Sicherheitslücken in KfZ-Software: Wenn Hacker das Auto übernehmen

In den USA haben Hacker aus der Ferne einen Jeep gekapert. Autoindustrie und Kunden müssen sich auf neue Tücken einstellen.

Wissen wir, wer sie steuert? Foto: dpa

BERLIN taz | Erst springt die Lüftung an, dann ertönt der Rapper Skee-lo in voller Lautstärke aus der Musikanlage, und schließlich bewegen sich die Scheibenwischer. Nach und nach scheint sich das Auto selbständig zu machen – bis auf einmal der Motor verstummt, mitten auf dem Highway.

In der Ferne hat jemand den Wagen gehackt. Glücklicherweise hat der Redakteur des Magazins Wired, der am Steuer sitzt, zumindest eine grobe Ahnung davon gehabt, was ihn erwartete. Trotzdem bricht er in Panik aus, als der Motor auf der Autobahn ausgeht.

Dies ist eines der Szenarien, deren technische Details die Hacker in dieser Woche auf einer Konferenz in Las Vegas vorstellten. Sie lassen Autofahrer und -hersteller zwischen Schreck und Vogel-Strauß-Taktik schwanken: Nein, das kann doch nicht passieren. Nicht hier. Nicht mir. Oder doch?

Die kurze Antwort lautet: Es ist möglich. Theoretisch kann es jedem zustoßen, der in einem Fahrzeug neuerer Generation sitzt. So ein gehackter Wagen könnte aber auch hinter oder vor dem eigenen – oder auf der entgegengesetzten Fahrspur – unterwegs sein.

Auch Auto-Software hat Sicherheitslücken

Die lange Antwort gibt Tobias Eggendorfer, Professor für IT-Sicherheit an der Hochschule Weingarten: „Über alle Wege, über die sich Software angreifen lässt, lassen sich heutzutage auch Autos angreifen.“ Angesichts dessen, dass täglich Sicherheitslücken in diverser Software bekannt werden, ist dies nicht gerade eine beruhigende Einschätzung. Dazu kommt noch die Dunkelziffer der entdeckten, aber nicht veröffentlichten Sicherheitslücken.

Der Motor muss ja nicht mitten auf der Überholspur versagen. Wer in den vergangenen Jahren ein Auto gekauft hat, sollte sich fragen, wie er es aufschließt. Per Knopfdruck auf dem Schlüssel? Oder öffnet sich das Fahrzeug automatisch, wenn sich der Besitzer samt Schlüssel nähert?

„In den USA werden mittlerweile reihenweise Fahrzeuge geknackt, indem die Funksignale des Autoschlüssels verstärkt werden“, sagt Eggendorfer. Die Zutaten: der Autoschlüssel, der sich etwa am in der Haustür steckenden Schlüsselbund befindet, und das Auto vor der Tür. Das Rezept: Einen Funkverstärker dazwischen positionieren. Fertig ist der Hack für Anfänger.

Wer erst mal im Fahrzeug ist, kann es ausräumen, mitnehmen – oder zum Beispiel einen USB-Stick anschließen. Das wäre nicht schlimm, wenn nur Musik drauf ist, es könnte aber auch Schadsoftware sein. Eine Schadsoftware etwa, die während der Fahrt die Musik plötzlich auf volle Lautstärke dreht. Oder die sich tiefer ins System einnistet und die Fahrzeugsteuerung übernimmt. Dann reagiert die Bremse plötzlich nicht mehr. Oder die Benzineinspritzung wird manipuliert, sie dosiert falsch und der Motor ist hinüber.

Schwachstelle: Navi mit Zugriff aufs Internet

So etwas lässt sich zum Beispiel mit einem „Buffer Overflow“ realisieren. Das ist ein Angriff, den Eggendorfer mit einem Schnapsglas und einer vollen Flasche vergleicht: Wenn jemand vergessen hat, festzulegen, wie viel in das Glas hineindarf, wird immer weiter geschüttet – irgendwann fließt das Glas über. Was in der Küche maximal eine Überschwemmung gibt, wird bei Software zu einem echten Problem: Das System lässt sich so unter Umständen komplett vom Angreifer übernehmen.

Bis hierhin hatte immer noch jemand physischen Zugriff auf das Fahrzeug. Doch es geht auch ohne. Anfang dieses Jahres gelang es einem Angreifer – zugegeben mit einigem Aufwand und technischen Wissen – einen BMW zu hacken und ihn unbefugt aus der Distanz zu öffnen. Das funktionierte, weil das Fahrzeug über das Mobilfunknetz kommunizierte. „Wir haben immer mehr Autos, die mit dem Internet verbunden sind“, erklärt Eggendorfer.

Eine Schwachstelle sei dabei vor allem das Navigationsgerät. Denn das biete Nutzern besonders häufig Zugriff auf das Internet – damit Fahrer etwa nach der Wettervorhersage am Ziel suchen können oder nach Restaurants auf der Strecke.

Eine Internetanbindung birgt jedoch prinzipiell des Risiko eines Angriffs aus der Ferne. So gingen auch die Hacker des Jeep Cherokee vor, die den Wired-Redakteur auf der Autobahn stehen ließen: Über die Unterhaltungselektronik – die etwa die Musik regelt – konnten sie sich zur Fahrzeugsteuerung vorarbeiten, die für Bremsen, Lenkung und Motor zuständig ist, und so den Motor abstellen. Die Folge: Der Hersteller rief in den USA 1,4 Millionen Fahrzeuge für ein Softwareupdate zurück. Ob das reicht? Womöglich nicht.

Komfort versus Sicherheit

Eggendorfer nennt als erste Regel: Das System, das die Unterhaltungselektronik steuert, und die Fahrzeugsteuerung müssen auf getrennter Hardware laufen. Derzeit sei das meistens noch der Fall, Anfragen bei hiesigen Autoherstellern bestätigen das. Doch die Hardwarechips werden leistungsfähiger, und laut Eggendorfer wächst die Versuchung, beides einfach zusammenzulegen – und damit wächst auch das Risiko bei einem Angriff.

Wie so häufig, wenn es um Technik geht, kollidieren Komfort und Sicherheit. Für den Fahrer ist es praktisch, wenn er aus der Ferne über das Internet den Füllstand des Tanks abfragen kann oder nachschauen, ob er die Fenster tatsächlich geschlossen hatte. Leider ist das auch praktisch für potenzielle Angreifer. Wie viele Autos mit Internetanbindung hierzulande überhaupt unterwegs sind, ist unklar. Das Kraftfahrtbundesamt erhebt dazu keine Zahlen und die Fahrzeuggeneration allein gibt nicht unbedingt Aufschluss: Die Kunden können sich ja auch heute noch ihr Auto auf Wunsch ohne Internetanbindung ausliefern lassen. Selbst Hersteller passen daher bei der Antwort.

Überhaupt halten sich die Hersteller mit Antworten zu ihren Sicherheitsmechanismen zurück. Ein Daimler-Sprecher weist etwa darauf hin, dass es sich um ein „sehr sensibles, sicherheitsrelevantes Thema“ handele, deshalb könne man nicht ins Detail gehen. Firewalls, Verschlüsselung, unabhängige Steuergeräte – ja, das erwähnen die meisten. Ob das im Einzelfall schützt, ist eine andere Frage.

Besser und sicherer: mehr Transparenz

Experten wie Eggendorfer halten eine gegenteilige Strategie für sinnvoll: mehr Transparenz statt weniger. Software mit strengen Programmierregeln, deren Quellcode offenliegt und die von vielen Programmierern überprüft wird, könne helfen. Die Firmen sollten Hacker von außen einladen mit dem Auftrag, das Fahrzeug auf allen denkbaren und undenkbaren Wegen anzugreifen. Und vielleicht bräuchte es eine politische Initiative, um eine technisch kompetente externe Stelle einzurichten, die beim Zulassungsverfahren auf die Software schaut.

Immerhin: Die Töne aus der Branche werden selbstkritischer. „Connectivity ist der Schlüssel zum Auto der Zukunft“, sagte Ulrich Hackenberg, im Audi-Vorstand zuständig für technische Entwicklung, noch im vergangenen Jahr und: „Wir werden keinen Zugang zum Betriebssystem unserer Fahrzeuge zulassen.“ Jetzt gibt ein Daimler-Sprecher zu, was auch jeder ITler sagt: „Eine absolute, hundertprozentige Sicherheit wird es nicht geben.“

Für Kunden, die demnächst den Gang ins Autohaus planen, hat IT-Experte Eggendorfer nur einen Rat: Am besten auf Internetanbindung und die Möglichkeit des schlüssellosen Aufschließens im Vorbeigehen verzichten.