Hackerangriffe auf vernetzte Autos

Auto-Hacks 2015: Remote-Gefahr

21.12.2015
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
In der jüngeren Vergangenheit sind zahlreiche Fälle von gehackten Autos an die Öffentlichkeit gelangt. Wir haben die aufsehenerregendsten Auto-Hacks des Jahres für Sie zusammengefasst.

Ein kurzer Fingertipp auf das Smartphone genügt, schon öffnet sich jedes beliebige Auto, schalten Ampeln wie von Zauberhand auf Rot, platzen Asphaltdecken auf und blockieren Straßensperren den Verkehr. Was rund sechs Millionen Gamer 2014 im Open-World-Action-Spektakel "Watch Dogs" als Hacker "Aiden Pearce" erlebt haben, könnte jederzeit auch in der realen Welt passieren. Zumindest haben die Macher größten Wert auf Authentizität gelegt und zu diesem Zweck bei der Entwicklungsarbeit mit den Kaspersky Labs kooperiert. Wäre "Watch Dogs" ein oder zwei Jahre später erschienen, wäre die Integration eines Remote-Hacks für Autos obligatorisch gewesen. Denn in den letzten Wochen und Monaten häufen sich die Medienberichte über automobile Sicherheitslücken und gehackte Fahrzeuge.

Die fortschreitende Vernetzung und Digitalisierung der Mobilität bietet nicht nur neue Chancen, sondern auch neue Gefahren. In diesem Jahr wurden bereits zahlreiche Auto-Hacks bekannt.
Die fortschreitende Vernetzung und Digitalisierung der Mobilität bietet nicht nur neue Chancen, sondern auch neue Gefahren. In diesem Jahr wurden bereits zahlreiche Auto-Hacks bekannt.
Foto: Dejan Dundjerski - shutterstock.com

Offene BMWs & ein ferngesteuerter Jeep

Den Anfang macht im Jahr 2015 BMW: Der ADAC deckt eine massive Sicherheitslücke innerhalb des "Connected Drive"-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeuginneren verschaffen können. Das Problem wird schließlich per Software-Update behoben - weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.

Enormes Medienecho verursacht im Mai der Remote-Hack eines Jeep Cherokee - bei voller Fahrt. Die beiden Sicherheitsforscher Chris Valasek und Charlie Miller forschen bereits seit 2013 im Bereich Auto-Hacking. In einem Experiment mit einem Journalisten der US-Tech-Site "Wired" gelingt es den beiden, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor - kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.

Infotainment-Schmach & SMS-Sportwagen

Kurze Zeit später die nächste Sicherheitslücke: Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System "OnStar" auszunutzen. Das System kommt in verschiedenen Marken und Modellen des Konzerns zum Einsatz und ermöglicht den Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe seines Toolkits "OwnStar" fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. In der Folge ist er nicht nur in der Lage, den Aufenthaltsort des Fahrzeugs zu bestimmen, sondern kann es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten. Laut Kamkar soll "OwnStar" auch bei Fahrzeugen der Marken BMW, Mercedes-Benz und Chrysler funktionieren.

In einem weiteren Car-Hacking-Fall gelingt es den Sicherheitsforschern Karl Koscher und Ian Foster, mit manipulierten SMS-Nachrichten in das CAN-BUS-System einer Corvette vorzudringen. Als Zugangspunkt dient ihnen das im Fahrzeug installierte Telematik-System eines Kfz-Versicherers. So erhalten die Forscher Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Wie Stefan Savage, Leiter des Projekts an der University of California in San Diego, gegenüber "Wired" berichtet, seien bei der Umsetzung des Hacks zahlreiche Sicherheitslücken im Telematik-System des Versicherers zu Tage getreten. Die Devices bieten demnach multiple Möglichkeiten, um einen Remote-Zugang herzustellen. Das betroffene Telematik-System des US-Versicherungs-Startups Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Sicherheitslöcher inzwischen gestopft.

VW-Blamage & Hack-A-Tesla

Bis zum August 2015 versucht der Volkswagen-Konzern, die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Die Argumentation der Wolfsburger: Eine Veröffentlichung technischer Details würde nicht nur dem Konzern schaden, sondern könne von Autodieben auch als Anleitung missbraucht werden. Diese Argumentationskette verdeutlicht die Haltung (und Ängste) vieler Autobauer, wenn es um Transparenz beim Thema IT-Security in Fahrzeugen geht - doch dazu an anderer Stelle mehr. Als Zugangspunkt dient den Forschern in diesem Fall das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details zur Schwachstelle zunächst in Schriftform online veröffentlicht und anschließend auf der Usenix-Konferenz 2015 öffentlich gemacht.

Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztlich finden die beiden Spezialisten tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war - unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als "relativ sicher" und "gut durchdacht". Den US-Elektropionieren kommt übrigens auch in Sachen IT-Sicherheit eine Sonderstellung unter den Autobauern zu: Tesla ist derzeit der einzige Fahrzeug-Hersteller, der die IT-Security-"Watch Dogs" für sich zu nutzen weiß und ihnen für die Aufdeckung von Sicherheitslücken eine Belohnung von bis zu 10.000 Dollar bietet.

Sie wollen mehr Infos zum Thema IT-Security bei Connected Cars? Wir klären Sie darüber auf, welche Angriffspunkte Hacker im Auto nutzen und welche IT-Sicherheitslösungen künftig zum Einsatz kommen könnten.