Auto-Hacking in Österreich derzeit nicht strafbar
„Autos werden hackbar – und zwar alle, weil immer mehr Computerelemente eingebaut werden“, sagt Lukas Feiler, Experte der Kanzlei Baker & McKenzie für IT-Recht. Diesen Sommer haben zahlreiche Sicherheitsforscher eindrucksvoll bewiesen, was künftig auf Autobesitzer zukommen könnte: Die Übernahme ihrer Fahrzeuge durch Dritte. Der schlagzeilenträchtigste Hack war wohl die Übernahme des Jeep Cherokee. Die beiden Forscher konnten aus der Ferne nicht nur Klimaanlage, Radio oder Scheibenwischer steuern, sondern in die Steuerung des Fahrzeugs eingreifen und etwa das Gaspedal deaktivieren.
Spektakuläre Hacks
Charlie Miller und Chris Valasek wurden daraufhin vom Fahrdienst-Vermittler Uber angeheuert. Miller arbeitete bisher bei Twitter und Valasek bei der IT-Sicherheitsfirma IOActive. Der Jeep-Hersteller Fiat Chrysler musste in Folge die Software in rund 1,4 Millionen Autos erneuern. Es war die erste Rückrufaktion in der Autoindustrie aufgrund der Gefahr eines Cyberangriffs.
Anderen Forschern ist es wiederum gelungen, Bremsen eines Corvette-Sportwagens von einem Smartphone aus abzuschalten. Genutzt haben sie dafür die Schwachstelle eines Telematik-Geräts, die dafür eingesetzt werden, um Versicherungstarife an die Fahrweise anzupassen. Auch bei Teslas Elektroauto Modell S wurden einige kritische Sicherheitslücken entdeckt, durch die es möglich war, das Auto zum Halten zu bringen und zu entriegeln.
Was ist strafbar in Österreich?
Autos durch Hacks aus der Ferne zum Stillstand bringen oder das Radio, oder gar die Bremsen während der Fahrt zu manipulieren, ist laut dem IT-Rechtsexperten Lukas Feiler in Österreich derzeit nicht strafbar – sofern dadurch kein Unfall verursacht wird. „Der österreichische Gesetzgeber hat sich dafür entschieden, Hacking nur dann unter Strafe zu stellen, wenn es in der Absicht passiert, sich von Daten, die im System gespeichert sind, Kenntnis zu schaffen. Also Hacken mit Spionageabsicht. Wer ohne Spionageabsicht hackt, handelt grundsätzlich straflos. Erst wenn man den Zugang zum gehackten Auto bekommen hat, diesen missbraucht und auch Schäden anrichtet, dann tritt eine Strafbarkeit ein“, erklärt Lukas Feiler.
Auch, wenn man ein Auto aus der Ferne zum Stillstand bringt, kann man derzeit nicht dafür bestraft werden. „In dem Moment, in dem ich mich hinters Steuer setze und ein Auto, ohne dazu berechtigt zu sein, lenke, nehme ich ein Auto unbefugt in Betrieb und das ist strafbar. Wenn sich das Auto bereits in Bewegung befindet und es durch einen Hack zum Stillstand gebracht wird, wird sich trefflich darüber streiten lassen, ob das eine Inbetriebnahme ist“, sagt Feiler.
Anklage wegen Mordes möglich
„Wer sich in ein Auto hackt, das gerade auf der Autobahn fährt und es dazu bringt, einen Unfall zu verursachen, ist strafrechtlich wegen vorsätzlicher Körperverletzung oder Mord verantwortlich. Das Minimum: Sachbeschädigung. Wenn ich mich in das Auto hineinhacke, um die Stereoanlage auf volle Lautstärke stelle, oder um den Fahrer zu irritieren, ist das derzeit nicht strafbar“, führt Feiler aus. Für den Rechtsexperten ist dies eine Gesetzeslücke. „Man sollte darüber nachdenken, Hacking von der Spionage zu entkoppeln“, so der Experte.
Unter Computerkriminellen sei es die gängige Praxis, tausende Systeme zu hacken, Botnets zu bilden und diese dann zu verwenden, um Spam zu versenden. „Das ist nach geltendem Recht straflos. Auch das Vermieten von Botnets an den Meistbietenden ist straflos“, sagt Feiler. „Das Strafrecht kommt noch aus einer Welt, in der Computer nur dazu verwendet werden, um Informationen zu speichern, und nicht, um Maschinen zu steuern.“ Dass die Kontrolle von Dingen, in die Computer integriert sind, nicht strafbar sei, könne Feiler nicht nachvollziehen.
„Gerade wenn wir an den Bereich kritische Infrastruktur denken, da wird auch alles durch Computer gesteuert. Man muss sicherstellen, dass das Hacken derartiger Systeme, die mit dem Wohlergehen der Menschen zusammenhängen, nicht von der Rechtsordnung gebilligt werden“, so Feiler. Die Novelle des Stragesetzes hat auf diese Szenarien auf jeden Fall noch keine Auswirkungen.
Heikle Bereiche abgrenzen
Doch ist es nicht generell besser, bei Fahrzeugen die kritischen Bereiche strikt vom Rest, wie etwa der Unterhaltungselektronik an Bord abzugrenzen? Diverse Fachleute mahnen gerade diese Abgrenzung nach dem jüngsten Auto-Hacks massiv ein. In den USA wurde dazu bereits ein Gesetzesvorschlag eingebracht, der Autohersteller dazu verpflichten soll, kritische Systeme zur Fahrzeugsteuerung vom Rest zu trennen.
„Für alle kritischen Geräte in der Welt des Internet of Things wäre es sehr wünschenswert, wenn die systemkritischen Funktionalitäten mit den Zusatzfunktionen nicht verbunden wären und eine logische Firewall implementiert wird“, sagt Feiler. „Das würde die Sicherheit für Autofahrer enorm erhöhen, weil es viel leichter wird, das Restsystem, das zur Steuerung eingesetzt wird, abzusichern“, so Feiler, der den Gesetzesvorschlag in den USA begrüßt. „Das ist wieder so ein Fall, wo die Vereinigten Staaten eine gewisse Vordenker-Rolle übernommen haben. In der EU müsste man das auf gesamteuropäischer Ebene ebenfalls thematisieren“, so Feiler.
Warnung vor Überregulierung
„Umso simpler die Software gehalten wird, die systemnotwendig ist, umso leichter ist es, sie abzusichern. Mit dem selben Investment an Sicherheit kann ich ein höheres Sicherheitsniveau erreichen, wenn ich diese Trennung einhalte“, erklärt Feiler die Vorteile einer solchen Systemtrennung. Von allzu viel Regulierung hält Feiler aber nichts. „Wir sind in einem Innovationsbereich, der noch sehr am Anfang steht und wo es am Weltmarkt viel Konkurrenz gibt. Daher darf es nur Regelungen mit Maß und Ziel geben, ansonsten profitieren am Ende Autohersteller aus weniger regulierten Märkten davon“, sagt Feiler.