Digital Life
02.08.2017

Auto-Hacks: "Es geht um Menschenleben"

Der jüngste Auto-Hack eines Tesla Model X zeigt, wie Hersteller mit Sicherheitslücken umgehen. Je mehr IT in Autos verbaut ist, desto anfälliger werden diese.

Einen Tesla Model X aus der Ferne übernehmen: Das haben chinesische Sicherheitsforscher der Firma Keen Security Lab getan, die das in einem spektakulären Video der ganzen Welt gezeigt haben. Sie konnten die Steuerung der Lichter übernehmen, so dass diese im Takt der Musik der verbauten Stereoanlage blinkten. Auch die ikonischen Flügeltüren des Fahrzeugs und der Kofferraum ließen sich per Smartphone kontrollieren und nach Belieben öffnen und schließen. Viel gefährlicher war es aber, dass die Hacker die Bremsen aus der Ferne betätigen konnten, während das Auto gefahren ist. Es war nicht der erste Tesla-Hack der Forscher.

Update am Touchscreen

Die Sicherheitsforscher des Keen Security Lab, das zur Mutterfirma Tencent gehört, haben die gefährlichen Sicherheitsschwachstellen bereits im Juni an den Autokonzern Tesla gemeldet. Tesla hat zwei Wochen später ein Software-Update bereit gestellt, mit dem die kritischen Lücken geschlossen wurden. Die Forscher empfehlen Tesla-Besitzern nachzusehen, ob ihr Fahrzeug mit der neuesten Software-Version 8.1 ausgestattet ist und es gegebenenfalls manuell upzudaten. Den Zeitpunkt des Updates kann man bei Tesla via Touchscreen selbst bestimmen.

Dieses Szenario hört sich ähnlich an wie das, was man bereits von Computern kennt. Ein Update behebt aktuelle Sicherheitsprobleme und schützt vor Angreifern. Das vernetzte Auto von heute ist auch nichts anderes mehr als ein großer Computer, in dem Menschen sitzen.

Rückruf bei Fiat Chrysler

Dass auch die Techniksysteme von Autos manipulierbar sind, wurde im Sommer vor zwei Jahren zum ersten Mal erfolgreich von Sicherheitsforschern demonstriert. Charlie Miller und Chris Valasek haben damals gezeigt, wie sie einen Jeep Cherokee von Fiat Chrysler während der Fahrt übernommen haben. Sie haben dabei das Radio eingeschaltet sowie die Front-Scheibenwischer. Außerdem konnten sie ebenfalls die Bremsen aus der Ferne betätigen.

Der Autohersteller Chrysler hatte daraufhin 1,4 Millionen Wagen zurückgerufen. Denn das Update zum Schließen der Lücke konnte damals nur per USB-Stick eingespielt werden. Betroffen waren neben dem Jeep auch weitere Modelle der Marken Dodge und Ram aus den Jahren 2013 bis 2015.

„Damals ist man noch davon ausgegangen, dass Autos keine manipulierbaren Computer sind, sondern verlässlich handeln“, sagt Jaro Krieger-Lamina vom Institut für Technikfolgenabschätzung (ITA) gegenüber der futurezone. Das Institut hat in seinem Forschungsbericht zu dem Thema folgende Handlungsempfehlung herausgegeben: „Schon bei der Entwicklung muss größtmöglicher Wert auf die Sicherheit gelegt werden.“ „Es darf nicht sein, dass Sicherheit vernachlässigt wird und man am Schluss ein Auto hat, das jeder Halbbegabte im Vorbeifahren übernehmen kann. Hier geht es schließlich nicht um Spielzeugautos, sondern um Menschenleben“, ergänzt Krieger-Lamina.

Zusammenarbeit mit Hackern

Viele Autohersteller arbeiten deswegen mit Sicherheitsforschern zusammen. Diese suchen Schwachstellen in Fahrzeugen, die dann von den Herstellern geschlossen werden. Auch Tencent bietet solche Services an und hat laut Berichten schon öfters für Tesla gearbeitet. Die Forscher des Keen Security Lab betonen, dass Tesla keinesfalls der einzige Hersteller sei, dessen Autos manipuliert werden können.

Die Fiat-Chrysler-Hacker Charlie Miller und Chris Valasek wurden nach ihrer Jeep-Übernahme vom Fahrdienstvermittler Uber angeheuert. Jetzt sind beide bei der Sparte von General Motors gelandet, die selbstfahrende Autos entwickelt. Denn darin steckt noch mehr Technik als bisher. „Auto-Hersteller begreifen schön langsam, was auf sie zukommt“, erklärt Kevin Tigh von der Sicherheitsfirma Bugcrowd.

Viele Hersteller haben Probleme

Nicht alle Update-Probleme lassen sich auf die Art und Weise wie bei Tesla lösen. Ein alter Bug, der auch schon in iPhones Probleme bereitet hat, macht nun etwa manchen älteren Modellen von Nissan Leaf, Infiniti, Ford und BMW zu schaffen. Laut dem US-Cert kann die Sicherheitslücke, die von drei Forschern auf der DefCon vorgeführt wurde, von Angreifern aus der Ferne dazu ausgenutzt werden, um das Infotainment-System dieser Fahrzeuge zu deaktivieren.

Nissan und Infiniti haben an die Händler kommuniziert, dass sie ihren Kunden eine kostenlose 2G-TCU-Deaktivierung anbieten sollen. Ford hat bereits seit 2016 ein Kunden-Programm im Angebot, um 2G-Modems zu deaktivieren. Dazu müssen die Auto-Besitzer freilich jeweils zum Händler fahren. Selbst wenn das Problem nicht die kritische Fahrzeug-Elektronik betrifft, auch ein sich plötzlich von selbst aktivierendes Bild am Touchscreen könnte Autofahrer entsprechend ablenken, um einen Unfall zu verursachen. „Sicherheit ist etwas, wo Hersteller ruhig etwas mehr investieren sollten“, sagt Krieger-Lamina.