piwik no script img

taz zahl ich

Online-Sicherheitslücken bei AutosMein Ferrari hat einen Virus

Dank On-Board-Digitaltechnik und GPS sind moderne Autos permanent online. Das öffnet ungewollt auch Hackern und Autodieben Zugänge.

Hat hoffentlich einen Spamfilter: Das Auto der Zukunft. Bild: ap
Von Ben Schwan

Nicht nur in den USA werde mittlerweile Autos verkauft, die über eine ständige Mobilfunkanbindung verfügen. Die Idee hinter dem System, das von mehreren Herstellern angeboten wird: Im Falle einer Panne soll eine Notrufzentrale direkten Zugriff auf das Fahrzeug bekommen, um zu prüfen, welcher Fehler vorliegt.

Auch bei einem Unfall sind Hilfskräfte schneller alarmierbar: Wird der Airbag ausgelöst, sendet das Fahrzeug automatisch seine GPS-Position. Außerdem ist ein Tracking des Autos möglich, falls es gestohlen wird. Selbst das Öffnen und Verschließen der Türen geht aus der Ferne - praktisch, wenn man mal den Schlüssel verloren hat.

Allerdings öffnet die Dauervernetzung auch Sicherheitslücken. So zeigten Sicherheitsforscher im vergangenen Jahr, dass sich über solche Dienste auch ein bequemer Autoklau abwickeln lässt. Dabei genügte es, die spezielle Rufnummer zu kennen, unter der das Fahrzeug auf Befehle des Diensteanbieters wartete. An diese sendeten Don Bailey und Mat Solnik von iSEC Partners dann eine Kurznachricht. Je nach deren Formatierung war es möglich, die Türen zu entriegeln und sogar den Motor zu starten. Selbst eine Abfrage der GPS-Position soll so potenziell möglich gewesen sein, hieß es.

Der „SMS-Hack“ ist nur ein Beispiel für neue Angriffsflächen, die die zunehmende Fahrzeugvernetzung mit sich bringt. Bei der Intel-Tochter McAfee, einem Anti-Viren-Software-Hersteller, suchen Wissenschaftler inzwischen direkt nach Problemen in den On-Board-Systemen. Dabei geht es, so dramatisch das klingt, möglicherweise um Leben und Tod: Elektronische Manipulationen könnten schlimmstenfalls zu Unfällen führen.

Die Technik im Auto ist dabei nicht unbedingt moderner und sicherer als das, was man von PCs oder Smartphones kennt. So fährt etwa in US-Modellen von Ford ein Microsoft-Betriebssystem mit (das spaßigerweise aufgrund von Problemen mit der Bedienbarkeit zu Abwertungen durch Tester führte) und Entertainment-Systeme, die oft mit Klimakontrollsystemen verbunden sind, lassen sich per CD oder USB-Stick aktualisieren und eventuell auch infizieren.

Noch gilt das alles aber nur als hypothetische Gefahr. Die großen US-Autohersteller kennen bislang keinen Fall, in dem es zu Angriffen gekommen wäre. Auch musste noch kein Fahrzeug zurückgerufen werden, weil es Sicherheitslücken gab. Trotzdem gibt es regelmäßig auf Sicherheitskonferenzen vorgestellte Hacks. Bis die es in die freie Wildbahn geschafft haben, könnte aber noch einige Zeit vergehen. Die Angriffsvektoren sind dabei variabel.

Motor und Bremsen sind bisher sicher

Die fahrzeugnahen Systeme, über die Motor, Bremsleistung, Lenkung oder Stabilitätskontrolle gesteuert werden, sind normalerweise vom Rest des Fahrzeugs getrennt und auch nicht per Internet erreichbar, sollte das Auto über eine Netzanbindung verfügen. Doch die Grenzen zwischen den Systemen verschwimmen, wie der SMS-Hack zeigt, schnell.

Bei McAfee hat man eine eigene Garage in Oregon eingerichtet, in der an Fahrzeugen geschraubt und nach Lücken gesucht wird. Als problematisch gilt vor allem, dass das Thema IT-Sicherheit bei den Autoherstellern derzeit erst beginnt, Priorität zu haben. Dabei wächst die Zahl der Schnittstellen, die moderne Autos mitbringen - kaum ein PKW kommt noch ohne Bluetooth, Handy-Anbindung oder iPod- und iPhone-Stecker aus.

Am „Center for Automotive Embedded Systems Security“, das von University of California und University of Washington betrieben wird, soll es bereits gelungen sein, über eine Lücke im Radio an vitale Systeme des Fahrzeuges zu gelangen. Dabei wurde ein „Autovirus“ auf eine CD gebrannt, die dann wiederum ins Radio eingelegt wurde. Damit soll es möglich gewesen sein, das Auto abzustellen, die Türen zu verschließen und die Bremsen zu aktivieren.

Allerdings sind das zunächst Horrorszenarien – Angreifer müssten sich vermutlich auf ein einzelnes Fahrzeugmodell konzentrieren, um es derart umfänglich zu knacken. Klar ist aber auch, dass so etwas nicht lange Science-Fiction bleiben dürfte.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Feedback Kommentieren Fehlerhinweis

taz Geschenkabo inklusive GEPA-Kerzen

Licht und Liebe schenken

Geschenke, die nachhaltigen Eindruck machen, sind die schönsten. Verschenken Sie dieses Weihnachten ein 10-wöchiges Abo der taz! Die taz ist natürlich selbst schon ein Lichtblick, aber wir legen noch sechs faire GEPA-Kerzen dazu.
Jetzt bestellen

6 Kommentare

 / 
  • V
    Vollautomatische

    Weichspülmittelzugabe, damit Sie nicht mehr denken müssen

     

    Gabs bei Faust schon vor 40 Jahren

  • I
    ion

    Superextraklasse(!), so ein System – ein Muss für jedes Kfz.!

    Und jeden Monatsanfang gibt ’s an den Fahrzeughalter ’ne Abrechnung aller begangenen Verkehrssünden !

  • S
    Schaf

    @Fred Kirchheimer:

    Sie haben einen wichtigen Satz überlesen " Trotzdem gibt es regelmäßig auf Sicherheitskonferenzen vorgestellte Hacks." Das sind teilweise auch erfolgreich durchgeführte Angriffe, von denen danach die Methode veröffentich wird. Damit ist es jeden Menschen der über Fachwissen besitz (ein paar Bücher und etwas Sitzfleisch) möglich genau diese Angriffe nachzustellen, dies dauert vielleicht ein paar Jahre, aber wenn die Autohersteller nicht reagieren und die Sicherheit erhöhen, bleibt das Risiko nicht nur von theoretischer Natur.

    Wenn ich mit Hilfe von Paperern ein Modell einer Firma knacken kann, dann kann ich die selben Methoden mit hoher Warscheinlichkeit auch auf andere Modelle vom selben Hersteller anweden. Das interne Computersystem wird sich nicht so sehr unterscheiden und mit mehr geknackten Modellen wird es einfacher auch andere Hersteller zu knacken. Man weiss dann nämlich an welchen Stellen man den besten Erfolg hat.

    Nur reagieren die Autohersteller inzwischen. Nachdem die Forscher von dem „Center for Automotive Embedded Systems Security“ ihre Ergebnise veröffentlicht haben, waren die amerikanischen Autohersteller bereit mit ihnen zusammenzuarbeiten um diese Sicherheitslücke zuschliessen.

    Übrigens iSEC ist keine Abkürzung sondern der Name einer Firma, wie mir google kurz mitgeteilt hat, und anscheinend verantwortlich für diese eine Attacke.

  • FK
    Fred Kirchheimer

    Tja, mal wieder ein Artikel, in dem ein theoretisches Riskio mit viel heisser Luft zu einem riesigen Problem aufgebauscht wird.

     

    Also, wieviele Autos gibt es denn, die ein solches System bereits installiert haben.? Wir bewegen uns da sicherlich nicht mal im ppm-Bereich. Und da sollen die Leser dann sofort heulend in die Keller laufen?

     

    Über ein wesentliches Hindernis wird dann mal ganz flockig hinweggegangen:

    "Dabei genügte es, die spezielle Rufnummer zu kennen, unter der das Fahrzeug auf Befehle des Diensteanbieters wartete". Tja, wer kennt sie denn nicht, diese speziellen Rufnummern?

     

    Wer sind Don Bailey und Mat Solnik? Und wer ist iSEC Partners und welche Rolle spielen die in dieser Geschichte? Das wird dem Leser nicht mitgeteilt, der Bezug ist durch das Kürzen des Artikels verlorengegangen. Die sinnlose Nennung von Namen ist aber ein eindeutiges Indiz dafür, daß das Original der Geschichte in den USA veröffentlicht wurde. Übersetzungen können dann so ihre Probleme mit sich bringen, wenn man die Fachwörter nicht kennt.

     

    Um das Schreckenslevel hoch zu halten werden dann passende Bilder an die Wand gemalt:

    "Selbst eine Abfrage der GPS-Position soll so POTENZIELL möglich gewesen sein". Ja wunderbar, ein Lottospieler hat auch bei einer rechnerischen Gewinnchance von 1:50.000.000 potenziell die Möglichkeit sofort einen Treffer zu landen.

     

    "Elektronische Manipulationen könnten schlimmstenfalls zu Unfällen führen". Tja, mit viel Phantasie können solche Manipulationen auch zu einem Atombobenabwurf auf die Rudi-Dutschke-Straße 23 führen. In Gedanken ist alles machbar. Die Frage ist doch, mit welcher Wahrscheinlichkeit.

     

    "Die großen US-Autohersteller kennen bislang keinen Fall, in dem es zu Angriffen gekommen wäre", steht da zu lesen. Zudem: "Allerdings sind das zunächst Horrorszenarien – Angreifer müssten sich vermutlich auf ein einzelnes Fahrzeugmodell konzentrieren, um es derart umfänglich zu knacken".

    Oh, ein Hauch von Selbsterkenntnis? Tja, da könnte man doch meinen, daß damit die Geschichte da ist, wo sie hingehört: Nett zu lesen, aber ohne Relevanz für das tägliche Leben.

     

    Aber nein, der Autor hebt nochmals an, denn offensichtlich es ist ja sein Bestreben, sich als Großer Schwarzseher einen Namen zu machen:"Klar ist aber auch, dass so etwas nicht lange Science-Fiction bleiben dürfte", nölt er da nochmals.

     

    Mein lieber Schwan, muß man so schreiben? Muß man sich bei Yahoo News bedienen? Nee.

  • AE
    Autos endlich verbieten

    Der Virus bist Du selber, scheiss Ferrari. Genau wie Musik, Blubbervibratoren und Navis ist das verdammte Blinken ein gefährlicher Eingriff in den Strassenverkehr. Wer blinkt, soll dann gefälligst auch fahren und nicht weil er zu faul ist einen Schlüssel normal zu benutzen, verwirren.

  • SM
    Stephan Mirwalt

    Der deutsche Spießer braucht ja nicht mit dem Auto zu fahren.

     

    Ich fahre auch nur mit dem Fahrrad und empfinde gegenüber den Autofahrern nichts als Verachtung.

meistkommentiert

1

Machtkämpfe in Seoul

Südkoreas Präsident ruft Kriegsrecht aus

2

Nikotinbeutel Snus

Wie ein Pflaster – aber mit Style

3

Christian Lindner

Die libertären Posterboys

4

Israel, Nan Goldin und die Linke

Politische Spiritualität?

5

Olaf Scholz’ erfolglose Ukrainepolitik

Friedenskanzler? Wäre schön gewesen!

6

Comeback der K-Gruppen

Ein Heilsversprechen für junge Kader