Autohacking noch nicht strafbar

(C) Bruckberger
  • Drucken

Forschern ist es gelungen, von fern die Kontrolle über Autos zu übernehmen. Der Gesetzgeber hat noch keine Antwort auf diese bedrohliche Form von Cyberkriminalität.

Wien. An den Gedanken, dass ein Computer von Hackern übernommen werden könnte, haben sich viele bereits gewöhnt. Dass man mitten auf der Autobahn das eigene Auto nicht mehr steuern könnte, ist jedoch noch ein ziemlich neuer Gedanke und zu Recht mit einem besonderen Gefühl des Kontrollverlusts verbunden. Nichts untergräbt das aus der TV-Serie „Knight Rider“ bekannte Bild „ein Mann und sein Auto“ so sehr wie die reale Möglichkeit, dass dieses von Unbekannten kontrolliert werden könnte.

Im Juli demonstrierten Sicherheitsforscher vor laufender Kamera, wie sie per Internet Zugang zum Boardcomputer eines fahrenden Autos erlangen. Nachdem sie von fern die Lüftung eingeschaltet und die Stereoanlage laut gestellt hatten, schalteten sie die Scheibenwischer ein und brachten das Auto auf einer Schnellstraße zum Stehen. Auch das Versperren der Türen sowie das Deaktivieren der Bremsen war ohne Probleme während der Fahrt möglich. Drei Tage später hat der betroffene Autohersteller für 1,4 Millionen Fahrzeuge einen Rückruf gestartet.

Um Risken für die Cybersicherheit von Fahrzeugen zu begegnen, wurde im Juli im US-Senat ein Gesetzesvorschlag eingebracht, der Autohersteller dazu verpflichten soll, angemessene Sicherheitsmaßnahmen zu implementieren. Nach dem Security and Privacy in Your Car Act of 2015 sollen kritische Systeme zur Fahrzeugsteuerung und nicht kritische wie das Unterhaltungssystem voneinander logisch getrennt werden. Weiters sollen die Cybersicherheit aller neuen Autos evaluiert und die Ergebnisse der Evaluierung beim Verkauf angegeben werden.

Dieser duale regulatorische Ansatz ähnelt jenem, den die EU hinsichtlich CO2-Emissionen von Pkw gewählt hat: Einerseits werden maximale Emissionswerte vorgeschrieben, andererseits müssen gewisse Umweltinformationen zu CO2-Emissionen eines Pkw beim Verkauf angegeben werden. Das erhöht die Markttransparenz, Käufer können informiert entscheiden.

In der EU gibt es derzeit allerdings keinerlei Vorschläge, die Cybersicherheit von Fahrzeugen zu regulieren, sodass die Anwendbarkeit allgemeiner Rechtsnormen zu prüfen ist. In vielen Fällen ist zunächst eine Anwendbarkeit des Telekommunikationsgesetzes (TKG) zu prüfen. Denn wenn das vernetzte Auto auch einen Internetzugang bietet, kann der Autohersteller – abhängig von seinem sonstigen Diensteangebot und der Vertragsstruktur – als Anbieter eines öffentlichen Kommunikationsdienstes klassifiziert werden. Das macht das TKG anwendbar. Nach ihm müsste der Autohersteller insbesondere angemessene Maßnahmen zur Netzwerksicherheit implementieren.

Davon unabhängig ist eine Haftung des Herstellers, nach dem Produkthaftungsgesetz zu prüfen. Gemäß PHG haftet der Hersteller bzw. Importeur, wenn ein Produkt fehlerhaft ist und dadurch ein Personenschaden oder an einer anderen Sache als dem Produkt selbst ein Schaden entsteht. Ob ein Fehler vorliegt, ergibt sich nach dem PHG insbesondere unter Berücksichtigung des billigerweise zu erwartenden Gebrauchs. Nach überwiegender Ansicht ist ein krasser Missbrauch, wie ein vorsätzliches Hacking durch einen Dritten, nicht billigerweise zu erwarten; eine Haftung des Autoherstellers nach PHG ist deshalb unwahrscheinlich.

Fahrzeughalter außer Obligo

Auch der Halter eines gehackten Fahrzeugs wird nicht für Schäden haften. Dies, obwohl das Eisenbahn- und Kraftfahrzeughaftpflichtgesetz grundsätzlich eine verschuldensunabhängige Gefährdungshaftung des Halters vorsieht. Denn nach EKHG scheidet eine Haftung aus, wenn der Unfall auf das Verhalten eines Dritten zurückzuführen ist, daher ein für den Halter unabwendbares Ereignis vorliegt.

Der Hacker selbst haftet natürlich für alle von ihm verursachten Schäden. Darüber hinaus ist er auch strafrechtlich verantwortlich für alle vorsätzlichen Sachbeschädigungen sowie alle im Zuge des Hackings verursachten Personenschäden. Das bloße Hacking eines Fahrzeugs sowie die Übernahme der Kontrolle darüber wird hingegen vielfach straflos bleiben.

Denn Hacking ist in Österreich nach wie vor nur dann strafbar, wenn der Täter mit der Absicht handelt, sich von Daten Kenntnis zu verschaffen, die im gehackten System gespeichert sind (§118a StGB). Wer ein fremdes Fahrzeug hackt, um es unter seine Kontrolle zu bringen, bleibt straflos. Wenn der Hacker das Fahrzeug selbst lenkt, kommt allenfalls eine Strafbarkeit wegen des unbefugten Gebrauchs des Fahrzeugs (§136 StGB) in Betracht. Bringt er das Fahrzeug aber nur zum Halten oder stellt er das Radio auf volle Lautstärke, scheidet eine Strafbarkeit nach geltender Rechtslage aus.


Dr. Lukas Feiler, SSCP CIPP/E, ist Rechtsanwalt, Bernhard Kainz, LL.B. LL.M., Rechtsanwaltsanwärter bei Baker & McKenzie.

("Die Presse", Print-Ausgabe, 24.08.2015)

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.