service funktionierte er wieder – zuhause nicht. Was war passiert?

Narayan grub tiefer, analysierte die Software – und fand den rauchenden Colt: Der Roboter hatte exakt in dem Moment, als er sich verabschiedete, ein Signal aus China erhalten: „RS_CTRL_REMOTE_EVENT“. Oder auf Deutsch: „Schalter aus. Feierabend.“

Das ist kein Einzelfall. Wenn ein smarter Haushaltshelfer nicht mehr reinigen darf, weil sein digitaler Putzbefehl aus Fernost fehlt, ist das eine Sache. Wenn aber ein E-Bus mit 50 Passagieren im Berufsverkehr stehen bleibt, weil der Hersteller Zugriff auf Batterie, Türen und Motor hat – dann reden wir über kritische Infrastruktur.

Noch ist nichts passiert. Noch. Aber der Vorfall zeigt, wie abhängig wir längst von internationaler Hardware, Konnektivität und von Herstellern geworden sind – und wie dringend Sicherheitsfragen gestellt werden müssen, bevor Millionen Euro für den Fuhrpark ausgegeben werden. Noch bevor ein Land auf die harte Tour merkt, dass nicht nur Bewohner auf den Bus warten, sondern auch Busse auf Befehle des Herstellers.

Vielleicht ist es wirklich an der Zeit, mal wieder den Besen rauszuholen. Und den digitalen gleich mit. Nur für den Fall. Zumindest als Backup. Früher hatte man doch einmal im Monat Kehrwoche. Hat auch geklappt.