WiWo App 1 Monat für nur 0,99 €
Anzeigen

Datensicherheit im Auto Wenn das Auto ferngesteuert wird

Das vernetzte Auto soll das Fahren theoretisch sicherer und entspannter machen. Praktisch ist die aufwendige Technik für Hacker das reinste Paradies. Die Hersteller tüfteln an Lösungen - häufig vergeblich.

  • Artikel teilen per:
  • Artikel teilen per:
Was die neuen Cockpits können
Tesla Der Elektroautobauer Tesla hat schon bei seinen ersten Fahrzeugen großen Wert auf das Infotainment gelegt - also die gute Bedienbarkeit von Musik-Diensten, Navigationsgerät, Kommunikation und Serviceinformationen zum Fahrzeug. Nun ist dem Unternehmen in den USA ein neuer Coup gelungen. In Kooperation mit dem Mobilfunkanbieter AT&T sollen die Elektroautos mit einem Zugang zum Highspeed-Internet ausgestattet werden. Damit wäre nicht nur ruckelfreies Webradio und Surfen im Internet möglich. Auch Verkehrsinformationen für das Navigationssystem ließen sich in Echtzeit abrufen. Und bliebe der Wagen stehen, könnte eine Service-Hotline per Netz eine Ferndiagnose des Motors durchführen. Quelle: REUTERS
Kia UvoDas Infotainmentsystem von Kia lässt sich per Sprachsteuerung und Touch steuern. Die erste Variante des Systems entwickelten die Koreaner gemeinsam mit Microsoft. Die aktuelle Version setzt auch auf mobile Dienste und baut auf Googles Betriebssystem Android auf. Dadurch kann das System zum Beispiel auf die Karten und Informationen der Plattformen Google-Maps und Google-Places zugreifen. Steuern lässt es sich sich zusätzlich über Android- und Apple-Smartphones. Quelle: Presse
Audi TabletWie sehr die Welt der mobilen Rechner in die der Automobilbranche übergreift, zeigt ein neues Produkt aus dem Hause Audi. Erst kürzlich stellte der Autobauer auf der Elektronik-Messe CES in Las Vegas ein eigenes Tablet vor. Unter dem Titel "Audi Smart Display" soll das Gerät die Bedienung der Infotainment-Angebote im Auto erleichtern. Denn während Nutzer Tablets intuitiv bedienen können, tun sich viele mit den umfassenden Möglichkeiten von Infotainmentprogrammen im Auto noch schwer. Das Tablet hat einen 10 Zoll großen Display, der sich ganz einfach mit dem Infotainment in neuen Audi-Modellen verbinden lässt. Außerdem bietet es einen direkten Zugriff auf Googles Playstore und damit auf alle Android-Apps für Tablets. Quelle: Presse
Audi und GoogleGleichzeitig haben Google und Audi erst kürzlich auf der CES in Las Vegas bekannt gegeben, künftig miteinander kooperieren zu wollen. Damit sollen alle Audi-Bordsysteme auf dem Betriebssystem Google Android basieren. Auch in den neuen Modellen von General Motors, Honda und Hyundai wird künftig Android als Infotainmentplattform verbaut.   Quelle: AP
Infiniti InTouch Das neue Infotainment-System der Luxusmarke wurde auf der Elektronik-Messe CES vorgestellt. Das System macht es möglich das Smartphone mit dem Bordcomputer zu verbinden. Somit kann der Fahrer über das Programm auch im Fahrzeug direkt auf seine Kontakte, E-Mails und einige Apps zugreifen. Nachrichten liest einem das Programm auf Wunsch laut vor. Musik kann auch per Sprachsteuerung ausgewählt werden. Besonders praktisch: Auf der Infiniti-Plattform lassen sich sogar die Sitz- und Spiegeleinstellungen von bis zu vier Fahrern speichern. Quelle: REUTERS
Nokias KartendienstAuch Nokia versucht sich einen Platz im Auto zu sichern. Seit Jahren bieten die Finnen Kartendienste für den Verkehr an. Im Sommer hat der einstige Handy-Riese hunderte Millionen Euro in die Hand genommen, um die Dienste zu erweitern. Bisher ist die Plattform "Here" so ausgelegt, dass sie neben der Kartendienste auch eine Integration von Musik und Internetangeboten vorsieht, wie zum Beispiel der ortsbezogene Dienst Foursquare. Eingebunden ist außerdem eine "Auto-Cloud", über die der Fahrer aktuelle Informationen zu Spritpreisen oder freien Parkplätzen abrufen kann. Die Autobauer können für ihre Produkte selbst entscheiden, welche Serviceangebote von Nokia sie einbinden wollen. Quelle: dpa
BMW i3Das Infotainmentsystem des deutschen Elektroautos lässt sich sogar per Smartwatch Samsung Galaxy Gear steuern. Damit hat der Autofahrer Informationen wie den Kilometerstand, den Batteriestand oder den Parkstandort auf der Uhr gespeichert und so immer dabei. Auch ob Fenster geöffnet oder geschlossen sind, lässt sich mit einem Blick aufs Handgelenk überprüfen. Besonders praktisch: Per Spracherkennung lassen sich Klimaanlage und Heizung auch aus der Entfernung steuern. Somit ist der Wagen im Winter schon vorgeheizt und die gefrorene Scheibe getaut, noch ehe der Fahrer das Auto überhaupt aufgeschlossen hat. Quelle: dpa

Die Schüsse peitschen James Bond um die Ohren, als die Handlanger des Filmbösewichts in „Der Morgen stirbt nie“ auf ihn feuern. Im Kugelhagel springt 007 auf die Rückbank seines BMW 750i. Dort greift er zu seinem Handy und kann – dem Erfindergenie Q sei Dank – seinen Wagen fernsteuern und entkommen. Soviel zur Hollywood-Theorie des Jahres 1997.

Doch was damals im Film nur fiktiv für zusätzliche Action sorgt, hat auch im realen Leben einen ernsten Hintergrund. Moderne Autos sind vollgestopft mit allerhand Elektronik, die das Fahren angenehmer und sicherer machen sollen. Doch wie bei jedem elektronischen System können auch Hacker die Kontrolle übernehmen und so das Auto fernsteuern.

Für Fachleute wie Chris Valasek ist es heute auch ohne Spezialeffekte kein großes Problem, einen Wagen von der Rückbank aus zu fahren. Der Amerikaner hat kürzlich zusammen mit seinem Kollegen Charlie Miller die Elektronik eines Toyota Prius so geentert, dass sie nicht den Tacho nach Belieben manipulieren, sondern auch Motor und Lenkung per Laptop steuern konnten. Schon wird aus dem umweltfreundlichen Familienwagen ein überdimensionales Spielzeugauto.

Einfallstor Diagnosekabel

Einziger Trost: Dazu mussten die beiden Profi-Hacker ihren Computer per Kabel mit dem Diagnosestecker des Autos verbinden. Von außen konnten sie die Kontrolle nicht übernehmen - noch nicht. Trotzdem ist die Horror-Vision eines jeden Autofahrers, dass plötzlich während der Fahrt der Computer das Steuer übernimmt, nicht ganz aus der Welt.

Eine mögliche Liste mit Daten aus dem Auto

Denn Funksysteme wie GSM oder Bluetooth sind nicht nur nützliche Helferlein für den Fahrer. Sie bieten auch drahtlose Einfallstore in die Datensysteme eines Autos. Es muss nicht einmal die Unterhaltungselektronik sein: Auch die Luftdrucksensoren in Rädern schicken ihre Daten per Funk ins Cockpit und können theoretisch von Hackern missbraucht werden. Und dieses potenzielle Sicherheitsrisiko fährt bald jeder Neuwagenkäufer mit sich herum – solche Reifenluftdruckkontrollsysteme sind ab November in jedem Neuwagen Pflicht.

Auch wenn der Fernzugriff per Funk derzeit noch schwierig ist, glaubt Chris Valasek, dass auch diese Hürde bald geknackt wird. „Jedes Sicherheitssystem lässt sich aushebeln, denn es kommt von Menschen – und die machen Fehler“, prognostiziert der US-Hacker.

Angriffe im Auftrag des Unternehmens

Um solche Fehler auszumerzen oder zumindest besser zu verstecken, unterziehen die Autobauer ihre neuen Modellen aufwändigen Tests. So hat etwa Daimler seine neue S-Klasse drei Monate lang einer Gruppe von sogenannten „White Hat Hackern“ als Angriffsziel bereitgestellt – also gesetzestreuen IT-Spezialisten, die im Auftrag von Unternehmen mit denselben Werkzeugen wie kriminelle „Black Hat Hacker“ Sicherheitslücken aufspüren. „Die Zugriffsversuche waren vergeblich, das Fahrzeug konnte von den Hackern nicht kompromittiert werden“, bilanziert Daimler-Sprecher Benjamin Oberkersch den ungewöhnlichen Sicherheitscheck.

Einer der Gründe: In Fahrzeugen von Mercedes-Benz besteht das IT-System aus mehreren separaten Netzwerken. So sind jeweils nur Geräte aus einem Funktionsbereich direkt miteinander verbunden, etwa Fahrfunktionen, Infotainment und Komfort-Features. Die Übergänge zwischen diesen Netzsegmenten sind durch spezielle Gateways gesichert. Ist ein Hacker zum Beispiel über die Bluetooth-Anbindung zum Smartphone gedrungen, soll der Zugriff auf sicherheitsrelevante Teile wie Lenkung oder Bremse verweigert werden.

Doch eine solche Trennung der Systeme ist nicht Standard. Valasek und Miller haben 21 aktuelle Modelle theoretisch auf ihre „Hackbarkeit“ untersucht und bei einigen Autos eklatante Mängel gefunden. Besonder schlecht schnitten dabei der Infiniti Q50, der Jeep Cherokee und der Cadillac Escalade ab. Sie nutzen jeweils nur ein Netzwerk für alle Fahrzeugfunktionen. Gelingt bei diesen Fahrzeugen etwa das Eindringen über den Internet-Browser an Bord, kann das Auto theoretisch ferngesteuert werden.

Ein Paradies für Hacker

Beim Infiniti Q50 kommt hinzu, dass er als eines der ersten Autos nur noch über eine Steer-by-wire-Lenkung gesteuert wird. Heißt konkret: Es gibt keine mechanische Lenksäule zwischen Lenkrad und den Vorderrädern. Damit kann der Wagen auch ohne Elektronik gelenkt werden. Im Q50 erfasst ein Sensor am Lenkrad, wohin der Fahrer steuern will – ein Elektromotor schlägt die Räder dann entsprechend ein. Ein Paradies für Hacker.

Als Positiv-Beispiele nennen Valasek und Miller etwa den Audi A8, da die Ingolstädter wie Daimler in ihrer Oberklasse-Limousine die einzelnen Netzwerke voneinander abkapseln. Auch der US-Sportwagen Dodge Viper und der Honda Accord sichern ihre Systeme recht wirkungsvoll ab.

Wo Netzwerke es Hackern leicht machen
GoPro CamDie Action-Kamera Go Pro Hero 3 lässt sich am Helm, der Kleidung oder am Surfbrett befestigen. So entstehen spektakuläre Sport-Aufnahmen. Diese lassen sich mit ein paar wenige Knopfdrücken auf Facebook oder anderen sozialen Netzwerken teilen. Dafür ist die Kamera internettauglich. Und genau hier liegt die Schwäche der Kamera. Hacker haben herausgefunden, dass sich die Kamera knacken lässt. Danach kann man sie ganz einfach mit einer Fernbedienung steuern. Besonders gefährlich ist das, weil die Kamera auch vom Militär und Sicherheitskräften genutzt wird. Quelle: dapd
Empfindliche HerzschrittmacherÜber 75.000 Menschen in Deutschland haben einen elektronischen Herzschrittmacher implementiert. Diese Geräte lassen sich heutzutage drahtlos nachstellen sowie die darauf erfassten Daten herunterladen. Über die kabellose Schnittstelle wird das Gerät aber auch anfällig. Der Hacker Barnaby Jack hat gezeigt, dass sich der Herzschrittmacher aus bis zu neun Metern Entfernung manipulieren lässt. Quelle: AP
Hacker wissen, so Sie sindJe 60 Euro kosten die Sensoren, die der Hacker Brendan O'Conner zu Testzwecken in der Nachbarschaft verteilt hat. Diese sammeln Signale von Tablets oder Smartphones ein, die dann wiederum in einer Karte angezeigt werden können. Daraus lassen sich komplette Bewegungsprofile der jeweiligen Geräte erstellen. Dass das technisch möglich ist, zeigte auch schon eine Visualisierung von Handy-Daten des Grünen-Politikers Malte Spitz. Er stellte schon vor Jahren seine Smartphone-Daten zur Verfügung, die genau zeigen, wo er sich zu welchem Zeitpunkt aufgehalten hat. Quelle: REUTERS
Anfällige KraftwerkeEin Team von drei Hackern hat eine Sicherheitslücke in einem Funksystem gefunden, das oft auch in Kraftwerken eingesetzt wird. Dadurch könnten Angreifer in einem Umkreis von 65 Kilometern, Daten auslesen. Sogar die Abschaltung des Kraftwerks wäre auf diesem Weg möglich. Quelle: dpa
Mobilfunkverbindungen ausspionierenBesonders anfällig für Hackerangriffe sind die sogenannten Femtozellen. Damit lassen sich Mobilfunknetze verstärken, zum Beispiel um den Empfang in Häusern zu verbessern. Sobald sich Smartphone, Handy, Tablet und Co mit der Zelle verbinden, laufen alle Daten, Informationen und Gespräche darüber. Wurde eine GSM- oder CDMA-Femtozelle gehackt, lassen sich also zum Beispiel Telefonate abhören. Nutzer haben kaum eine Möglichkeit sich dagegen zu wehren. Vor allem, da sich viele mobile Endgeräte automatisch und ohne Rückfrage mit einer Zelle verbinden. Quelle: dpa
Smart-TV Die Geräte im Haushalt werden immer stärker mit einander vernetzt. Smart-TV, ferngesteuerte Heizungsanlagen oder Waschmaschinen bieten Hackern so ganz neue Angriffsflächen. Erst kürzlich ist es gelungen, die Funktionen eines Internet-Fernsehers auszunutzen und die Person vor dem Fernseher per Webcam und Mikrofon auszuspionieren. Auch die Heizung lässt sich ungefragt hochstellen oder Lampen anstellen und Türen öffnen. Im August ist es Hackern in Japan gelungen, hochautomatisierte Luxustoiletten zu manipulieren. Quelle: dpa
Auto-CockpitDie Armarturen in Autos werden immer mehr zu regelrechten Cockpits. Die elektronischen Hilfen im Fahrzeug werden von Jahr zu Jahr mehr. Doch auch zentrale Funktionen wie die Bremsen oder der Motor werden über einen regelrechten Bordcomputer gesteuert. Der Hacker Chris Valasek hat gezeigt, wie sich diese Technik austricksen lässt, um zum Beispiel das Lenkrad wild rotieren zu lassen oder einen vollen Tank vorzugaukeln. Quelle: dpa

Eine Garantie geben solche abgekapselte Netzwerke natürlich auch nicht. „Die Separation von Systemen ist eine klassische Sicherungsmethode, sie ist so alt wie die IT selbst“, sagt Sicherheitsexperte Sebastian Schreiber. „Das Problem ist nur, dass sie nicht wirklich klappt.“ Mit den 51 Mitarbeitern seines Unternehmens SYSS greift Schreiber gezielt Unternehmen in deren Auftrag an – seien es Netzwerke der Kunden oder deren Produkte.

Eine Schwachstelle: An einigen Punkten berühren sich die separierten Systeme – und diese Schnittstellen werden von Menschen programmiert. Chris Valasek lässt grüßen. „Wenn ich an meinem Auto den elektrischen Sitz verstelle, ist das zunächst ein Komfort-Feature. Da aber das Auto etwa bei einem Unfall den Sitz selbst verstellt, um die Wirkung des Aufpralls zu vermindern, ist das eine Funktion der Sicherheitssysteme – die Systeme können also gar nicht perfekt separiert werden“, weiß Schreiber.

Einfallstor Smartphone-App

Das gilt auch für Apps, mit denen die Hersteller in erster Linie den Komfort erhöhen wollen. So kann der Kunde bei vielen Herstellern per Smartphone von außen die Standheizung im Auto aktivieren. Während man selbst noch am Frühstückstisch seinen Kaffee schlürft, heizt sich das Auto im Winter draußen auf der Straße schon einmal vor.

Bei BMW nennt sich das zum Beispiel „My BMW Remote“. Die Technik greift dabei auf Clouddienste zurück, die zumindest Teile des Autos steuern können. „Als Hacker könnte ich zum Beispiel Ihr Smartphone knacken oder mich direkt in die Cloud einhängen, um so die Kontrolle über ihr Auto zu übernehmen“, so Schreiber. Womöglich kann man das Auto von außen nicht starten, aber zumindest entriegeln – womit der erste Schritt bei einem Diebstahl bereits getan ist.

Fahrer eines Tesla Model S können per App (iOS und Android) etwa von außen den Ladestand und die Restladedauer ihres Elektroautos abrufen, aber auch das Schiebedach öffnen oder das ganze Fahrzeug entriegeln. Vermutlich über diese App haben es im Juli zwei Studenten der chinesischen Zhejiang-Universität geschafft, einen der Wagen zu hacken. Am Rande der Computer-Sicherheits-Konferenz SyScan in Peking ist es ihnen gelungen, während der Fahrt die Türen zu entriegeln sowie Hupe, Licht und Sonnendach zu bedienen – allesamt „missbrauchte“ Funktionen der Tesla-App.

Für den Hauptpreis von 10.000 Dollar hat es für die beiden Studenten aber nicht gereicht: Dazu hätten sie noch den Motor von außen starten müssen, was aber über ihr App-Einfalltor nicht möglich ist. Doch auch neben der App ist das Model S, das ständig mit dem Internet verbunden ist, ein Mekka für Hacker.

High-Tech-Gadgets für den Datenschutz
Auto-Transporter Quelle: Presse
DataLocker-Festplatte Quelle: Presse
MyIDkey Quelle: Presse
Blackberry Quelle: Presse
Sprachverschlüsselungssystem Topsec Mobile
Laptop Quelle: Presse
E-Mails Screenshot Quelle: Screenshot

Um Hackern mit krimineller Energie immer einen Schritt voraus zu sein, ist Kristin Paget, bei Tesla für die Sicherheit verantwortlich, die Flucht nach vorne angetreten. Statt wie Daimler ihr Auto im Verborgenen gegen IT-Angriffe testen zu lassen, stellte Paget ein Model S auf der weltweit größten Hacker-Konferenz Def Con in Las Vegas aus. Jeder Teilnehmer, der während der viertägigen Konferenz eine Sicherheitslücke fand, bekam den Freifahrtschein für eine Probefahrt am Produktionsstandort Fremont bei San Francisco. Und die 20 bis 30 Besten von ihnen sollten einen Job bei Tesla Motors bekommen.

Staatlich verordnete Einfallstore

Daimler umgeht das Sicherheitsrisiko in seinen Systemen, indem das Handy keinen schreibenden Zugriff auf das Auto bekommt. „Die komplette Kommunikation zwischen dem Gerät und dem Fahrzeug läuft über eine Hardware-Schnittstelle, die gleichzeitig als Firewall fungiert“, sagt Daimler-Sprecher Oberkersch. Der Zugang zu internet-basierten Diensten erfolgt bei den Stuttgartern über das „Daimler Vehicle Backend“, ein aufwändiges Software-System, das der Nutzer selbst nie zu Gesicht bekommt. „Sollte es doch zu einer Schwachstelle kommen, können wir hier schnell und für alle Fahrzeuge gleichzeitig die nötigen Gegenmaßnahmen einleiten.“

Ein großer Aufwand, den die Hersteller zugunsten ihrer Kunden treiben müssen. „Man kann Produkte sehr sicher machen, die Kunden entscheiden sich aber in der Regel für die komfortablere Lösung“, sagt IT-Experte Schreiber. Sprich: Ein Auto kann aus IT-Sicht noch so sicher sein, aber kein Kunde kauft es, wenn es mit großen Einschränkungen oder einer umständlichen Bedienung verbunden ist.

Fragen und Antworten zu eCall

Solche Apps und Online-Dienste lassen sich die Hersteller in der Regel teuer bezahlen. Der Autokäufer kann also selbst entscheiden, ob er diese Systeme mit all ihren Vor- und Nachteilen in seinem Wagen haben will oder nicht. Doch nicht bei allen Systemen hat der Kunde die Wahl: Teilweise schreibt der Gesetzgeber Systeme vor, die auch als potenzielles Einfallstor genutz werden können – den automatischen Notruf eCall zum Beispiel.

Dahinter verbirgt sich ein automatisch arbeitendes System zur Rettung von Unfallopfern. Es sendet nach einem Unfall mit Airbag-Auslösung einen Notruf. Dabei wird der Standort des Autos in eine Zentrale übertragen. Gleichzeitig baut das Fahrzeug eine Sprachverbindung zum Notruf-Callcenter auf. Von dort aus werden bei Bedarf Rettungskräfte für die Hilfe vor Ort angefordert.

Das größte Problem: Die rechtliche Situation ist ungeklärt. Niemand kann verbindlich sagen, wer die Daten analysieren darf und wie er sie verarbeiten kann. Es gebe scheinbar nicht einmal eine Auflistung der Daten, die demnächst die Mobilfunknetze fluten werden, vermutet die Fachzeitschrift CarIT.

Auto



Dieses System wird ab 2015 in Neuwagen Pflicht. Daher benötigt jedes in der EU verkaufte Auto eine SIM-Karte. Darüber könnten nicht nur datenschutzrechtlich fragwürdige Bewegungsprofile erstellt werden. Die SIM-Karte des eCall-Systems erzeugt auch Kontakt nach außen und kann so als Kontakt nach innen genutzt werden – ein weiteres Einfallstor für Hacker.

Egal ob staatlich verordnet oder freiwillig eingebaut: Ramsés Gallego, Vize-Präsident des weltweiten Berufsverbands der IT-Sicherheitsmanager Isaca, sieht in den Berichten über gehackte Fahrzeuge auch etwas Positives: „Wir schätzen die Vorteile der vernetzten Fahrzeuge, aber wir müssen deren Risiken kennen. Nur dann können wir uns schützen.“

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%