Die Sicherheit der Software in Autos ist nicht immer gewährleistet
Im vergangenen Frühjahr musste sich die hessische Kripo mit einer rätselhaften Diebstahlserie befassen. Innerhalb weniger Monate verschwanden in Hanau und Offenbach rund 80 Luxusautos. Als einige der Fahrzeuge später wieder auftauchten, fand man keinerlei Einbruchsspuren – keine Kratzer an der Tür oder am Schloss, keine losen Kabel. Die Alarmanlagen waren auch nicht manipuliert worden. Offensichtlich war es den Dieben gelungen, die Autos per Fernsteuerung zu öffnen und zu starten.
Im Zuge der Digitalisierung kommunizieren Autos auf verschiedenen Wegen mit ihrer Umgebung. Das macht sie anfällig für Zugriffe von außen. Je mehr Schnittstellen ein Fahrzeug bekommt, desto angreifbarer wird es. Die Autobauer müssen sich dieser Gefahr stellen, zumal die Anzahl der vernetzten Autos rasant steigt. Schon ab 2018 muss jedes Neufahrzeug in Europa eine SIM-Karte an Bord haben, um Notrufe abgeben zu können, und im Jahr 2025 sollen laut einer Studie von Ernst & Young rund 100 Millionen Fahrzeuge mit dem Internet verbunden sein. Daraus ergeben sich 100 Millionen potenzielle Einfalltore für Hackerangriffe – und ein wachsender Bedarf an Sicherheitsvorkehrungen. Nach Einschätzung der Agentur MarketsandMarkets wird der Umsatz mit Fahrzeug-Sicherheitssystemen bis 2019 auf 11,5 Milliarden Euro steigen.
Die Ermittler aus Hessen entdeckten schließlich, dass die entwendeten Fahrzeuge eine Gemeinsamkeit hatten: Sie verfügten allesamt über ein sogenanntes PKES-System. Mit diesem System – die Abkürzung steht für „Passive Keyless Entry And Start“ – öffnet sich der Wagen automatisch, wenn man sich mit dem Schlüssel nähert, und zwar ohne dass irgendein Knopf gedrückt werden muss. Das System wird nicht nur im Luxussegment eingesetzt, auch etliche Fahrzeuge der Mittelklasse sind inzwischen damit ausgestattet. Im Türöffner sitzt ein Sender, der auf einer verschlüsselten Frequenz mit dem Fahrzeug kommuniziert.
Eine Auto knacken ist denkbar einfach
Das Problem ist nur: Die Verschlüsselung ändert nichts daran, dass sich das System relativ leicht überlisten lässt. Die Autodiebe bedienen sich dabei eines simplen Tricks. Sie verlängern die Reichweite des Schlüsselsignals mit Verstärkern auf bis zu 400 Meter. Das Einzige, was man dazu wissen muss, ist die Frequenz, auf der der Schlüssel sendet – und die ist ohne Weiteres im Netz zu finden. Man muss also noch nicht einmal ein erfahrener Hacker sein, um sich eines fremden Fahrzeugs zu bemächtigen. Die entsprechende Ausstattung kann man für ein paar Euro bei eBay bestellen.
Sobald das Auto das Signal empfängt, öffnet es die Türen. Ein zweites Signal ist für den Start des Motors und die Abschaltung der Wegfahrsperre zuständig, es wird allerdings parallel übertragen. So lässt sich auch der Motor ohne Schlüssel starten. Einige Hersteller haben Systeme installiert, die während der Fahrt permanent prüfen, ob das Signal des Schlüssels noch da ist. Fehlt es, wird der Fahrer gewarnt, dass der Motor bald abgestellt wird. Andere Hersteller sparen sich die Überprüfung, man kann so lange fahren, wie der Motor läuft. Den meisten Dieben reicht eine kurze Aktivierung, um das Fahrzeug auf einen Hänger zu fahren. Wehren kann man sich dagegen bisher kaum.
Dabei ist ein Diebstahl noch das kleinere Problem, wenn es um unbefugte Zugriffe aufs Auto geht – kaum auszudenken, was passieren könnte, wenn Hacker aus der Ferne auf fahrende Autos zugreifen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon vor tödlichen Gefahren: Vom Hackerangriff sei es nur noch ein kleiner Schritt, bis jemand versuche, die Bremsen zu manipulieren. „Schwere Unfälle und Todesfälle wären dann möglich“, sagte der neue BSI-Präsident Arne Schönbohm kürzlich in einem Interview mit der „Welt am Sonntag“.
Ein Horror-Szenario wird Realität
Wie nah dieses Szenario an der Realität ist, bewiesen die beiden Forscher Charlie Miller und Chris Valasek, als sie es schafften, die Kontrolle über ein Fahrzeug der Marke Jeep zu übernehmen und es aus der Ferne zum Stehen zu bringen. Dabei machten sie sich mehrere Sicherheitslücken des im Wagen verbauten Entertainmentsystems „UConnect“ zunutze. „Bei Jeep muss einiges schiefgelaufen sein“, sagt Hans-Joachim Schleißheimer, Geschäftsführer der Schleißheimer GmbH mit Sitz im oberhessischen Wöllstadt bei Friedberg. Der IT-Fachmann kennt sich aus mit der Softwarearchitektur in Autos. Seit mehr als 20 Jahren arbeitet sein Unternehmen unter anderem für Continental, einen der wichtigsten Zulieferer der internationalen Autoindustrie.
Schleißheimers Erklärung für den gehackten Jeep führt tief in die elektronischen Eingeweide des Autos. Neben dem Telefonmodul sei der sogenannte CAN-Bus für die Sicherheitslücke verantwortlich. Diese zentrale Schnittstelle verbindet die verschiedenen Steuergeräte im Auto miteinander. Wenn man Gas gibt, muss irgendwann das Signal zum Getriebe gelangen, dass es einen Gang hochschalten soll. Umgekehrt sendet das Getriebe ein Signal, damit der Motor kurz die Zugkraft unterbricht, wenn hochgeschaltet wird. Anders gesagt: Alle sicherheitsrelevanten Informationen laufen über den CAN-Bus. Das betrifft auch Vorgänge, die über das Infotainmentsystem gesteuert werden. Es ist zum Beispiel nicht unüblich, dass die Intensität der Federdämpfung oder die Einstellungen der Fahrdynamik an das Infotainmentsystem gekoppelt sind. Dort sitzen auch die WLAN- und GSM-Funktionen.
Die Sicherheit der Software in Autos ist nicht immer gewährleistet
Durch dieses Tor verschafften sich Miller und Valasek Zugang zum zentralen Nervensystem des Jeeps. Über das Telefonmodul schleusten die beiden Forscher einen Virus ein, der vorgab, Teil dieses Systems zu sein. Danach konnten sie auf untergeordnete Schaltkreise des Fahrzeugs zugreifen, darunter auch die Bremsen. „Wenn man einmal so weit vorgedrungen ist, kann man so gut wie jede Funktion des Fahrzeugs manipulieren“, sagt Schleißheimer.
Jeep hatte Glück im Unglück. Die Lücke wurde von Forschern entdeckt, nicht von böswilligen Hackern. Außerdem hielten Miller und Valasek acht Monate lang dicht, damit man das Problem beheben konnte. Dass es so lange gedauert hat, einen Patch für die Software fertigzustellen, zeigt aber auch, wie gravierend die Lücke war. Nicht weniger schwerwiegend war das Problem, ein Sicherheits-Update ins Auto zu bekommen. Anders als beim Smartphone lassen sich die Systeme im Auto nicht per Internet auf den neuesten Stand bringen. Stattdessen mussten 1,4 Millionen Fahrzeuge zurückgerufen werden.
Die Branche redet nicht gern über die Sorgen, die ihre vernetzen Fahrzeuge in Zukunft bereiten können. Immerhin ist die deutsche Autoindustrie bisher von gravierenden Problemen verschont geblieben, was auch daran liegt, dass man sich schon seit Jahren mit der Thematik beschäftigt. So teilt die Daimler AG mit, dass man keine Angst vor einer Situation wie beim Jeep habe: „Die Übergänge zwischen den Netzsegmenten sind durch spezielle Gateways gesichert. Das heißt, dass zum Beispiel das Infotainmentsystem von fahrkritischen Funktionen wie Gas und Bremse abgekoppelt ist.“
Die Industrie entdeckt die Hacker
Die Gateways sind so etwas wie die Türsteher der internen Systeme. Sie überprüfen die Zugangsberechtigung und führen gleichsam Gesichtskontrollen durch, wenn Daten zwischen den verschiedenen Systemebenen hin und her wandern. Den beiden Forschern, die den Jeep gehackt haben, ist es allerdings gelungen, sich am Türsteher vorbeizumogeln: Sie konnten das Gateway knacken, wie sie auf der Hacker-Konferenz Def Con 23 stolz verkündeten. Auch darauf hat man bei Daimler eine Antwort. Bei den Fahrzeugen des Konzerns könne das Gateway nicht gehackt werden, da man mit verschlüsselten Signaturen arbeite. Updates werden per SSL verschlüsselt. Auch wenn die Aktualisierungen in Zukunft übers Netz erfolgen: Ohne Schlüssel kein Update.
Manchmal hilft die Verschlüsselung nicht, denn die Fehlerquellen können auch ganz woanders liegen. Im Februar wurde bekannt, dass es beim Elektrofahrzeug Nissan Leaf eine Sicherheitslücke gab, die so einfach auszunutzen war, dass man nicht einmal über besondere technische Vorkenntnisse verfügen musste, um die Kontrolle über bestimmte Funktionen des Fahrzeugs zu erlangen. Alles, was man benötigte, waren die speziell für das Fahrzeug entwickelte App „NissanConnect EV“ und die Fahrgestellnummer. Die ist bei allen neueren Autos gut lesbar hinter der Frontscheibe angebracht. Wenn man diese Nummer in die App eingab, konnte man den Standort eines Fahrzeugs ermitteln und die Klimaanlage betätigen – und damit die Batterie des E-Autos komplett leeren. Der Mangel ist inzwischen behoben.
Die beiden Beispiele zeigen, wie kompliziert das Leben für die Autohersteller geworden ist. Sie müssen nicht nur die eigenen Systeme gegen Angriffe sichern, sie müssen auch aufpassen, dass ihre Partner, etwa die Entwickler einer App, keine Lücken in der Software hinterlassen. Gleichzeitig ist die Menge der Programmierzeilen, die die Bordelektronik am Laufen halten, unüberschaubar groß geworden. In der Software eines Fahrzeugs der gehobenen Mittelklasse stecken heute rund 100 Millionen Codezeilen. Zum Vergleich: Die neue Boeing 787 benötigt nur 15 Millionen Zeilen, um abheben zu können. Experten gehen davon aus, dass Fahrzeuge in Zukunft bis zu 300 Millionen Codezeilen beherbergen werden. Und schon ein kleiner Vertipper kann ein Auto unsicher machen.
Bei Audi geht man einen ungewöhnlichen Weg, um diesem Risiko zu begegnen: Man engagiert Hacker. „Wir beauftragen auch externe IT-Spezialisten, unsere Soft- und Hardware verschiedenen Penetrationstests zu unterziehen. Dies beinhaltet auch Versuche, die Systeme von außen zu attackieren und zu hacken, also unbefugt einzudringen. Dafür nutzen wir regelmäßig professionelle Dienstleister“, verrät ein Sprecher des Konzerns. Auch Daimler beauftragte eine Gruppe sogenannter „White Hat Hacker“, die Softwarearchitektur der neuen S-Klasse drei Monate lang auf Sicherheitsmängel abzuklopfen. Der kalifornische Hersteller Tesla schreibt sogar eine „Bug Bounty“ aus, eine Prämie für das Aufdecken von Software-Fehlern und Sicherheitslücken, wie sie bei IT-Unternehmen wie Microsoft oder Oracle schon lange üblich ist. Je nach Schwere des Fehlers liegt das Preisgeld bei 25 bis 10.000 Dollar, darüber hinaus winkt ein Eintrag in die Hacker-Ruhmeshalle des Unternehmens.
Es gibt keine totale Sicherheit
Spricht man abseits der offiziellen Kanäle mit den Experten der Autoindustrie, weicht die Zuversicht einer gewissen Skepsis. Man könne keine totale Sicherheit garantieren, Lücken werde es immer geben, was auch daran liege, dass die Kunden immer mehr Konnektivität verlangten. Und es sei unmöglich zu kontrollieren, wie Dritt- oder Viertanbieter ihre Programme schützten. Das Einzige, was man tun könne, sei das eigene System gegen Fremdangriffe zu sichern, die man selbst antizipieren könne.
Die Firma Karamba Security gehört zu den Unternehmen, die von der Unsicherheit der Hersteller profitieren. Das Start-up aus den USA wurde 2015 von den Israelis David Barzilai, Ami Dotan, Tal Ben David und Assaf Harel gegründet und entwickelt Sicherheitslösungen für die Automobilindustrie. Noch bevor die Gründer den ersten Kunden gewinnen konnten, sicherten sie sich bereits eine Finanzierung in Höhe von 2,5 Millionen Dollar. Karamba Security hat eine Art Firewall fürs Auto entwickelt. Die Sicherheitssoftware des Start-ups prüft jeden Zugriff und jeden Code, der im System ausgeführt wird. Dabei wird nur Software zugelassen, die dem Sicherheitssystem bekannt ist – ganz gleich, ob der Zugriff über die On-Board-Diagnose-Schnittstelle, WLAN, Bluetooth oder über USB erfolgt.
Die Lösung von Karamba hat den Vorteil, dass sie im internen Netzwerk des Fahrzeugs verankert ist – und dass sie auch nachträglich in ältere Modelle eingebaut werden kann. Daraus ergibt sich ein riesiges Potenzial auf dem boomenden Markt der Sicherheitsdienstleistungen. Auch Charlie Miller und Chris Valasek konnten aus dem erfolgreichen Angriff auf den Jeep Kapital schlagen: Der Mobilitätsdienstleister Uber rekrutierte die beiden It-Freaks als Sicherheitsexperten. Das Rennen zwischen der Industrie und den Hackern hat gerade erst begonnen.