Es wäre mal ein Lichtblick gewesen für die von Abgastrickserei und Grenzwertdiskussionen geplagte Autobranche. Dank laufend verbesserter Technik sei es der Autoindustrie gelungen „die Zahl der Diebstähle seit 1999 um 87 zu reduzieren”, lobte Matthias Wissmann – einst Bundesverkehrsminister und jetzt als Präsident des Verbands der Autoindustrie (VDA) oberster Autolobbyist des Landes – im Januar noch seine Branche.
Doch lange, so scheint es, dürfte sich der Verband an diesem Erfolg nicht mehr erfreuen können. Grund sind brisante Testergebnisse des ADAC, die der Automobilclub vergangene Woche veröffentlicht hat. Danach haben eine Vielzahl von Modellen in- und ausländischen Autohersteller eine haarsträubende Sicherheitslücke bei berührungslosen Schlüsselsystemen.
Die Keyless-Technik macht es Dieben geradezu sträflich leicht, Autos ohne Einsatz von Gewalt und völlig spurlos innerhalb von Sekunden zu öffnen, sie zu starten und damit zu verschwinden. Eine Übersicht der vom ADAC getesteten und für solche Attacken anfälligen Fahrzeuge und Hersteller, die der WirtschaftsWoche vorliegt, liest sich wie das Who-is-Who der internationalen Autobranche. Sie umfasst Kleinwagen, SUVs und Luxuskarossen, und sie reicht vom aktuellen Audi A3 über BMWs Siebener, Fords Eco-Sport und den Lexus RX 450h bis zu den jüngsten Baureihen von VWs Volumenmodellen Golf und Touran.
„Jeder von uns seit Anfang 2016 untersuchte Wagen mit Keyless-Technik hat diese Schwachstelle“, sagt Arnulf Thiemel, Experte für Automobilelektronik vom ADAC-Technikzentrum in Landsberg am Lech. „Nach unseren Schätzungen sind Hunderttausende Fahrzeuge betroffen.“ Alles, was es brauche, um die Wagen zu öffnen und zu starten, sei handelsübliche Funktechnik und das technische Verständnis eines Elektronik-Azubis oder aus dem Elektrotechnik-Grundstudium.
Fluch der Bequemlichkeit
Die Sicherheitslücke steckt in einem Extra, das die Autohersteller mittlerweile in fast allen Fahrzeugklassen und in der Regel gegen gut dreistellige Aufpreise anbieten: Sogenannte Keyless-Schließsysteme, kleine meist streichholzschachtelgroße Funkmodule, die es Autobesitzern ermöglichen ihre Fahrzeuge zu öffnen und zu starten, sofern sie die Sender nur nah genug ans, beziehungsweise ins Auto bringen.
Wie IT-Experten einen BMW geknackt haben
Wenn der Besitzer in der BMW-Remote-App die Türentriegelung veranlasst, erhält das Fahrzeug eine SMS vom BMW-Backend. Es holt daraufhin den Öffnungsbefehl von einem Server und führt in aus – während der Hacker mitliest.
Der Besitzer gibt der App den Befehl "Entriegle Tür". Die Daten werden per Mobilfunk übertragen und können von einem Hacker mitgelesen werden.
Die BMW-Server senden per SMS die Anweisung "Hole Befehl" an das Auto. Dort fährt das Modem im Steuergerät hoch.
Über die gesicherte Datenverbindung zum BMW-Backend fragt das Auto bei den BMW-Server nach, ob ein Remote-Service-Befehl vorhanden ist.
Daraufhin gibt das BMW-Backend dem Auto die Anweisung "Entriegle Tür" – und das Auto wird aufgeschlossen.
Ein Hacker kann mit einer tragbaren Mobilfunk-Basisstation ohne Zutun des Besitzers gefälschte SMS und Daten an das Fahrzeug senden, um die Tür zu entriegeln. Dazu muss er mit seinem Vorwissen die Schritte 2 bis 4 durchführen. Der Besitzer bekommt von den Vorgängen nichts mit – bis auf die Tatsache, dass sein Auto ausgräumt oder komplett gestohlen wurde.
Den Schlüssel ins Tür- oder Zündschloss zu stecken, ist nicht mehr nötig. Weil die Funkverbindung zwischen Sender und Fahrzeug ein bis zwei Meter weit reicht, genügt es, ihn in der Tasche zu haben. Das Auto öffnet sich, sobald der Besitzer nah genug herantritt und an den Türgriff packt. Der Fahrer seigt ein, startet per Knopfdruck den Motor und fährt los — ohne den Schlüssel je aus der Tasche zu holen. Umgekehrt verriegelt das System den Wagen, sobald der Fahrer – und in seiner Tasche der Sender – sich weiter als ein paar Schritte vom Auto entfernen.
So weit, so gut. Oder eher: So weit, so schlecht.
Problematisch wird der Komfort, wenn Hacker die Funkverbindung zwischen Sicherheitsmodul und Auto mit eigener Sendetechnik verlängern. Das ist möglich, obwohl die Sendeleistung des Sicherheitsmoduls im Fahrzeug, das den Wagen entsperrt und den Startknopf am Armaturenbrett aktiviert, nach ADAC-Messungen nur kurz bis vors Auto reicht. Dafür funkt der Schlüssel umso weiter. Die ADAC-Tester haben nach eigenen Angaben aus mehr als zehn Metern Distanz noch verwertbare Signale empfangen. Das reiche locker, um sich als Dieb mit einem eigenen Empfänger vor die Haustür zu stellen, die Codes zu empfangen und an ein eigenes Sendemodul zum Fahrzeug zu übertragen.
Besonders perfide: Indem die Diebe den Austausch der Sicherheitscodes zwischen Schlüssel und Auto über die ihre Funkbrücke einfach weiter leiten, müssen sie nicht einmal den – üblicherweise verschlüsselten – Entsperrbefehl fürs Auto selbst knacken. Denn Schlüssel und Auto glauben ja, direkt miteinander zu kommunizieren.
Keine Chance für Hacker
Das Fahrzeug öffnet sich dann wie von Zauberhand, wenn etwa der Schlüssel auf der Garderobe neben der heimischen Haustür liegt und der Wagen auf der Straße davor parkt. „Die Hersteller scheinen kurzfristig keine technische Lösung zu haben, mit der sie die Lücke schließen könnten“, klagt ADAC-Mann Thiemel.
Leichter, so scheint es jedenfalls, ließen sich Fahrzeuge noch nie ohne Schlüssel entführen. Weshalb das Verfahren in einschlägigen Kreisen offenbar immer häufiger zum Einsatz kommt. Polizeibehörden aus Hessen und Rheinland-Pfalz jedenfalls berichteten im zweiten Halbjahr 2015 mehrfach von Diebstählen, bei denen „die Autoknacker offenbar neue Entsperrverfahren auf Basis von Funktechnik nutzten“. Vergangene Woche erst dokumentierte das ZDF-Magazin „WiSo“ den Diebstahl eines BMW durch Übertragung der Keyless-Signale, den die Überwachungskamera des Fahrzeugbesitzers aufgezeichnet hatte.
Keyless-Diebstahl hinterlässt keine Spuren
Brecheisen, Dietrich, Schraubenzieher – was immer sonst bisher um Einsatz kam, um fremde Fahrzeuge zu entwenden, ist inzwischen jedenfalls überflüssig. Das Problem für Diebstahlsopfer: Weil das Auto – sofern es noch einmal auftaucht – keinerlei Aufbruchsspuren aufweist, könnten die Versicherer versuchten Versicherungsbetrug unterstellen, oder zumindest fahrlässigen Umgang mit den Autoschlüsseln – und die Leistung verweigern.
Besser gesicherte Funkmodule, die etwa erkennen, wie lange ein Signal unterwegs ist und daraus ableiten, ob sich jemand Unbefugtes in die Verbindung gehackt hat, werden wohl frühestens 2017 marktreif, heißt es in der Branche.
Dabei ist die Erkenntnis, dass sich Keyless-Schließssysteme mithilfe von Funktechnik übertölpeln lassen, alles andere als neu. Schon im Januar 2011 hatte eine Forschergruppe der Eidgenössischen Technischen Hochschule in Zürich in einer umfangreichen Analyse detailliert beschrieben, dass und wie das funktionieren kann. Nur die Entwicklungsabteilungen der Autohersteller scheint diese Erkenntnis anschließend nicht erreicht zu haben.
Auf die Problematik angesprochen, reagiert der VDA mit Standardformulierungen. Der Rückgang der Diebstahlzahlen zeige, dass „die Maßnahmen der Automobilhersteller zur Verbesserung des Diebstahlschutzes sehr wirksam waren und sind“. Die Frage, ob Keyless-Systeme aus Sicht der Industrie angesichts der dokumentierten Fälle genauso sicher seien, wie herkömmliche Zünd- und Türschlüssel, beantwortet der VDA gar nicht erst. Wieso die Hersteller fünf Jahre lang keine Konsequenzen aus den Zürcher Erkenntnissen gezogen haben, auch darauf gibt es keine Antwort vom VDA. Statt dessen der Hinweis, dass das organisierte Verbrechen die Sicherheitsmechanismen, „durch den Einsatz von Spezialtechnologie und mit hoher krimineller Energie zu überwinden“ versuche.
Blechdose kann gegen Hightech-Diebstahl helfen
Spezialtechnologie? Für den Technikexperte Thiemel sind das nur Ausflüchte. Die ADAC-Tester hätten ihre Funkbrücke mit paar Standardbausteinen aus dem Elektronikhandel selbst gebaut. Kostenpunkt ein paar Hundert Euro, erzählt er. „Von Spezialtechnik keine Spur.“
Bleibt den Besitzern von Autos mit Keyless-Systemen also vorerst nur, sich selbst zu schützen. Einfach die Batterie aus dem Schlüsselmodul zu nehmen, ist jedenfalls keine Lösung, denn dann bleibt der Wagen auch Ihnen verschlossen, beziehungsweise springt gar nicht erst an.
Als Ausweg empfiehlt sich ein technischer Kniff, den auch Geschäftsleute nutzen, um zu verhindern, dass Hacker unbemerkt die Mikrofone ihrer Mobiltelefone aktivieren und so beispielsweise vertrauliche Verhandlungen mithören: Solange verhandelt wird oder der Wagen vor der Türe parkt, lagern Handy oder Funkschlüssel in einer Blechdose mit Deckel.
Im Fall der Keyless-Systeme aber ist auch das nur dann leidlich verlässlich, sofern die Blechbox absolut strahlungsdicht ist. Technikexperten empfehlen daher den Selbsttest: Nur dann, wenn der Wagen sich nicht einmal dann öffnet, wenn der Fahrer die verschlossene Dose samt Schlüssel darin direkt nebens Auto hält, haben auch die Hacker keine Chance.