# taz.de -- Sicherheitslücken in KfZ-Software: Wenn Hacker das Auto übernehmen | |
> In den USA haben Hacker aus der Ferne einen Jeep gekapert. Autoindustrie | |
> und Kunden müssen sich auf neue Tücken einstellen. | |
Bild: Wissen wir, wer sie steuert? | |
BERLIN taz | Erst springt die Lüftung an, dann ertönt der Rapper Skee-lo in | |
voller Lautstärke aus der Musikanlage, und schließlich bewegen sich die | |
Scheibenwischer. Nach und nach scheint sich das Auto selbständig zu machen | |
– bis auf einmal der Motor verstummt, mitten auf dem Highway. | |
In der Ferne hat jemand den Wagen gehackt. Glücklicherweise hat der | |
Redakteur des Magazins Wired, der am Steuer sitzt, zumindest eine grobe | |
Ahnung davon gehabt, was ihn erwartete. Trotzdem bricht er in Panik aus, | |
als der Motor auf der Autobahn ausgeht. | |
Dies ist eines der Szenarien, deren technische Details die Hacker in dieser | |
Woche auf einer Konferenz in Las Vegas vorstellten. Sie lassen Autofahrer | |
und -hersteller zwischen Schreck und Vogel-Strauß-Taktik schwanken: Nein, | |
das kann doch nicht passieren. Nicht hier. Nicht mir. Oder doch? | |
Die kurze Antwort lautet: Es ist möglich. Theoretisch kann es jedem | |
zustoßen, der in einem Fahrzeug neuerer Generation sitzt. So ein gehackter | |
Wagen könnte aber auch hinter oder vor dem eigenen – oder auf der | |
entgegengesetzten Fahrspur – unterwegs sein. | |
## Auch Auto-Software hat Sicherheitslücken | |
Die lange Antwort gibt Tobias Eggendorfer, Professor für IT-Sicherheit an | |
der Hochschule Weingarten: „Über alle Wege, über die sich Software | |
angreifen lässt, lassen sich heutzutage auch Autos angreifen.“ Angesichts | |
dessen, dass täglich Sicherheitslücken in diverser Software bekannt werden, | |
ist dies nicht gerade eine beruhigende Einschätzung. Dazu kommt noch die | |
Dunkelziffer der entdeckten, aber nicht veröffentlichten Sicherheitslücken. | |
Der Motor muss ja nicht mitten auf der Überholspur versagen. Wer in den | |
vergangenen Jahren ein Auto gekauft hat, sollte sich fragen, wie er es | |
aufschließt. Per Knopfdruck auf dem Schlüssel? Oder öffnet sich das | |
Fahrzeug automatisch, wenn sich der Besitzer samt Schlüssel nähert? | |
„In den USA werden mittlerweile reihenweise Fahrzeuge geknackt, indem die | |
Funksignale des Autoschlüssels verstärkt werden“, sagt Eggendorfer. Die | |
Zutaten: der Autoschlüssel, der sich etwa am in der Haustür steckenden | |
Schlüsselbund befindet, und das Auto vor der Tür. Das Rezept: Einen | |
Funkverstärker dazwischen positionieren. Fertig ist der Hack für Anfänger. | |
Wer erst mal im Fahrzeug ist, kann es ausräumen, mitnehmen – oder zum | |
Beispiel einen USB-Stick anschließen. Das wäre nicht schlimm, wenn nur | |
Musik drauf ist, es könnte aber auch Schadsoftware sein. Eine Schadsoftware | |
etwa, die während der Fahrt die Musik plötzlich auf volle Lautstärke dreht. | |
Oder die sich tiefer ins System einnistet und die Fahrzeugsteuerung | |
übernimmt. Dann reagiert die Bremse plötzlich nicht mehr. Oder die | |
Benzineinspritzung wird manipuliert, sie dosiert falsch und der Motor ist | |
hinüber. | |
## Schwachstelle: Navi mit Zugriff aufs Internet | |
So etwas lässt sich zum Beispiel mit einem „Buffer Overflow“ realisieren. | |
Das ist ein Angriff, den Eggendorfer mit einem Schnapsglas und einer vollen | |
Flasche vergleicht: Wenn jemand vergessen hat, festzulegen, wie viel in das | |
Glas hineindarf, wird immer weiter geschüttet – irgendwann fließt das Glas | |
über. Was in der Küche maximal eine Überschwemmung gibt, wird bei Software | |
zu einem echten Problem: Das System lässt sich so unter Umständen komplett | |
vom Angreifer übernehmen. | |
Bis hierhin hatte immer noch jemand physischen Zugriff auf das Fahrzeug. | |
Doch es geht auch ohne. Anfang dieses Jahres gelang es einem Angreifer – | |
zugegeben mit einigem Aufwand und technischen Wissen – einen BMW zu hacken | |
und ihn unbefugt aus der Distanz zu öffnen. Das funktionierte, weil das | |
Fahrzeug über das Mobilfunknetz kommunizierte. „Wir haben immer mehr Autos, | |
die mit dem Internet verbunden sind“, erklärt Eggendorfer. | |
Eine Schwachstelle sei dabei vor allem das Navigationsgerät. Denn das biete | |
Nutzern besonders häufig Zugriff auf das Internet – damit Fahrer etwa nach | |
der Wettervorhersage am Ziel suchen können oder nach Restaurants auf der | |
Strecke. | |
Eine Internetanbindung birgt jedoch prinzipiell des Risiko eines Angriffs | |
aus der Ferne. So gingen auch die Hacker des Jeep Cherokee vor, die den | |
Wired-Redakteur auf der Autobahn stehen ließen: Über die | |
Unterhaltungselektronik – die etwa die Musik regelt – konnten sie sich zur | |
Fahrzeugsteuerung vorarbeiten, die für Bremsen, Lenkung und Motor zuständig | |
ist, und so den Motor abstellen. Die Folge: Der Hersteller rief in den USA | |
1,4 Millionen Fahrzeuge für ein Softwareupdate zurück. Ob das reicht? | |
Womöglich nicht. | |
## Komfort versus Sicherheit | |
Eggendorfer nennt als erste Regel: Das System, das die | |
Unterhaltungselektronik steuert, und die Fahrzeugsteuerung müssen auf | |
getrennter Hardware laufen. Derzeit sei das meistens noch der Fall, | |
Anfragen bei hiesigen Autoherstellern bestätigen das. Doch die | |
Hardwarechips werden leistungsfähiger, und laut Eggendorfer wächst die | |
Versuchung, beides einfach zusammenzulegen – und damit wächst auch das | |
Risiko bei einem Angriff. | |
Wie so häufig, wenn es um Technik geht, kollidieren Komfort und Sicherheit. | |
Für den Fahrer ist es praktisch, wenn er aus der Ferne über das Internet | |
den Füllstand des Tanks abfragen kann oder nachschauen, ob er die Fenster | |
tatsächlich geschlossen hatte. Leider ist das auch praktisch für | |
potenzielle Angreifer. Wie viele Autos mit Internetanbindung hierzulande | |
überhaupt unterwegs sind, ist unklar. Das Kraftfahrtbundesamt erhebt dazu | |
keine Zahlen und die Fahrzeuggeneration allein gibt nicht unbedingt | |
Aufschluss: Die Kunden können sich ja auch heute noch ihr Auto auf Wunsch | |
ohne Internetanbindung ausliefern lassen. Selbst Hersteller passen daher | |
bei der Antwort. | |
Überhaupt halten sich die Hersteller mit Antworten zu ihren | |
Sicherheitsmechanismen zurück. Ein Daimler-Sprecher weist etwa darauf hin, | |
dass es sich um ein „sehr sensibles, sicherheitsrelevantes Thema“ handele, | |
deshalb könne man nicht ins Detail gehen. Firewalls, Verschlüsselung, | |
unabhängige Steuergeräte – ja, das erwähnen die meisten. Ob das im | |
Einzelfall schützt, ist eine andere Frage. | |
## Besser und sicherer: mehr Transparenz | |
Experten wie Eggendorfer halten eine gegenteilige Strategie für sinnvoll: | |
mehr Transparenz statt weniger. Software mit strengen Programmierregeln, | |
deren Quellcode offenliegt und die von vielen Programmierern überprüft | |
wird, könne helfen. Die Firmen sollten Hacker von außen einladen mit dem | |
Auftrag, das Fahrzeug auf allen denkbaren und undenkbaren Wegen | |
anzugreifen. Und vielleicht bräuchte es eine politische Initiative, um eine | |
technisch kompetente externe Stelle einzurichten, die beim | |
Zulassungsverfahren auf die Software schaut. | |
Immerhin: Die Töne aus der Branche werden selbstkritischer. „Connectivity | |
ist der Schlüssel zum Auto der Zukunft“, sagte Ulrich Hackenberg, im | |
Audi-Vorstand zuständig für technische Entwicklung, noch im vergangenen | |
Jahr und: „Wir werden keinen Zugang zum Betriebssystem unserer Fahrzeuge | |
zulassen.“ Jetzt gibt ein Daimler-Sprecher zu, was auch jeder ITler sagt: | |
„Eine absolute, hundertprozentige Sicherheit wird es nicht geben.“ | |
Für Kunden, die demnächst den Gang ins Autohaus planen, hat IT-Experte | |
Eggendorfer nur einen Rat: Am besten auf Internetanbindung und die | |
Möglichkeit des schlüssellosen Aufschließens im Vorbeigehen verzichten. | |
6 Aug 2015 | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Autos | |
Internet | |
Hackerangriff | |
Hacker | |
Automobilindustrie | |
Fahrzeuge | |
BMW | |
Datenschutz | |
E-Autos | |
Flüchtlinge | |
Chrysler | |
Datensicherheit | |
Hacking | |
## ARTIKEL ZUM THEMA | |
Autos senden Daten über Fahrer: Der Fahrersitz spioniert | |
Eine neue ADAC-Studie zeigt, wie viele Daten moderne Autos über ihre Fahrer | |
sammeln. Und an die Hersteller übermitteln. | |
Bewegungsprofil von Carsharing-Kunden: BMW im Sammelfieber | |
Mit vernetzten Autos lassen sich Bewegungsprofile der Nutzer erstellen. Das | |
scheint auch der an Drive Now beteiligte Konzern BMW zu machen. | |
Selbstfahrende Autos und Datenschutz: Keine Angst vor dem Autopiloten | |
Die Angst vor Unfällen mit selbstfahrenden Autos ist übertrieben. Worum wir | |
uns kümmern müssen, ist die Sicherheit unserer Daten. | |
Elektroautos in Deutschland: Sparsam sein ist teuer | |
Umweltverbände werfen der Autoindustrie vor, mögliche Käufer von | |
ökologischeren Fahrzeugen mit Aufpreisen abzuschrecken. | |
Die Wahrheit: Automobile in meiner Mansarde | |
Was hilft gegen Ausländerfeinde? Artikel, Satiren oder Steine? Und was | |
haben Garagen im Kapitalismus damit zu tun? | |
Schwachstelle in Auto-Technologie: Ferngesteuert in den Straßengraben | |
Forscher zeigen, wie sich Autos von Fiat-Chrysler hacken lassen – wenn es | |
bei der Sicherheit hapert. Sind die fahrenden Rechenzentren in Gefahr? | |
Umfrage zu Datensicherheit: Kein Vertrauen in Datenschutz | |
Die Mehrheit der Deutschen hat Angst vor Cyber-Kriminalität. Besonders die | |
Telekommunikationsbranche sei gefährdet. | |
Lücken einer Überwachungsfirma: Hacker hacken das „Hacking Team“ | |
Eine umstrittenene Firma für Spionagesoftware erlebt unfreiwillige | |
Enthüllungen. Auch undemokratische Staaten gehören zu ihren Kunden. |