# taz.de -- Sicherheitslücken in KfZ-Software: Wenn Hacker das Auto übernehmen
> In den USA haben Hacker aus der Ferne einen Jeep gekapert. Autoindustrie
> und Kunden müssen sich auf neue Tücken einstellen.
(IMG) Bild: Wissen wir, wer sie steuert?
Berlin taz | Erst springt die Lüftung an, dann ertönt der Rapper Skee-lo in
voller Lautstärke aus der Musikanlage, und schließlich bewegen sich die
Scheibenwischer. Nach und nach scheint sich das Auto selbständig zu machen
– bis auf einmal der Motor verstummt, mitten auf dem Highway.
In der Ferne hat jemand den Wagen gehackt. Glücklicherweise hat der
Redakteur des Magazins Wired, der am Steuer sitzt, zumindest eine grobe
Ahnung davon gehabt, was ihn erwartete. Trotzdem bricht er in Panik aus,
als der Motor auf der Autobahn ausgeht.
Dies ist eines der Szenarien, deren technische Details die Hacker in dieser
Woche auf einer Konferenz in Las Vegas vorstellten. Sie lassen Autofahrer
und -hersteller zwischen Schreck und Vogel-Strauß-Taktik schwanken: Nein,
das kann doch nicht passieren. Nicht hier. Nicht mir. Oder doch?
Die kurze Antwort lautet: Es ist möglich. Theoretisch kann es jedem
zustoßen, der in einem Fahrzeug neuerer Generation sitzt. So ein gehackter
Wagen könnte aber auch hinter oder vor dem eigenen – oder auf der
entgegengesetzten Fahrspur – unterwegs sein.
## Auch Auto-Software hat Sicherheitslücken
Die lange Antwort gibt Tobias Eggendorfer, Professor für IT-Sicherheit an
der Hochschule Weingarten: „Über alle Wege, über die sich Software
angreifen lässt, lassen sich heutzutage auch Autos angreifen.“ Angesichts
dessen, dass täglich Sicherheitslücken in diverser Software bekannt werden,
ist dies nicht gerade eine beruhigende Einschätzung. Dazu kommt noch die
Dunkelziffer der entdeckten, aber nicht veröffentlichten Sicherheitslücken.
Der Motor muss ja nicht mitten auf der Überholspur versagen. Wer in den
vergangenen Jahren ein Auto gekauft hat, sollte sich fragen, wie er es
aufschließt. Per Knopfdruck auf dem Schlüssel? Oder öffnet sich das
Fahrzeug automatisch, wenn sich der Besitzer samt Schlüssel nähert?
„In den USA werden mittlerweile reihenweise Fahrzeuge geknackt, indem die
Funksignale des Autoschlüssels verstärkt werden“, sagt Eggendorfer. Die
Zutaten: der Autoschlüssel, der sich etwa am in der Haustür steckenden
Schlüsselbund befindet, und das Auto vor der Tür. Das Rezept: Einen
Funkverstärker dazwischen positionieren. Fertig ist der Hack für Anfänger.
Wer erst mal im Fahrzeug ist, kann es ausräumen, mitnehmen – oder zum
Beispiel einen USB-Stick anschließen. Das wäre nicht schlimm, wenn nur
Musik drauf ist, es könnte aber auch Schadsoftware sein. Eine Schadsoftware
etwa, die während der Fahrt die Musik plötzlich auf volle Lautstärke dreht.
Oder die sich tiefer ins System einnistet und die Fahrzeugsteuerung
übernimmt. Dann reagiert die Bremse plötzlich nicht mehr. Oder die
Benzineinspritzung wird manipuliert, sie dosiert falsch und der Motor ist
hinüber.
## Schwachstelle: Navi mit Zugriff aufs Internet
So etwas lässt sich zum Beispiel mit einem „Buffer Overflow“ realisieren.
Das ist ein Angriff, den Eggendorfer mit einem Schnapsglas und einer vollen
Flasche vergleicht: Wenn jemand vergessen hat, festzulegen, wie viel in das
Glas hineindarf, wird immer weiter geschüttet – irgendwann fließt das Glas
über. Was in der Küche maximal eine Überschwemmung gibt, wird bei Software
zu einem echten Problem: Das System lässt sich so unter Umständen komplett
vom Angreifer übernehmen.
Bis hierhin hatte immer noch jemand physischen Zugriff auf das Fahrzeug.
Doch es geht auch ohne. Anfang dieses Jahres gelang es einem Angreifer –
zugegeben mit einigem Aufwand und technischen Wissen – einen BMW zu hacken
und ihn unbefugt aus der Distanz zu öffnen. Das funktionierte, weil das
Fahrzeug über das Mobilfunknetz kommunizierte. „Wir haben immer mehr Autos,
die mit dem Internet verbunden sind“, erklärt Eggendorfer.
Eine Schwachstelle sei dabei vor allem das Navigationsgerät. Denn das biete
Nutzern besonders häufig Zugriff auf das Internet – damit Fahrer etwa nach
der Wettervorhersage am Ziel suchen können oder nach Restaurants auf der
Strecke.
Eine Internetanbindung birgt jedoch prinzipiell des Risiko eines Angriffs
aus der Ferne. So gingen auch die Hacker des Jeep Cherokee vor, die den
Wired-Redakteur auf der Autobahn stehen ließen: Über die
Unterhaltungselektronik – die etwa die Musik regelt – konnten sie sich zur
Fahrzeugsteuerung vorarbeiten, die für Bremsen, Lenkung und Motor zuständig
ist, und so den Motor abstellen. Die Folge: Der Hersteller rief in den USA
1,4 Millionen Fahrzeuge für ein Softwareupdate zurück. Ob das reicht?
Womöglich nicht.
## Komfort versus Sicherheit
Eggendorfer nennt als erste Regel: Das System, das die
Unterhaltungselektronik steuert, und die Fahrzeugsteuerung müssen auf
getrennter Hardware laufen. Derzeit sei das meistens noch der Fall,
Anfragen bei hiesigen Autoherstellern bestätigen das. Doch die
Hardwarechips werden leistungsfähiger, und laut Eggendorfer wächst die
Versuchung, beides einfach zusammenzulegen – und damit wächst auch das
Risiko bei einem Angriff.
Wie so häufig, wenn es um Technik geht, kollidieren Komfort und Sicherheit.
Für den Fahrer ist es praktisch, wenn er aus der Ferne über das Internet
den Füllstand des Tanks abfragen kann oder nachschauen, ob er die Fenster
tatsächlich geschlossen hatte. Leider ist das auch praktisch für
potenzielle Angreifer. Wie viele Autos mit Internetanbindung hierzulande
überhaupt unterwegs sind, ist unklar. Das Kraftfahrtbundesamt erhebt dazu
keine Zahlen und die Fahrzeuggeneration allein gibt nicht unbedingt
Aufschluss: Die Kunden können sich ja auch heute noch ihr Auto auf Wunsch
ohne Internetanbindung ausliefern lassen. Selbst Hersteller passen daher
bei der Antwort.
Überhaupt halten sich die Hersteller mit Antworten zu ihren
Sicherheitsmechanismen zurück. Ein Daimler-Sprecher weist etwa darauf hin,
dass es sich um ein „sehr sensibles, sicherheitsrelevantes Thema“ handele,
deshalb könne man nicht ins Detail gehen. Firewalls, Verschlüsselung,
unabhängige Steuergeräte – ja, das erwähnen die meisten. Ob das im
Einzelfall schützt, ist eine andere Frage.
## Besser und sicherer: mehr Transparenz
Experten wie Eggendorfer halten eine gegenteilige Strategie für sinnvoll:
mehr Transparenz statt weniger. Software mit strengen Programmierregeln,
deren Quellcode offenliegt und die von vielen Programmierern überprüft
wird, könne helfen. Die Firmen sollten Hacker von außen einladen mit dem
Auftrag, das Fahrzeug auf allen denkbaren und undenkbaren Wegen
anzugreifen. Und vielleicht bräuchte es eine politische Initiative, um eine
technisch kompetente externe Stelle einzurichten, die beim
Zulassungsverfahren auf die Software schaut.
Immerhin: Die Töne aus der Branche werden selbstkritischer. „Connectivity
ist der Schlüssel zum Auto der Zukunft“, sagte Ulrich Hackenberg, im
Audi-Vorstand zuständig für technische Entwicklung, noch im vergangenen
Jahr und: „Wir werden keinen Zugang zum Betriebssystem unserer Fahrzeuge
zulassen.“ Jetzt gibt ein Daimler-Sprecher zu, was auch jeder ITler sagt:
„Eine absolute, hundertprozentige Sicherheit wird es nicht geben.“
Für Kunden, die demnächst den Gang ins Autohaus planen, hat IT-Experte
Eggendorfer nur einen Rat: Am besten auf Internetanbindung und die
Möglichkeit des schlüssellosen Aufschließens im Vorbeigehen verzichten.
6 Aug 2015
## AUTOREN
(DIR) Svenja Bergt
## TAGS
(DIR) Internet
(DIR) Hackerangriff
(DIR) Autos
(DIR) Autoindustrie
(DIR) Hacker
(DIR) Fahrzeuge
(DIR) BMW
(DIR) Datenschutz
(DIR) E-Autos
(DIR) Flüchtlinge
(DIR) Chrysler
(DIR) Datensicherheit
(DIR) Hacking
## ARTIKEL ZUM THEMA
(DIR) Autos senden Daten über Fahrer: Der Fahrersitz spioniert
Eine neue ADAC-Studie zeigt, wie viele Daten moderne Autos über ihre Fahrer
sammeln. Und an die Hersteller übermitteln.
(DIR) Bewegungsprofil von Carsharing-Kunden: BMW im Sammelfieber
Mit vernetzten Autos lassen sich Bewegungsprofile der Nutzer erstellen. Das
scheint auch der an Drive Now beteiligte Konzern BMW zu machen.
(DIR) Selbstfahrende Autos und Datenschutz: Keine Angst vor dem Autopiloten
Die Angst vor Unfällen mit selbstfahrenden Autos ist übertrieben. Worum wir
uns kümmern müssen, ist die Sicherheit unserer Daten.
(DIR) Elektroautos in Deutschland: Sparsam sein ist teuer
Umweltverbände werfen der Autoindustrie vor, mögliche Käufer von
ökologischeren Fahrzeugen mit Aufpreisen abzuschrecken.
(DIR) Die Wahrheit: Automobile in meiner Mansarde
Was hilft gegen Ausländerfeinde? Artikel, Satiren oder Steine? Und was
haben Garagen im Kapitalismus damit zu tun?
(DIR) Schwachstelle in Auto-Technologie: Ferngesteuert in den Straßengraben
Forscher zeigen, wie sich Autos von Fiat-Chrysler hacken lassen – wenn es
bei der Sicherheit hapert. Sind die fahrenden Rechenzentren in Gefahr?
(DIR) Umfrage zu Datensicherheit: Kein Vertrauen in Datenschutz
Die Mehrheit der Deutschen hat Angst vor Cyber-Kriminalität. Besonders die
Telekommunikationsbranche sei gefährdet.
(DIR) Lücken einer Überwachungsfirma: Hacker hacken das „Hacking Team“
Eine umstrittenene Firma für Spionagesoftware erlebt unfreiwillige
Enthüllungen. Auch undemokratische Staaten gehören zu ihren Kunden.