 |
# taz.de -- Sicherheitslücken in KfZ-Software: Wenn Hacker das Auto übernehmen |
|
|
|
> In den USA haben Hacker aus der Ferne einen Jeep gekapert. Autoindustrie |
|
> und Kunden müssen sich auf neue Tücken einstellen. |
|
|
 |
Bild: Wissen wir, wer sie steuert? |
|
|
|
Berlin taz | Erst springt die Lüftung an, dann ertönt der Rapper Skee-lo in |
|
voller Lautstärke aus der Musikanlage, und schließlich bewegen sich die |
|
Scheibenwischer. Nach und nach scheint sich das Auto selbständig zu machen |
|
– bis auf einmal der Motor verstummt, mitten auf dem Highway. |
|
|
|
In der Ferne hat jemand den Wagen gehackt. Glücklicherweise hat der |
|
Redakteur des Magazins Wired, der am Steuer sitzt, zumindest eine grobe |
|
Ahnung davon gehabt, was ihn erwartete. Trotzdem bricht er in Panik aus, |
|
als der Motor auf der Autobahn ausgeht. |
|
|
|
Dies ist eines der Szenarien, deren technische Details die Hacker in dieser |
|
Woche auf einer Konferenz in Las Vegas vorstellten. Sie lassen Autofahrer |
|
und -hersteller zwischen Schreck und Vogel-Strauß-Taktik schwanken: Nein, |
|
das kann doch nicht passieren. Nicht hier. Nicht mir. Oder doch? |
|
|
|
Die kurze Antwort lautet: Es ist möglich. Theoretisch kann es jedem |
|
zustoßen, der in einem Fahrzeug neuerer Generation sitzt. So ein gehackter |
|
Wagen könnte aber auch hinter oder vor dem eigenen – oder auf der |
|
entgegengesetzten Fahrspur – unterwegs sein. |
|
|
|
## Auch Auto-Software hat Sicherheitslücken |
|
|
|
Die lange Antwort gibt Tobias Eggendorfer, Professor für IT-Sicherheit an |
|
der Hochschule Weingarten: „Über alle Wege, über die sich Software |
|
angreifen lässt, lassen sich heutzutage auch Autos angreifen.“ Angesichts |
|
dessen, dass täglich Sicherheitslücken in diverser Software bekannt werden, |
|
ist dies nicht gerade eine beruhigende Einschätzung. Dazu kommt noch die |
|
Dunkelziffer der entdeckten, aber nicht veröffentlichten Sicherheitslücken. |
|
|
|
Der Motor muss ja nicht mitten auf der Überholspur versagen. Wer in den |
|
vergangenen Jahren ein Auto gekauft hat, sollte sich fragen, wie er es |
|
aufschließt. Per Knopfdruck auf dem Schlüssel? Oder öffnet sich das |
|
Fahrzeug automatisch, wenn sich der Besitzer samt Schlüssel nähert? |
|
|
|
„In den USA werden mittlerweile reihenweise Fahrzeuge geknackt, indem die |
|
Funksignale des Autoschlüssels verstärkt werden“, sagt Eggendorfer. Die |
|
Zutaten: der Autoschlüssel, der sich etwa am in der Haustür steckenden |
|
Schlüsselbund befindet, und das Auto vor der Tür. Das Rezept: Einen |
|
Funkverstärker dazwischen positionieren. Fertig ist der Hack für Anfänger. |
|
|
|
Wer erst mal im Fahrzeug ist, kann es ausräumen, mitnehmen – oder zum |
|
Beispiel einen USB-Stick anschließen. Das wäre nicht schlimm, wenn nur |
|
Musik drauf ist, es könnte aber auch Schadsoftware sein. Eine Schadsoftware |
|
etwa, die während der Fahrt die Musik plötzlich auf volle Lautstärke dreht. |
|
Oder die sich tiefer ins System einnistet und die Fahrzeugsteuerung |
|
übernimmt. Dann reagiert die Bremse plötzlich nicht mehr. Oder die |
|
Benzineinspritzung wird manipuliert, sie dosiert falsch und der Motor ist |
|
hinüber. |
|
|
|
## Schwachstelle: Navi mit Zugriff aufs Internet |
|
|
|
So etwas lässt sich zum Beispiel mit einem „Buffer Overflow“ realisieren. |
|
Das ist ein Angriff, den Eggendorfer mit einem Schnapsglas und einer vollen |
|
Flasche vergleicht: Wenn jemand vergessen hat, festzulegen, wie viel in das |
|
Glas hineindarf, wird immer weiter geschüttet – irgendwann fließt das Glas |
|
über. Was in der Küche maximal eine Überschwemmung gibt, wird bei Software |
|
zu einem echten Problem: Das System lässt sich so unter Umständen komplett |
|
vom Angreifer übernehmen. |
|
|
|
Bis hierhin hatte immer noch jemand physischen Zugriff auf das Fahrzeug. |
|
Doch es geht auch ohne. Anfang dieses Jahres gelang es einem Angreifer – |
|
zugegeben mit einigem Aufwand und technischen Wissen – einen BMW zu hacken |
|
und ihn unbefugt aus der Distanz zu öffnen. Das funktionierte, weil das |
|
Fahrzeug über das Mobilfunknetz kommunizierte. „Wir haben immer mehr Autos, |
|
die mit dem Internet verbunden sind“, erklärt Eggendorfer. |
|
|
|
Eine Schwachstelle sei dabei vor allem das Navigationsgerät. Denn das biete |
|
Nutzern besonders häufig Zugriff auf das Internet – damit Fahrer etwa nach |
|
der Wettervorhersage am Ziel suchen können oder nach Restaurants auf der |
|
Strecke. |
|
|
|
Eine Internetanbindung birgt jedoch prinzipiell des Risiko eines Angriffs |
|
aus der Ferne. So gingen auch die Hacker des Jeep Cherokee vor, die den |
|
Wired-Redakteur auf der Autobahn stehen ließen: Über die |
|
Unterhaltungselektronik – die etwa die Musik regelt – konnten sie sich zur |
|
Fahrzeugsteuerung vorarbeiten, die für Bremsen, Lenkung und Motor zuständig |
|
ist, und so den Motor abstellen. Die Folge: Der Hersteller rief in den USA |
|
1,4 Millionen Fahrzeuge für ein Softwareupdate zurück. Ob das reicht? |
|
Womöglich nicht. |
|
|
|
## Komfort versus Sicherheit |
|
|
|
Eggendorfer nennt als erste Regel: Das System, das die |
|
Unterhaltungselektronik steuert, und die Fahrzeugsteuerung müssen auf |
|
getrennter Hardware laufen. Derzeit sei das meistens noch der Fall, |
|
Anfragen bei hiesigen Autoherstellern bestätigen das. Doch die |
|
Hardwarechips werden leistungsfähiger, und laut Eggendorfer wächst die |
|
Versuchung, beides einfach zusammenzulegen – und damit wächst auch das |
|
Risiko bei einem Angriff. |
|
|
|
Wie so häufig, wenn es um Technik geht, kollidieren Komfort und Sicherheit. |
|
Für den Fahrer ist es praktisch, wenn er aus der Ferne über das Internet |
|
den Füllstand des Tanks abfragen kann oder nachschauen, ob er die Fenster |
|
tatsächlich geschlossen hatte. Leider ist das auch praktisch für |
|
potenzielle Angreifer. Wie viele Autos mit Internetanbindung hierzulande |
|
überhaupt unterwegs sind, ist unklar. Das Kraftfahrtbundesamt erhebt dazu |
|
keine Zahlen und die Fahrzeuggeneration allein gibt nicht unbedingt |
|
Aufschluss: Die Kunden können sich ja auch heute noch ihr Auto auf Wunsch |
|
ohne Internetanbindung ausliefern lassen. Selbst Hersteller passen daher |
|
bei der Antwort. |
|
|
|
Überhaupt halten sich die Hersteller mit Antworten zu ihren |
|
Sicherheitsmechanismen zurück. Ein Daimler-Sprecher weist etwa darauf hin, |
|
dass es sich um ein „sehr sensibles, sicherheitsrelevantes Thema“ handele, |
|
deshalb könne man nicht ins Detail gehen. Firewalls, Verschlüsselung, |
|
unabhängige Steuergeräte – ja, das erwähnen die meisten. Ob das im |
|
Einzelfall schützt, ist eine andere Frage. |
|
|
|
## Besser und sicherer: mehr Transparenz |
|
|
|
Experten wie Eggendorfer halten eine gegenteilige Strategie für sinnvoll: |
|
mehr Transparenz statt weniger. Software mit strengen Programmierregeln, |
|
deren Quellcode offenliegt und die von vielen Programmierern überprüft |
|
wird, könne helfen. Die Firmen sollten Hacker von außen einladen mit dem |
|
Auftrag, das Fahrzeug auf allen denkbaren und undenkbaren Wegen |
|
anzugreifen. Und vielleicht bräuchte es eine politische Initiative, um eine |
|
technisch kompetente externe Stelle einzurichten, die beim |
|
Zulassungsverfahren auf die Software schaut. |
|
|
|
Immerhin: Die Töne aus der Branche werden selbstkritischer. „Connectivity |
|
ist der Schlüssel zum Auto der Zukunft“, sagte Ulrich Hackenberg, im |
|
Audi-Vorstand zuständig für technische Entwicklung, noch im vergangenen |
|
Jahr und: „Wir werden keinen Zugang zum Betriebssystem unserer Fahrzeuge |
|
zulassen.“ Jetzt gibt ein Daimler-Sprecher zu, was auch jeder ITler sagt: |
|
„Eine absolute, hundertprozentige Sicherheit wird es nicht geben.“ |
|
|
|
Für Kunden, die demnächst den Gang ins Autohaus planen, hat IT-Experte |
|
Eggendorfer nur einen Rat: Am besten auf Internetanbindung und die |
|
Möglichkeit des schlüssellosen Aufschließens im Vorbeigehen verzichten. |
|
|
|
6 Aug 2015 |
|
|
|
## AUTOREN |
|
|
 |
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Internet |
|
Hackerangriff |
|
Autos |
|
Autoindustrie |
|
Hacker |
|
Fahrzeuge |
|
BMW |
|
Datenschutz |
|
E-Autos |
|
Flüchtlinge |
|
Chrysler |
|
Datensicherheit |
|
Hacking |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Autos senden Daten über Fahrer: Der Fahrersitz spioniert |
|
|
|
Eine neue ADAC-Studie zeigt, wie viele Daten moderne Autos über ihre Fahrer |
|
sammeln. Und an die Hersteller übermitteln. |
|
|
|
Bewegungsprofil von Carsharing-Kunden: BMW im Sammelfieber |
|
|
|
Mit vernetzten Autos lassen sich Bewegungsprofile der Nutzer erstellen. Das |
|
scheint auch der an Drive Now beteiligte Konzern BMW zu machen. |
|
|
|
Selbstfahrende Autos und Datenschutz: Keine Angst vor dem Autopiloten |
|
|
|
Die Angst vor Unfällen mit selbstfahrenden Autos ist übertrieben. Worum wir |
|
uns kümmern müssen, ist die Sicherheit unserer Daten. |
|
|
|
Elektroautos in Deutschland: Sparsam sein ist teuer |
|
|
|
Umweltverbände werfen der Autoindustrie vor, mögliche Käufer von |
|
ökologischeren Fahrzeugen mit Aufpreisen abzuschrecken. |
|
|
|
Die Wahrheit: Automobile in meiner Mansarde |
|
|
|
Was hilft gegen Ausländerfeinde? Artikel, Satiren oder Steine? Und was |
|
haben Garagen im Kapitalismus damit zu tun? |
|
|
|
Schwachstelle in Auto-Technologie: Ferngesteuert in den Straßengraben |
|
|
|
Forscher zeigen, wie sich Autos von Fiat-Chrysler hacken lassen – wenn es |
|
bei der Sicherheit hapert. Sind die fahrenden Rechenzentren in Gefahr? |
|
|
|
Umfrage zu Datensicherheit: Kein Vertrauen in Datenschutz |
|
|
|
Die Mehrheit der Deutschen hat Angst vor Cyber-Kriminalität. Besonders die |
|
Telekommunikationsbranche sei gefährdet. |
|
|
|
Lücken einer Überwachungsfirma: Hacker hacken das „Hacking Team“ |
|
|
|
Eine umstrittenene Firma für Spionagesoftware erlebt unfreiwillige |
|
Enthüllungen. Auch undemokratische Staaten gehören zu ihren Kunden. |
