Online-Sicherheitslücken bei Autos

Mein Ferrari hat einen Virus

Dank On-Board-Digitaltechnik und GPS sind moderne Autos permanent online. Das öffnet ungewollt auch Hackern und Autodieben Zugänge.von Ben Schwan

Hat hoffentlich einen Spamfilter: Das Auto der Zukunft.  Bild:  ap

Nicht nur in den USA werde mittlerweile Autos verkauft, die über eine ständige Mobilfunkanbindung verfügen. Die Idee hinter dem System, das von mehreren Herstellern angeboten wird: Im Falle einer Panne soll eine Notrufzentrale direkten Zugriff auf das Fahrzeug bekommen, um zu prüfen, welcher Fehler vorliegt.

Auch bei einem Unfall sind Hilfskräfte schneller alarmierbar: Wird der Airbag ausgelöst, sendet das Fahrzeug automatisch seine GPS-Position. Außerdem ist ein Tracking des Autos möglich, falls es gestohlen wird. Selbst das Öffnen und Verschließen der Türen geht aus der Ferne - praktisch, wenn man mal den Schlüssel verloren hat.

Allerdings öffnet die Dauervernetzung auch Sicherheitslücken. So zeigten Sicherheitsforscher im vergangenen Jahr, dass sich über solche Dienste auch ein bequemer Autoklau abwickeln lässt. Dabei genügte es, die spezielle Rufnummer zu kennen, unter der das Fahrzeug auf Befehle des Diensteanbieters wartete. An diese sendeten Don Bailey und Mat Solnik von iSEC Partners dann eine Kurznachricht. Je nach deren Formatierung war es möglich, die Türen zu entriegeln und sogar den Motor zu starten. Selbst eine Abfrage der GPS-Position soll so potenziell möglich gewesen sein, hieß es.

Der „SMS-Hack“ ist nur ein Beispiel für neue Angriffsflächen, die die zunehmende Fahrzeugvernetzung mit sich bringt. Bei der Intel-Tochter McAfee, einem Anti-Viren-Software-Hersteller, suchen Wissenschaftler inzwischen direkt nach Problemen in den On-Board-Systemen. Dabei geht es, so dramatisch das klingt, möglicherweise um Leben und Tod: Elektronische Manipulationen könnten schlimmstenfalls zu Unfällen führen.

Die Technik im Auto ist dabei nicht unbedingt moderner und sicherer als das, was man von PCs oder Smartphones kennt. So fährt etwa in US-Modellen von Ford ein Microsoft-Betriebssystem mit (das spaßigerweise aufgrund von Problemen mit der Bedienbarkeit zu Abwertungen durch Tester führte) und Entertainment-Systeme, die oft mit Klimakontrollsystemen verbunden sind, lassen sich per CD oder USB-Stick aktualisieren und eventuell auch infizieren.

Noch gilt das alles aber nur als hypothetische Gefahr. Die großen US-Autohersteller kennen bislang keinen Fall, in dem es zu Angriffen gekommen wäre. Auch musste noch kein Fahrzeug zurückgerufen werden, weil es Sicherheitslücken gab. Trotzdem gibt es regelmäßig auf Sicherheitskonferenzen vorgestellte Hacks. Bis die es in die freie Wildbahn geschafft haben, könnte aber noch einige Zeit vergehen. Die Angriffsvektoren sind dabei variabel.

Motor und Bremsen sind bisher sicher

Die fahrzeugnahen Systeme, über die Motor, Bremsleistung, Lenkung oder Stabilitätskontrolle gesteuert werden, sind normalerweise vom Rest des Fahrzeugs getrennt und auch nicht per Internet erreichbar, sollte das Auto über eine Netzanbindung verfügen. Doch die Grenzen zwischen den Systemen verschwimmen, wie der SMS-Hack zeigt, schnell.

Bei McAfee hat man eine eigene Garage in Oregon eingerichtet, in der an Fahrzeugen geschraubt und nach Lücken gesucht wird. Als problematisch gilt vor allem, dass das Thema IT-Sicherheit bei den Autoherstellern derzeit erst beginnt, Priorität zu haben. Dabei wächst die Zahl der Schnittstellen, die moderne Autos mitbringen - kaum ein PKW kommt noch ohne Bluetooth, Handy-Anbindung oder iPod- und iPhone-Stecker aus.

Am „Center for Automotive Embedded Systems Security“, das von University of California und University of Washington betrieben wird, soll es bereits gelungen sein, über eine Lücke im Radio an vitale Systeme des Fahrzeuges zu gelangen. Dabei wurde ein „Autovirus“ auf eine CD gebrannt, die dann wiederum ins Radio eingelegt wurde. Damit soll es möglich gewesen sein, das Auto abzustellen, die Türen zu verschließen und die Bremsen zu aktivieren.

Allerdings sind das zunächst Horrorszenarien – Angreifer müssten sich vermutlich auf ein einzelnes Fahrzeugmodell konzentrieren, um es derart umfänglich zu knacken. Klar ist aber auch, dass so etwas nicht lange Science-Fiction bleiben dürfte.