Die Schwachstellen vernetzter Autos

Hamburg. Experten sehen vor allem in Smartphone-Apps und dem Infotainmentsystem des Wagens gefährliche Einfallstore für Schadsoftware.

Ein Klick in der App, schon öffnet sich die Wagentür. Sitzt man im Auto, kann man über das Bordsystem Filme und Serien streamen – oder mithilfe eines programmierten falschen Schlüssels das Auto stehlen. Moderne Fahrzeuge tauschen kabellos Daten mit dem Hersteller aus und sind ständig mit dem Internet verbunden. Sie sind große, fahrende Computer – und werden damit zum Ziel von Hackern.

Wie lückenhaft der Schutz ist, das zeigte sich jetzt erneut in den jüngsten Veröffentlichungen des russischen Sicherheitsunternehmens Kaspersky Lab. Deren IT-Forscher untersuchten Auto-Apps für Android-Geräte und stellten fest, dass bei sieben großen Herstellern kein ausreichender Schutz gegen Angriffe vorhanden war. Um welche Hersteller es sich handelt, sagten sie nicht.

Aus der Ferne die Bremsen

eines fremden Autos steuern

Gelinge es einem Hacker, die volle Kontrolle über das Smartphone zu erlangen, könnten die Zugangsdaten der Auto-Apps einfach abgefischt werden, schreiben die Forscher auf dem Unternehmensblog. Sicherheitsmechanismen dagegen, wie sie etwa bei Online-Banking-Apps längst üblich seien, fehlten.

Theoretisch können Angreifer sich also Zugang zum Fahrzeuginneren verschaffen. Starten lasse sich der Wagen ohne Schlüssel zwar zunächst trotzdem nicht – versierte Hacker seien vom Innern des Fahrzeugs aus aber in der Lage, einen Fake-Schlüssel zu programmieren und damit das Auto zu stehlen. Noch ist nur ein relativ kleiner Teil bereits digital vernetzter PKW von derlei Risiken betroffen, doch die Zahl wächst rasant: Der IT-Marktforscher Gartner schätzt, dass 2016 zwölf Millionen PKW mit Funkschnittstelle gebaut wurden. 2020 sollen 60 Millionen vernetzte Wagen die Werke verlassen.

Sicherheitsexperten zeigten schon oft medienwirksam die Schwachstellen moderner Autos. In einem Youtube-Video demonstrierten beispielsweise chinesische Sicherheitsforscher im September 2016, wie sie Teslas Topwagen Model S in ihre Gewalt brachten, ohne direkten Zugang zum Fahrzeug zu haben. Sie mussten lediglich warten, bis sich das Elektroauto in ihr manipuliertes W-Lan-Netz einwählte, schon konnten sie ins System des Autos eindringen. Einmal gehackt, ließen sich aus der Ferne nicht nur die Fensterscheiben heben und senken, sondern auch die Bremsen vom Schreibtisch aus steuern.

Tesla ist kein Einzelfall. Schon 2015 zeigten Hacker, wie sie Fahrzeuge von BMW, Mercedes und Chrysler nach einem Angriff auf die Apps öffnen und starten konnten. Beim bisher spektakulärsten Fall kaperten Sicherheitsexperten 2015 vom eigenen Wohnzimmer aus einen Jeep Cherokee, der gerade mit 100 Kilometern pro Stunde über den Highway brauste – und dessen Bremsen plötzlich in der Hand der Hacker lagen.

„Die Fahrzeuge tauschen immer mehr Daten aus. Das macht sie zunehmend anfällig gegen Hackerangriffe“, sagt Ralf Philipp Weinmann, Sicherheitsforscher und Geschäftsführer der Firma Comsecuris, die unter anderem die Hardware von Autoherstellern auf Schwachstellen untersucht. Neben der Funkschnittstelle, die das Auto ständig mit dem Internet verbindet, sehen Experten vor allem in Smartphone-Apps und dem Infotainmentsystem des Wagens Einfallstore für Schadsoftware.

Auf diese Gefahren seien die Autohersteller noch immer unzureichend vorbereitet, sagt Adrian Davis, Europa-Direktor der weltweit größten Organisation für IT-Sicherheit (ISC)²: „Die Automobilindustrie hinkt der Entwicklung in der IT-Sicherheit rund 20 Jahre hinterher.“ Zwar wüssten die Autobauer häufig von Sicherheitslücken ihrer Wagen, sagt Weinmann. Sie reagierten darauf jedoch ganz unterschiedlich. „Vielen Herstellern sind die Probleme bewusst“, sagt der Sicherheitsexperte. „Die Frage ist nur, wie viel sie dagegen tun.“ Nach dem Jeep-Hack in voller Fahrt sah sich der Mutterkonzern Fiat Chrysler gezwungen, 1,4 Millionen Fahrzeuge in die Werkstätten zu rufen. Wenn Sicherheitslecks nicht so groß seien, würden manche Hersteller jedoch auf einen Rückruf verzichten, sagt Weinmann.

In den Augen von Jan Pelzl, Professor für Cyber-Sicherheit an der Hochschule Hamm-Lippstadt, habe bei den Autobauern aber ein Umdenken eingesetzt. „Die großen Autohersteller beziehen die Cyber-Sicherheit von Anfang an die Fahrzeugentwicklung mit ein“, besonders die deutschen und amerikanischen Hersteller nähmen das Thema ernst. Und trotzdem: „Die Kreativität der Angreifer ist unerschöpflich.“