Mercedes hatte als einer der ersten Hersteller vor dem Start der aktuellen Generation der S-Klasse Ethical Hacker auf den Wagen losgelassen – ohne Erfolg für die Codeknacker.
Wie sicher die Luxusautos deutscher Hersteller sind, zeigt auch der Versuch von Valasek und Miller aus dem Vorjahr: Sie attestierten zum Beispiel dem Audi A8 eine vorbildliche IT-Sicherheit.
Für Martin Hunt ist bei dem Test eines neuen Modells nicht nur das Auto selbst, sondern auch dessen Umfeld interessant. „Alle Verbindungen des Autos nach außen sind potenziell verwundbar“, sagt der Experte. „Deshalb testen wir nicht nur das Auto auf die Sicherheit seiner IT-Systeme, sondern alles, was mit dem Auto in Kontakt kommt.“ Das kann das Smartphone des Fahrers sein, das über Bluetooth verbunden wird, ein USB-Stick mit Musik, aber auch der Laptop, mit dem der Mechaniker in der Werkstatt den Fehlerspeicher ausliest. Der Fehler steckt meist im Detail – im Falle des Jeeps war es das mit dem Internet verbundene Radio.
Eine mögliche Liste mit Daten aus dem Auto
Identifikationsdaten des Fahrzeugs und der Hardware – etwa Codierung in Prozessoren oder Chips, Softwarelizenzen, Computerzugänge für Updates oder Wartung.
Kommunikations- und Logdaten wie IP-Nummer oder Mobilfunknummer.
Das ist nicht nur das Einloggen in den Bordcomputer des Autos. Das Fahrzeug loggt sich in das Mobilfunknetz ein und greift auf die unterschiedlichsten Cloud- oder Rechenzentrumsanwendungen verschiedener Hersteller zu. Die Identifikation ist beispielsweise über Passwort, Kreditkarte, Augenscan oder Fingerabdruck möglich.
Der Bordcomputer sammelt diese Daten von den Sensoren oder Messgeräten im Fahrzeug. Sie geben den Leasingbanken oder den Werkstätten detailliert Auskunft über Zustand, Wartung und Wert des jeweiligen Fahrzeugs.
Das sind beispielsweise Bewegungsdaten, die über GPS und Kartendienste gesammelt werden. Der Weg eines Fahrzeugs führt über Berge oder durch die Stadt. Die Anwendungen in den Rechenzentren kalkulieren besondere Risiken durch Abnutzung, Diebstahl, Steinschlag ...
Wo ist die Person momentan unterwegs, wie ist der Fahrstil? Ergänzung und Update des Datenbestandes mit den Daten der aktuellen Fahrt.
Das Mobiltelefon ist als Schnittstelle an den Bordcomputer angeschlossen. Es liefert Logdateien an den Mobilfunkanbieter, Verbindungsdaten und Daten für die Datenübertragung und Telefongespräche. Die Datensätze zeigen Dauer und Umfang des Downloads, Gesprächsdauer und Ort des Gespräches.
Die Anwendungen sammeln Daten über den Zustand der Leasingflotte, den Wert jedes einzelnen Fahrzeugs, dessen Abnutzung, und berechnen einen Blick in die Zukunft. Wie sehr wird das Fahrzeug vom derzeitigen Halter beansprucht und wie hoch ist der Wertverfall bis zum Ablauf des Leasingvertrages?
Gleichgültig ob der Fahrer chattet, telefoniert, Bilder postet oder Geschäftskontakte recherchiert, die sozialen Netzwerke halten den Kontakt und schicken Bilder, Werbung und Text direkt ins Auto.
Das Fahrzeug überträgt ständig Positionsdaten und erhält Daten beispielsweise über die anderen Fahrzeuge auf einer Straße zurück.
Die Anbieter von Unternehmenssoftware haben ihre Anwendungen für mobile Geräte erweitert. Autofahrer können über ihre Bordcomputer oder Smartphones auf Dokumente, Datensätze, Mails, Chats und Listen zugreifen und sie in das Fahrzeug übertragen.
Entlang der gefahrenen Strecke erhält der Mobildienstleister die Verbindungsdaten mit dem Mobilfunknetz.
Beim Laden identifizieren sich die Elektrofahrzeuge gegenüber dem ausgewählten Stromlieferanten für die Abrechnung – beispielsweise über die Telefonrechnung oder die Kreditkarte.
Ein kleiner Datensatz, der die Rettungskräfte über einen Unfall sofort informiert (ab 2015 wohl Pflicht in Neuwagen). Der Datensatz ist bei Autoherstellern und Versicherungen sehr begehrt. Derjenige, der den Datensatz als Erster bekommt, bestimmt das Geschäft mit Reparatur, Werkstätten und Unfallwagen.
Wäre Andy Greenberg mit dem gehackten Wagen nicht durch St. Louis, sondern etwa durch Frankfurt gefahren und hätte deshalb einen Unfall verursacht, wäre zumindest rechtlich unklar gewesen, ob er verantwortlich wäre oder nicht. „Grundsätzlich gilt in Deutschland die Halterhaftung – außer bei höherer Gewalt. In welchen Fällen Unfallschäden aufgrund von unvorhersehbaren Cyber-Angriffen hierunter fallen, wird von der Rechtsprechung noch zu klären sein“, sagt Appt. „Hat der Hersteller dem Risiko solcher Angriffe nicht ausreichend Rechnung getragen, so droht ihm der Regress des Halters, parallel zu etwaigen Ansprüchen aus dem Produkthaftungsrecht.“
Rechtliche Fragen unklar
Nach dem Grundsatz der Produkthaftung müssen die Hersteller ihr Produkt so bauen, das nichts passieren kann. „Dazu zählt auch, dass sie die Produkte nach Inverkehrbringen im laufenden Betrieb beobachten werden müssen“, sagt Anwalt Appt. „Hier kommen die Hersteller künftig möglicherweise in eine Zwickmühle: Sind sie in Zeiten von Big Data produkthaftungsrechtlich sogar verpflichtet, permanent Daten zu erheben um potentielle Gefährdungen durch Mängel festzustellen? Inwiefern das gegebenenfalls der datenschutzrechtlichen Vorgabe der Datensparsamkeit widerspricht oder durch eine gesetzliche Erlaubnis gerechtfertigt werden kann ist eine Diskussion, die gerade erst begonnen hat.“
Wer am Ende haftet, ist den meisten Hackern egal – es sei denn, sie arbeiten wie Hunt, Valasek oder Miller mit der Industrie zusammen. Für manche Hacker ist das Codeknacken eine Art Sport, mit dem sie sich in der Szene einen Namen machen wollen. Frei nach dem Motto: Seht her, ich habe es geschafft.
IT-Experte Hunt bereitet aber eine andere Gruppe noch größere Sorgen: „Für die meisten ist der Diebstahl die Hauptmotivation. Ein drahtloser Einbruch über eine Sicherheitslücke ist sehr unauffällig und hinterlässt kaum Spuren.“