Hacken von Autos

Der IT-Sicherheitsexperte Marko Wolf über mögliche Folgen, wenn Autos mehr und mehr auf Software basieren und mit der Außenwelt vernetzt sind

Elektronische Stabilitätsprogramme (ESP), Drive-by-Wire, Chip-Tuning – das Auto wird zu einem fahrenden Computer mit diversen Schnittstellen zur Außenwelt. Bisher sind es vor allem die Besitzer selbst, die die elektronischen Systeme ihres Autos manipulieren. Aber das könnte sich ändern: „Die Entwickler von Auto-IT-Systemen ziehen kaum böswillige Angreifer in Betracht“, sagt Marko Wolf, ein IT-Security-Experte bei escrypt - Embedded Security GmbH, der gerade ein Buch zum Thema veröffentlicht hat. Wie einfach der informationstechnische Eingriff in den Straßenverkehr sein kann, zeigte sich Anfang des Jahres in Texas, als ein elektronisches Verkehrsschild statt vor einer Baustelle zu warnen „Caution: Zombies ahead!“ anzeigte.

Wie real ist die Bedrohung, von der Sie sprechen? Kommt es bereits zu Angriffen auf die IT von Autos?
Marko Wolf: Es kommt auf den Bereich an, über den wir sprechen. Manche Autobesitzer spielen Software, die in der Regel vom Hersteller nicht frei gegeben ist, auf die Steuergeräte ihres Wagens. Was bereits massenhaft gemacht wird, ist Chip-Tuning, wodurch andere Parameter eingestellt werden, um mehr PS zu bekommen und etwa die Abgasreinigung zu deaktivieren, weil die eben Leistung kostet. Wenn das schief geht, spielen viele dieser Nutzer die ursprüngliche Version wieder auf und sagen zum Hersteller: „Mein Motor ist schon nach 40.000 Kilometern kaputt gegangen, das ist ein Garantiefall!“ Ziemlich oft wird der Kilometerstand manipuliert, entweder nach unten, um den Wagen dann teurer verkaufen zu können, oder nach oben, um die Steuer zu betrügen.
Heute ist Fahrzeugtuning einfacher als früher. Die Abgasanlage oder die Steuereinheit des Motors sind ja tief verbaut, da kommt man nicht so einfach ran. Statt mechanisch einzugreifen wie früher, muss man nur die Software verändern. Das geht bei jedem beliebigen Fahrzeug, nach einer Viertelstunde Internetrecherche finden Sie jemanden, der das für Sie macht, und wenn Sie es selbst machen wollen, brauchen Sie nur einen Rechner, der Zugriff auf den CAN-Bus erlaubt.
Wie bitte?
Marko Wolf: Die Steuergeräte im Auto sind über das Control Area Network verbunden. Es reicht, ein Laptop anzuschließen, um alle Steuergeräte zu erreichen, sofern die über den Bus miteinander verbunden sind. In der Regel geht das sogar ganz offiziell über den Diagnosezugang, über den man gespeicherte Daten auslesen kann. Denn die Nachrichten zwischen den Steuergeräten sind völlig ungesichert, und die Steuergeräte können nicht überprüfen, ob eine Nachricht vom offiziellen Diagnosegerät des Fahrzeugherstellers oder eben von Ihrem Laptop kommt.
Aber solche Manipulationen nehmen die Fahrzeugbesitzer selbst vor – wie verbreitet sind Eingriffe von Fremden?
Marko Wolf: Es kommt bereits zu Angriffen auf die Wegfahrsperren, sprich die Funkschlüssel, um das Fahrzeug zu stehlen. Das ist heute begrenzt möglich, auch wenn die Autohersteller aus naheliegenden Gründen sich bedeckt halten, wie verbreitet so etwas ist. In der Forschung jedenfalls wurde bereits gezeigt, dass bestehende Funkschlüsselsysteme geknackt werden können. Dann sind Angriffe aus dem Nahbereich vorstellbar. Viele Modelle haben mittlerweile Bluetooth–Schnittstellen, um die Mobiltelefone ins Fahrzeugnetzwerk zu integrieren, zum Beispiel um die Freisprechfunktion zu nutzen. Da gibt es bekanntlich viele Sicherheitslücken, und es wäre möglich, auf diesem Weg in die Elektronik des Fahrzeugs zu kommen.
Noch gibt es in der Regel eine physikalische Barriere; die Multimedia-Einheit, an die das Handy angeschlossen wird, ist nicht mit der ABS-Steuerung verkoppelt – noch nicht, denn der Trend geht zur Vernetzung der verschiedenen Anwendungen. Ein Beispiel: Bisher bekommen Anti-Blockier-Systeme (ABS) die Signale vom Rad und dem Bremspedal und bremsen. Moderne Funktionen wie ein Elektronisches Stabilitätsprogramm (ESP), das Schleudern verhindern soll, brauchen dagegen Signale von vielen Steuergeräten, vom Lenkrad, von allen vier Radsensoren, von Beschleunigungssensoren und von der Motorsteuerung. Viele dieser Signale empfangen aber auch moderne Multimedia-Einheiten, um beispielsweise die momentane Geschwindigkeit anzuzeigen oder die Fahrrichtung im Navigationsprogramm zu verwenden. Wenn so immer mehr Steuergeräte miteinander verbunden werden, fällt die physikalische Trennung weg und das System wird verwundbar.
Ganz zu schweigen von der Kommunikation zwischen verschiedenen Fahrzeugen ...
Marko Wolf: Sie können sich Fahrzeug-zu-Fahrzeug-Kommunikation vorstellen wie ein WLAN fürs Auto. Unterschiedliche Fahrzeuge tauschen untereinander digitale Funknachrichten aus, das funktioniert über eine Distanz von etwa einem Kilometer. Der Standard wird gerade überarbeitet, damit er auch bei hohen Geschwindigkeiten funktioniert. Damit kann man zum Beispiel Warnungen vor einem Stauende oder bei einer Vollbremsung in einer Kurve übertragen.
Das ist der Anfang, es geht bis zu Systemen, die in solchen Fällen eingreifen können, die Motorleistung senken, bremsen und so weiter. Solche Autos können nicht nur mit anderen Autos kommunizieren, sondern auch mit der Infrastruktur. In einem – zugeben noch ziemlich weit entfernten – Zukunftsszenario ist vorstellbar, dass eine rote Ampel ein Signal schickt und das Fahrzeug nicht einfach so weiterfahren lässt.
Aber das ist doch völlig lebensfern und unter Umständen sogar gefährlich – wie oft ist es nötig, über eine rote Ampel zu fahren!
So weit gehen die Pläne auch nicht, schon aus rechtlichen Gründen. Bisher ist nicht klar, wer haftbar wäre, wenn es wegen eines Fehlers zu einem Unfall käme. Bisherige Anwendungen greifen nicht in die Fahrzeugsteuerung ein, aber die Warnsysteme bieten bereits eine Angriffsfläche: Jemand könnte sich mit seinem Laptop an den Straßenrand stellen und Falschnachrichten übermitteln, sofern das IT-System nicht geschützt ist. Das beste Beispiel ist das Radio Data System (RDS), mit dem Radiosender zusätzliche Informationen übermitteln, die dann im Display angezeigt werden. Zu RDS gehört ein Set von Warnnachrichten wie „Stau“ oder „Sperrung“, und die sind komplett unverschlüsselt! Es wurde bereits gezeigt, dass es möglich ist, mit einem kleinen Radiosender beliebige Warnmeldungen zu verschicken. Auch manche Navigationssysteme nutzen die RDS-Warnungen.
Wie sieht es bei den Autos der Zukunft aus mit drive-by-wire?
Marko Wolf: Davon ist schon seit fünfzehn, zwanzig Jahren die Rede. Dass die Fernlenkung bisher nicht kommt, liegt eher an rechtlichen Bedenken und der Anfälligkeit gegenüber zufälligen Fehlern, nicht an der Verwundbarkeit durch Hackerangriffe. Die Technik funktioniert eigentlich, wie man an der Flugzeugindustrie sieht. Das Problem bei Autos ist der Preisdruck; eine ähnliche Ausfallsicherheit wie bei Flugzeugen ist im Moment einfach noch zu teuer. Außerdem ist Straßenverkehr komplexer als der Luftverkehr. Aber auch hier sind IT-Sicherheitsmaßnahmen zwingend notwendig, damit nicht auf einmal ein Programm aus der Multimedia-Einheit ohne Erlaubnis Brems- oder Lenksignale sendet.
Wie reagiert die Autoindustrie auf die IT-Sicherheitslücken?
Marko Wolf: Früher waren Autos isolierte, rein elektromechanische Systeme und ein IT-Security-Konzept eben einfach nicht nötig. Autos von heute basieren inzwischen vor allem auf Software und sind zudem mit Außenwelt vernetzt. Seit fünf, sechs Jahren verbreitet sich daher langsam das Bewusstsein, dass IT-Sicherheit wichtig ist. Es geht beim Thema „Autos und IT“ ja nicht nur um Hackerangriffe, sondern auch darum, sich vor Fälschern oder spionierenden Konkurrenten zu schützen. Andere Anwendungen sind dazu da, sich rechtlich gegenüber den Käufern abzusichern, also Unfalldatenspeicher, digitale Fahrtenspeicher und so weiter. Deshalb haben zumindest die Autohersteller im Premiumbereich eigene Abteilungen, die sich mit IT-Security beschäftigen. Die Umsetzung ist allerdings noch ganz am Anfang.
Sie warnen in Ihrem Buch auch vor social hacking – was meinen Sie damit?
Marko Wolf: Ein sicherer Verschlüsselungsalgorithmus allein reicht nicht, man muss sich auch um die organisatorischen Prozesse kümmern. Wenn beispielsweise alle Mitarbeiter in einer Entwicklungsabteilung auf den Signaturschlüssel zugreifen und ihn auf ihrem USB-Stick mit nach Hause nehmen können, ist es nur eine Frage der Zeit, bis er im Internet auftaucht. Social hacking bezeichnet die ganz einfachen, aber wirksamen Angriffe: Jemand ruft an und fragt eben mal, oder geheime Informationen werden ausgedruckt und landen beim normalen Abfall. Die Sicherungskonzepte der Zukunft müssen den ganzen Lebenszyklus des Wagens umfassen, und dafür reichen technische Lösungen allein nicht aus.
Die Informationstechnik eines Autos zu manipulieren ist also möglich – aber warum sollte jemand so etwas überhaupt tun, wenn er davon keinen Vorteil hat?
Marko Wolf: Na ja, theoretisch möglich wäre ein terroristischer Anschlag. Wahrscheinlicher scheint mir, dass ein bestimmter Hersteller dem Produkt eines Konkurrenten eine schlechte Presse verschaffen will. Oder jemand greift in die Verkehrsleitsteuerung ein, weil ihn die Lastwagen nerven, die den ganzen Tag am eigenen Haus vorbeifahren. Letztlich will ich als Fahrer vor allem sicher sein, dass sich mein Auto stets so wie vorgesehen verhält und dort niemand - wie auch immer - willkürlich eingreifen kann.
Kommentare lesen (37 Beiträge)
Anzeige