Amerikanische Tüftler haben einen Cherokee Jeep gekapert, mit dem ein Journalist auf Probefahrt unterwegs war. Die Hacker wollten damit auf Sicherheitslücken aufmerksam machen. Der Fall ist keine Seltenheit: viele Autos sind gegen Zugriffe von außen unzureichend geschützt, wie zuletzt auch der Fall BMW gezeigt hat.
Stuttgart - Mit 110 Stundenkilometer war der Wired-Journalist Andy Greenberg auf einem Highway unterwegs, als sein Cherokee Jeep auf einmal die Lüftung startete, die Musik lauter stellte und die Scheibenwischer startete. Schließlich wurde der Jeep immer langsamer. Er selbst hatte nichts getan, wohl aber die Tüftler Charlie Miller und Chris Vlasek. Sie hatten sich in das Infotainment-System des Autos gehackt, hatten einen Chip in einer Steuerungseinheit überschrieben und schickten über das Autonetz Befehle an Steuergeräte.
Miller und Vlasek hatten schon vor zwei Jahren auf einer Hackerkonferenz vorgeführt, wir sich Autosoftware manipulieren lässt. Damals saßen sie aber noch selbst mit dem Laptop im Auto. Diesmal waren sie Kilometer entfernt und steuerten alles per Internet. Der italienisch-amerikanische Autobauer Fiat Chrysler Automobiles (FCA) reagiert nun auf den Fall und ruft in den USA 1,4 Millionen Wagen zurück, um Software auszutauschen. Betroffen seien verschiedene Modelle der Marken Dodge, Ram und Jeep, teilte der Konzern am Freitag in Auburn Hills mit.
Sicherheitslücken sind keine Ausnahme
Erst vor kurzem zeigte ein Sicherheitsexperte im Auftrag des ADAC, dass auch BMW bei seinem Konzept Connected Drive wichtige Sicherheitsregeln missachtet hatte. So war etwa eine bereits implementierte Transportverschlüsselung nicht aktiviert worden. Und für die ferngesteuerte Tür-Verriegelung waren reihenweise die gleichen kryptografischen Schlüssel verwendet worden. Mit etwas Aufwand hätte einem Dieb das Hacken eines einzigen Autos also genügen können, um eine ganze Fahrzeug-Flotte zu entführen. Betroffen von den Sicherheitslücken waren 50 Modelle bzw. 2,2 Mio. Fahrzeuge weltweit.
In der IT-Branche ist es mittlerweile üblich, Vertrauen durch mehr Transparenz zu schaffen. Doch die Autobauer setzen lieber auf das Prinzip „Sicherheit durch Verschleiern“. Auf Anfrage der Stuttgarter Zeitung wollten weder Audi noch BMW, Mercedes, Mitsubishi, Opel, Toyota, Volkswagen und Volvo konkrete Sicherheitsvorkehrungen zur Absicherung verschiedener Datentransfers nennen. Sie berufen sich dabei auf „Wettbewerbsgründe“.
Niemand nennt Maßnahmen, die einen Zugriff verhindern
Typisch ist die Antwort von BMW: Der bayerische Autobauer verweist auf „Standard-Verfahren“, die man „auf mehreren Ebenen im Einsatz“ habe. Keiner der Hersteller äußert sich dazu, ob er Fahrzeuge öffnen oder starten kann, ohne dass der Fahrer beteiligt ist. Auch nennt niemand Maßnahmen, die einen unberechtigten Zugriff verhindern könnten. Ob die Datenübertragung mit SSL oder anderen kryptografischen Standardverfahren verschlüsselt wird, dazu schweigen die Hersteller.
Fahrer können bei verschiedenen Herstellern am Heimrechner oder Smartphone eine Reiseroute planen und dann zum Navigationsgerät im Auto schicken. Mitsubishi etwa bietet für Sondermodelle der Diamant-Edition an, das eingebaute Pioneer-Navigationsystem per Smartphone-App zu steuern. Auch Toyota ermöglicht mit dem Touch&Go-Navigationssystem die Remote-Planung. Wie die Übertragung der Daten abgesichert wird, ist unklar.
Bei den so genannten „Remote Services“, also Diensten, die das Wiederfinden eines abgestellten Fahrzeugs ermöglichen, weist allein der schwedische Autobauer Volvo auf eine datenschutzfreundliche Lösung hin. Seine „Stolen Vehicle Tracking Solution“ stehe dem Eigentümer nicht direkt zur Verfügung, da die Funktion missbraucht werden könne, um Fahrzeugbewegungen zu orten. Dies würde aber nicht nur gegen die Safety- und Privacywerte von Volvo, sondern auch gegen Gesetze in mehreren Ländern verstoßen, betont Volvo. Der Fahrer habe aber die Möglichkeit, über einen „Volvo On Call Service“ zu erfahren, wo das Fahrzeug geparkt ist.
Hersteller wie Audi, BMW, Mercedes und Volkswagen betreiben für ihre Remote-Dienste einen Server, dessen Software-Anwendung sie als „Backend“ bezeichnen. Über dieses Backend verwalten sie Kunden- und Fahrzeugdaten. Wie diese Server abgesichert werden und ob sie über eine IT-Sicherheits- und Datenschutz-Zertifizierung verfügen, bleibt aber unklar. Bei Online-Shops hingegen gehört es längst zum guten Ton, auf entsprechende Maßnahmen hinzuweisen. BMW etwa spricht lediglich von einer „sehr sicheren Datenverbindung“ und betont, dass Angreifer „meist physischen Zugriff auf das Fahrzeug oder das Steuergerät“ brauchen. Audi nennt „Security-Mechanismen“, die „anerkannte kryptografische Verfahren“ verwenden. Mercedes zählt „Virenscanner, Intrusion Prevention Mechanismen, Firewalls und Webfilter“ als Sicherheitsmaßnahmen auf.
Nicht immer müssen alle Daten von Remote-Diensten auf dem Firmen-Server landen. Mitsubishi etwa hat einen Router in einem Hybrid-Fahrzeug verbaut, der eine Kommunikation mit dem Smartphone erlaubt, das sich in WLAN-Reichweite befindet. Über die verschlüsselte Verbindung kann der Fahrer beispielsweise die Ladedauer, den Ladetimer, den Klimatisierungstimer abfragen.
In den USA drängen Politiker auf ein neues Gesetz
Glaubt man Edward Markey, einem Senator der Demokraten im US-Kongress, der 16 internationale Autohersteller nach der Absicherung der vernetzten Autos befragt hat, „fehlen eindeutig angemessene Sicherheitsmaßnahmen, um die Fahrer gegen Hacker zu schützen“. So zeigte sich nur ein einziger Hersteller in der Lage, einen Hack-Versuch in flagranti entdecken zu können. Bei den meisten waren die Sicherheitsmaßnahmen so konzipiert, dass ein Hackversuch erst im Nachhinein entdeckt werden würde.
Der Verband der Automobilindustrie (VDA) erklärt, dass Standards für „die Soft- und Hardwarearchitekturen der Fahrzeuge sowie Remote-Zugriffe auf das Fahrzeug über die Telekommunikationsnetze“ erst noch etabliert werden sollen. Entsprechend kann von einer Zertifizierung noch lange keine Rede sein, die Architekturen und Lösungen sind noch zu unterschiedlich.
Der Ulmer Informatikprofessor Frank Kargl sieht die einzige Lösung darin, zu „testen, testen und noch mal zu testen.“ Zumindest die wesentlichen Ergebnisse sollten seiner Ansicht nach öffentlich dokumentiert werden. Von dieser Transparenz scheint die Industrie noch weit entfernt.
In den USA will man die Entwicklung nicht länger der Industrie allein überlassen. Markey hat mit Senator Richard Blumenthal einen Gesetzesentwurf vorgestellt: den „The Security and Privacy in Your Car Act“, auch „SPY“ Car Act genannt. Er soll Automobilhersteller, die auf dem US-Markt verkaufen wollen, dazu verpflichten, „angemessene Maßnahmen“ gegen Hacker-Attacken ergreifen und den Verbraucher mit Hilfe eines „Cyber-Armaturenbretts“ auf verständliche Weise darüber zu informieren. In Deutschland ist eine solche Regelung noch nicht einmal in Diskussion. Das Bundesverkehrsministerium setzt sich zwar für internationale Regelungen ein. Konkrete Vorgaben etwa in der Straßenverkehrszulassungsverordnung stehen aber nicht zur Debatte.