Der Tacho des Renault Twizy ist am Anschlag, 180 Stundenkilometer zeigt die Cockpit-Anzeige des kleinen Zweisitzer-Elektroautos. Doch zwei Dinge stören das Bild. Zum einen kommt der Wagen eigentlich nur auf eine Maximalgeschwindigkeit von 80 Kilometern pro Stunde. Und außerdem steht das Fahrzeug still in der Garage.
Der Grund für das rasend stehende Auto ist eine digitale Manipulation. Ausgedacht hat sie sich der Sicherheitsforscher Stefan Nürnberger. Er arbeitet am Zentrum für IT-Security und Privatsphäre (CISPA) der Universität des Saarlandes und zeigt sein Video vom gespenstischen Twizy gerne jedem, der nicht glauben will, wie einfach moderne Autos von Hackern manipuliert werden können.
Im modernen Auto arbeiten Dutzende Steuergeräte, verbunden über ein Netzwerk, daran, den Wagen auf der Straße zu halten: Sie regulieren Gas, Bremsen, Lichter, Klimatisierung, Cockpitanzeigen, Gurtstraffer, können als Spurhalteassistenten ins Lenkrad greifen und als aktive Abstandsregelungen bremsen und Gas geben.
Sie vermessen per Radar und Kamera ihre Umwelt und kommunizieren per Mobilfunk mit dem Internet. Kurz, moderne Autos sind deutlich komplexer als jedes andere Endanwender-Gerät – und sie bieten Hackern deswegen noch mehr Angriffsmöglichkeiten als ein normaler Heim-PC.
Größte Herausforderung für die Automobilbranche
Nürnberger hat sich das Twizy-Beispiel nicht ausgedacht. Der externe Zugriff auf den Wagen war tatsächlich möglich, weil er ein kleines Gerät, das der Mobilfunkanbieter O2 unter dem Namen „O2 Car Connection“ vertreibt, in die Diagnoseschnittstelle des Autos steckte. Dort gab es eine Sicherheitslücke. Programmierer hatten schlicht vergessen, für die Übertragung von Software-Updates auf den Stecker den sicheren HTTPS-Protokollstandard zu aktivieren.
Deswegen konnten die Forscher eine eigene Software aufspielen – und die hatte es in sich: Nürnberger manipulierte das Gerät so, dass es nicht mehr nur Daten vom Fahrzeug auslas, sondern auch per Mobilfunk Kommandos in das Netzwerk, das die Steuergeräte des Wagens verbindet (CAN-Bus), einspielen konnte. So ließen sich je nach Fahrzeug-Hersteller auch Bremsen, Lichter und die Steuergeräte der Fahrsicherheitssysteme per Funk manipulieren, wenn ein Auto mit dem Mobilfunk-Stecker ausgerüstet war.
Die Sicherheitslücke ist inzwischen geschlossen – doch Nürnberger und andere Wissenschaftler fürchten, dass es noch viele weitere gibt, und zwar dort, wo das neue IT-Universum auf die alte Auto-Welt trifft. „Die gesamte Industrie bringt aktuell so schnell immer neue Features auf den Markt, dass sie die Sicherheitsimplikationen nur schlecht überblicken können.“
Autos sind einer ganz neuen Gefahr ausgesetzt. Sie können von außen aufgeschlossen, ausgespäht und gesteuert werden. Für jeden Verbraucher ist das eine Horrorvision und für die Automobilbranche die größte Herausforderung der Gegenwart.
„Aktuell sind einige Baustellen offen“
In naher Zukunft dürfte die Zahl der Schnittstellen wie auch die Komplexität der interagierenden Systeme in einem Auto eher noch zunehmen. Autos werden untereinander kommunizieren und selbstständig fahren. Sie gegen Hacker-Angriffe abzusichern, wird immer wichtiger und schwieriger. Mittlerweile bekommen Fahrzeuge Software-Updates via Mobilfunk, ähnlich wie Smartphones. Wer die Quelle manipuliert, kann gleich Tausende Autos auf einmal angreifen.
Insbesondere die Kombination von halbautonomen oder autonomen Assistenzsystemen wie etwa Fahrspur- oder Abstandsassistenten in Fahrzeugen mit Mobilfunk-Datenanbindungen und Bluetooth-Schnittstellen macht Sicherheitsforschern Sorgen: „Mit jeder weiteren Schnittstelle steigt die Komplexität, und damit die Angriffsfläche für Attacken“, erklärt Jörn Eichler vom Münchner Fraunhofer AISEC-Institut. Eichler berät die Fahrzeugindustrie in Sachen IT-Sicherheit und will deswegen nicht auf einzelne Hacks eingehen. Doch er warnt: „Aktuell sind einige Baustellen offen.“
Autofahrer strengen Klagen gegen Hersteller an
Wo und wie viele Schwachpunkte in modernen Fahrzeugen lauern, machen eine ganze Reihe aktueller Veröffentlichungen deutlich: Auf ganzen 92 Seiten beschreiben etwa die US-Sicherheitsforscher Charlie Miller und Chris Valasek Schwachpunkte in 21 verschiedenen Fahrzeugen.
Nachdem sie bereits 2011 im Auftrag der US-Militärforschungsbehörde DARPA Lücken in Steuerungssystemen eines Toyota Prius und eines Ford Explorer nachgewiesen hatten, trieben sie ihre Forschungen nun weiter und zeigen, dass auch hochmoderne europäische Fahrzeuge nicht vor Angriffen gefeit sind. Die Forscher aktivierten Wegfahrsperren, fälschten Lenkbefehle der aktiven Fahrspurassistenten oder deaktivierten komplette Bremssysteme.
Diverse US-Fabrikate waren derart leicht von Hackern angreifbar, dass Besitzer in den USA inzwischen Sammelklagen gegen die Hersteller anstrengen. Die Hacks setzen meist einen Zugriff auf den CAN-Bus der Fahrzeuge voraus. Das größte Sicherheitsrisiko, schreiben die US-Forscher in ihrer Studie, gehe von den mittlerweile weit verbreiteten Bluetooth- und Mobilfunkschnittstellen moderner Fahrzeuge aus.
Dafür lieferte zuletzt der deutsche Hersteller BMW unfreiwillig einen Beleg. Ein in mehreren Modellreihen verbautes Steuergerät verriet seine Seriennummer über eine unverschlüsselte Mobilfunkverbindung mit BMWs Online-Service Connected-Drive und nahm Befehle zur Aktivierung einer Fernsteuerung per Smartphone entgegen.
Mit dieser Information hätten Hacker die Diebstahlsicherungssysteme der betroffenen Fahrzeuge problemlos aushebeln können. BMW schaffte den Fehler unauffällig per stillem Software-Update für über zwei Millionen Fahrzeuge aus der Welt – ob er bereits von versierten Dieben ausgenutzt wurde, ist im Nachhinein kaum feststellbar.
Milliardenausgaben für sichere Steuergeräte
Wer erst einmal auf den zentralen CAN-Bus Zugriff hat, dem stehen selbst bei modernen Fahrzeugen viele Türen offen. Die Technologie der internen Netzwerke datiert aus den 90er-Jahren. Eine echte Verschlüsselung oder Authentifizierung der Daten beherrschen die meisten aktuellen Steuergeräte nicht.
„Die Hersteller haben das seit Langem erkannt, aber die Entwicklungszyklen in der Automobilbranche sind sehr viel länger als etwa bei Smartphones“, sagt Forscher Nürnberger. Würde man alle bereits fertig entwickelten Steuergeräte – und ein modernes Fahrzeug hat bis zu 100 davon – nun verwerfen und neu entwickeln, müsste die Branche zusätzliche Milliardenausgaben stemmen.
„Bereits jetzt investieren die Hersteller substanziell in die Sicherheitsentwicklung und erhöhen die Anforderungen an die Zulieferer“, sagt Jörn Eichler vom Fraunhofer Institut. Außerdem würden die Hersteller mittlerweile den Dialog mit Sicherheitsforschern suchen und Ansprechpartner für die schnelle Meldung neu erkannter Lücken anbieten.
Doch das ändert nichts daran, dass Alt-Systeme, die im Markt etabliert sind, inzwischen als unsicher bekannt sind – und die Hersteller alles versuchen, um teure Rückrufe zu vermeiden. Volkswagen etwa setzte 2013 vor einem Londoner Gericht durch, dass Sicherheitsforscher der Universitäten Birmingham und Nimwegen die Details zu einer Lücke im weit verbreiteten Wegfahrsperren-System Megamos Crypto nicht veröffentlichen durften.
„Die Sicherheitslücken in Fahrzeugen zu schließen, ist oft nicht so einfach wie etwa in Smartphones“, erklärt Lars Reger, Sicherheitsexperte beim Elektronik-Zulieferer NXP. „Sollten etwa sicherheitsrelevante Fehler in ROMs, also in unveränderlichen Speichern, fest abgelegt sein, bleibt nur der Hardware-Austausch per Rückruf.“ Und der kann pro Modell schnell mehrere Hundert Millionen Euro kosten.
USA streben gemeinsam definierte Standards an
In den USA offenbarten Anfang dieses Jahres Wissenschaftler die konkrete Gefahr. Forscher der Behörde für Sicherheit im Straßenverkehr (NHTSA) zeigten Verbraucherschützern und Verkehrspolitikern, wie einfach sie sicherheitsrelevante Fahrzeugsysteme manipulieren könnten. Die NHTSA-Forscher beschäftigen sich sonst mit Crashtests, diesmal ließen sie Autos virtuell verunglücken – und stellten etwa die Motoren während der Fahrt per Smartphone ab.
Die Politiker des Kongressausschusses für Wirtschaft und Energie waren geschockt und schickten prompt einen Fragebogen an 17 Autohersteller, deren Produkte in den USA verkauft wurden. Sie wollten wissen, wie die Hersteller ihre Autos gegen Hacker verteidigen würden. Ähnliche Fragen hatte zuvor auch der US-Senat gestellt.
Die Antworten fielen derart unbefriedigend aus, dass US-Senator Edward Markey in seinem Bericht zur Sache den Herstellern mangelndes Sicherheitsbewusstsein vorwirft: Moderne Autos seien sowohl gegen Angriffe auf die Fahrzeugsysteme wie auch gegen das Ausspähen von Bewegungsdaten der Nutzer unzureichend gesichert.
Markey rief seine Kollegen zur Initiative auf. Durch gemeinsam definierte Standards könne die Industrie zu mehr Anstrengungen gezwungen werden. Künftig könnten Standards zur IT-Sicherheit genauso festgelegt werden wie bislang Regelungen zu ESP oder passiver Crash-Sicherheit.
Sichere Kommunikation der Steuergeräte ist möglich
In Deutschland fordert der ADAC, dass die Computer im Auto genauso gegen Manipulation geschützt werden müssen wie jeder Windows -PC. Wie das funktioniert, erklärt Jörn Eichler vom Fraunhofer-Institut: „Sicherheit im Fahrzeug ist kein Hexenwerk und auch über ein prinzipiell unsicheres Netzwerk wie den CAN-Bus können Steuergeräte sicher kommunizieren – etwa indem sie über Signaturen prüfen, ob Daten auf dem Bus von legitimer Stelle gesendet werden.“ Um zu verhindern, dass etwa Dritthersteller von Autozubehör die Regeln unterlaufen, muss die Industrie neue Mindeststandards finden, sagt Eichler.
Doch die Implementierung solcher Standards auch in Systemen, die seit Jahren fertig entwickelt sind, kostet Geld – und IT-Sicherheit sei in Verkaufsgesprächen schlechter vermittelbar als etwa ein besserer Kollisionsschutz, meint der Saarbrücker Sicherheitsforscher Nürnberger. „Das Merkmal IT-Sicherheit lässt sich im Auto schlecht verkaufen. Vielleicht bedarf es erst einer Art Elchtest, damit das Thema auch im Bewusstsein der Käufer ankommt.“
Dieser Artikel erschien zuerst in Die Welt.
