Per App den Batteriestand checken oder den Wagen von der Smartwatch aus einparken: BMW ist Vorreiter darin, Autos über das Mobilfunknetz mit dem Internet zu verbinden. Das Online-System ConnectedDrive ist schon seit rund sieben Jahren erhältlich.
Seitdem wird die Infotainment-Ausstattung in zahlreichen Modellen von BMW, Mini und Rolls-Royce eingebaut. In einer Version des Systems, die in zwischen März 2010 und dem 8. Dezember 2014 produzierten Autos zum Einsatz kommt, haben IT-Experten jetzt gravierende Sicherheitslücken entdeckt. In Deutschland sind rund 423.000 Fahrzeuge betroffen, weltweit 2,2 Millionen. Und das ist ein Problem.
Wie IT-Experten einen BMW geknackt haben
Wenn der Besitzer in der BMW-Remote-App die Türentriegelung veranlasst, erhält das Fahrzeug eine SMS vom BMW-Backend. Es holt daraufhin den Öffnungsbefehl von einem Server und führt in aus – während der Hacker mitliest.
Der Besitzer gibt der App den Befehl "Entriegle Tür". Die Daten werden per Mobilfunk übertragen und können von einem Hacker mitgelesen werden.
Die BMW-Server senden per SMS die Anweisung "Hole Befehl" an das Auto. Dort fährt das Modem im Steuergerät hoch.
Über die gesicherte Datenverbindung zum BMW-Backend fragt das Auto bei den BMW-Server nach, ob ein Remote-Service-Befehl vorhanden ist.
Daraufhin gibt das BMW-Backend dem Auto die Anweisung "Entriegle Tür" – und das Auto wird aufgeschlossen.
Ein Hacker kann mit einer tragbaren Mobilfunk-Basisstation ohne Zutun des Besitzers gefälschte SMS und Daten an das Fahrzeug senden, um die Tür zu entriegeln. Dazu muss er mit seinem Vorwissen die Schritte 2 bis 4 durchführen. Der Besitzer bekommt von den Vorgängen nichts mit – bis auf die Tatsache, dass sein Auto ausgräumt oder komplett gestohlen wurde.
Künftig sind nicht nur Smartphones, Tablets und Computer vernetzt. Sondern auch Dinge wie die Heizung, die sich von unterwegs aus regulieren lässt; der Kühlschrank, der seinen Inhalt überwacht und selbstständig neue Lebensmittel ordert; oder eben das Auto in der Garage.
Gefährliche Fernsteuerung
Alles ist mit dem Internet verbunden und kann gesteuert werden, selbst wenn man tausende Kilometer entfernt ist. Ein kurzer Blick auf das Smartphone während des Urlaubs auf den Malediven - und schon sieht man, ob das Licht im Wohnzimmer noch brennt oder der Wagen weiterhin im Flughafen-Parkhaus steht.
Schön und komfortabel, wenn man das alles selbst steuert. Gefährlich und beängstigend, wenn ein anderer die Verbindung hackt, die Kontrolle übernimmt und an einem fremden Auto die Türen entriegeln kann.
Im Auftrag des Computermagazins „c’t“ und des ADAC hat Softwareentwickler Dieter Spaar das BMW-System unter die Lupe genommen – und konnte nach rund 14 Tagen Vorarbeit ohne Schlüssel die Türen aller getesteten Fahrzeuge mit ConnectedDrive-Ausstattung per Mobilfunk öffnen. Eigentlich wollte Spaar nur die Daten, die übertragen werden, dokumentieren und ist dabei auf tiefgreifende Fehler im System gestoßen.
Besonders pikant: Das Equipment, mit dem Spaar selbst teuere Luxusautos knacken kann, passt in einen Rucksack – womit der Hack selbst auf einer belebten Straße nicht auffallen würde.
„Der Autor hat sechs grundlegende technische Fehler ausfindig gemacht, die den Hack ermöglicht haben“, sagt Axel Kossel, Technik-Experte und Redakteur der Zeitschrift c’t. „All diese Probleme wären aber eigentlich vermeidbar gewesen.“ Ein Beispiel: Das ConnectedDrive hat Daten ohne Verschlüsselung übertragen, ohne die Identität der Gegenstelle zu prüfen.
Diese Nachlässigkeit erlaubte es Spaar, den Datentransfer zwischen seinem Testfahrzeug, einem weit verbreiteten BMW 320d, und den BMW-Servern (dem sogenannten Backend), welche die Funktionen steuern, mitzuschneiden und zu analysieren. Dabei stellte der IT-Experte fest, dass nicht nur die Notruf-SMS, die im Falle eines Unfalls die Rettungskräfte ruft, unverschlüsselt übertragen wird, sondern auch weitere Dienste gänzlich ohne oder nur mit einer veralteten Verschlüsselung arbeiten.
Eine mögliche Liste mit Daten aus dem Auto
Identifikationsdaten des Fahrzeugs und der Hardware – etwa Codierung in Prozessoren oder Chips, Softwarelizenzen, Computerzugänge für Updates oder Wartung.
Kommunikations- und Logdaten wie IP-Nummer oder Mobilfunknummer.
Das ist nicht nur das Einloggen in den Bordcomputer des Autos. Das Fahrzeug loggt sich in das Mobilfunknetz ein und greift auf die unterschiedlichsten Cloud- oder Rechenzentrumsanwendungen verschiedener Hersteller zu. Die Identifikation ist beispielsweise über Passwort, Kreditkarte, Augenscan oder Fingerabdruck möglich.
Der Bordcomputer sammelt diese Daten von den Sensoren oder Messgeräten im Fahrzeug. Sie geben den Leasingbanken oder den Werkstätten detailliert Auskunft über Zustand, Wartung und Wert des jeweiligen Fahrzeugs.
Das sind beispielsweise Bewegungsdaten, die über GPS und Kartendienste gesammelt werden. Der Weg eines Fahrzeugs führt über Berge oder durch die Stadt. Die Anwendungen in den Rechenzentren kalkulieren besondere Risiken durch Abnutzung, Diebstahl, Steinschlag ...
Wo ist die Person momentan unterwegs, wie ist der Fahrstil? Ergänzung und Update des Datenbestandes mit den Daten der aktuellen Fahrt.
Das Mobiltelefon ist als Schnittstelle an den Bordcomputer angeschlossen. Es liefert Logdateien an den Mobilfunkanbieter, Verbindungsdaten und Daten für die Datenübertragung und Telefongespräche. Die Datensätze zeigen Dauer und Umfang des Downloads, Gesprächsdauer und Ort des Gespräches.
Die Anwendungen sammeln Daten über den Zustand der Leasingflotte, den Wert jedes einzelnen Fahrzeugs, dessen Abnutzung, und berechnen einen Blick in die Zukunft. Wie sehr wird das Fahrzeug vom derzeitigen Halter beansprucht und wie hoch ist der Wertverfall bis zum Ablauf des Leasingvertrages?
Gleichgültig ob der Fahrer chattet, telefoniert, Bilder postet oder Geschäftskontakte recherchiert, die sozialen Netzwerke halten den Kontakt und schicken Bilder, Werbung und Text direkt ins Auto.
Das Fahrzeug überträgt ständig Positionsdaten und erhält Daten beispielsweise über die anderen Fahrzeuge auf einer Straße zurück.
Die Anbieter von Unternehmenssoftware haben ihre Anwendungen für mobile Geräte erweitert. Autofahrer können über ihre Bordcomputer oder Smartphones auf Dokumente, Datensätze, Mails, Chats und Listen zugreifen und sie in das Fahrzeug übertragen.
Entlang der gefahrenen Strecke erhält der Mobildienstleister die Verbindungsdaten mit dem Mobilfunknetz.
Beim Laden identifizieren sich die Elektrofahrzeuge gegenüber dem ausgewählten Stromlieferanten für die Abrechnung – beispielsweise über die Telefonrechnung oder die Kreditkarte.
Ein kleiner Datensatz, der die Rettungskräfte über einen Unfall sofort informiert (ab 2015 wohl Pflicht in Neuwagen). Der Datensatz ist bei Autoherstellern und Versicherungen sehr begehrt. Derjenige, der den Datensatz als Erster bekommt, bestimmt das Geschäft mit Reparatur, Werkstätten und Unfallwagen.
Wenn verschlüsselt wird, ist das System aber immer noch nicht sicher: Da in allen Fahrzeugen mit ConnectedDrive die gleichen symmetrischen Schlüssel für die kryptographischen Funktionen verwendet werden, funktionieren diese – wenn einmal abgegriffen und geknackt – auch bei allen anderen Autos, die das System nutzen. „Das ist sicherheitstechnisch ein absolutes No-Go“, sagt Kossel.
Aber auch mit all den mitgeschnittenen Daten und aufgedeckten Sicherheitslücken ist der Einbruch noch nicht möglich. Denn um aus der Ferne die Türen entriegeln zu können, muss die Nachricht des Hackers die Fahrgestellnummer oder VIN (Vehicle Identification Number) enthalten.
Wenn das Steuergerät die Geheimnisse verrät
Wird ein solcher Öffnen-Befehl ohne VIN geschickt, zeigt sich das Steuergerät aber besonders hilfsbereit: Anstatt die Kommunikation abzubrechen, antwortet die sogenannte Combox mit einer Fehlermeldung – als Absender eingetragen: die vermisste Fahrgestellnummer. Damit klappte der zweite Versuch.
Bei den „Remote Services“ wie der Türöffnung kam laut BMW bisher eine Verschlüsselung auf Anwendungsebene zum Einsatz. Sprich: Die Daten wurden im Steuergerät ver- und entschlüsselt, aber unverschlüsselt übertragen. Die peinliche Sicherheitslücke hat BMW inzwischen geschlossen.
„Die Transportverschlüsselung wurde bisher vor allem dort eingesetzt, wo eine Datenkommunikation des Fahrzeugs über das öffentliche Internet stattfand“, heißt es beim Konzern. „Sie wird jetzt zusätzlich für die Datenkommunikation zwischen Fahrzeug und BMW-Server eingesetzt und damit auch für die Remote Services.“ Die Frage, warum ein Teil der Daten bislang unverschlüsselt gesendet wurde, ließ BMW unbeantwortet.
Automatisches Update
Um das Update aufzuspielen, müssen die BMWs allerdings nicht in die Werkstatt. „Der betroffene Kunde musste nicht selbst aktiv werden“, so BMW weiter. „Das Fahrzeug wurde über eine SMS informiert, dass eine Konfigurationsänderung verfügbar ist und hat diese beim nächstmaligen Nutzen eines ConnectedDrive-Dienstes automatisch aktiviert.“
„Die fehlende Transportverschlüsselung war mitverantwortlich, dass die unautorisierte Türöffnung möglich war“, bilanziert ADAC-Experte Arnulf Thiemel. „Durch die eingeschaltete Transportverschlüsselung sollte dies nicht mehr machbar sein.“ Da der Autoklub und Spaar aber keine vollständige Sicherheitsuntersuchung durchgeführt haben, will Thiemel keine Aussage darüber treffen, ob mit der neuen Verschlüsselung bisher unbekannte Lücken behoben sind. „Dies ist die Aufgabe und Verantwortung des Herstellers.“
Auch wenn BMW im vorliegenden Fall die Aufgabe offensichtlich nicht vollständig erfüllen konnte, sind die Münchner um den Datenschutz bemüht. Im vergangenen Jahr versicherte Elmar Frickenstein, Leiter der Entwicklung Elektrik/Elektronik bei BMW, im Interview mit WirtschaftsWoche Online, dass die „größtmögliche Sicherheit höchste Priorität“ habe.
„Wir haben vor Jahren entschieden, dass die Kommunikation mit dem Fahrzeug von außen nur über ein BMW-Backend laufen darf“, sagte Frickenstein. „Wir lassen nicht zu, dass das Smartphone mit dem Auto spricht.“ Im Prinzip traf das zu, doch der Fehler steckte im Detail.
Denn Spaar hat bei seinem Hack zu keiner Zeit versucht, in das BMW-Backend einzudringen. Es hat vielmehr ausgereicht, die ungesicherte Kommunikation zwischen Auto und Server zu verfolgen. Als es soweit war, konnte Spaar mit einer tragbaren Basisstation ein eigenes Mobilfunknetz erzeugen und dem Auto vorgaukeln, er sei das BMW-Backend – die notwendigen Programmier-Befehle hatte er zuvor mitgeschnitten. Zu den tatsächlichen, gut gesicherten Servern bestand keine Verbindung mehr.
US-Politik hat das Thema erkannt – die EU noch nicht
Zu dem Schluss, dass die drahtlosen Verbindungen eine Schwachstelle moderner Autos sind, kommt auch ein US-Report, der von Edward Markley, dem demokratischen Senator von Massachusetts, in Auftrag gegeben wurde. „Autofahrer vertrauen auf diese Technologien, aber leider haben die Autobauer ihren Teil nicht richtig erledigt, uns vor Cyberattacken oder dem Eindringen in die Privatsphäre zu schützen“, sagt der Senator in dem am Sonntag veröffentlichten Report.
Neben dem Mangel an geeigneten Sicherheitsmaßnahmen äußert der Bericht auch Bedenken darüber, wie die Autohersteller Daten über das Verhalten der Fahrer sammeln, übertragen und speichern. Markleys Schlussfolgerungen basieren allerdings nicht auf eigenen Versuchen, sondern nur auf einer Auswertung von Daten, die ihm die Autobauer zur Verfügung gestellt haben. Auch wenn der Bericht nicht nach wissenschaftlichen Maßstäben verfasst wurde, zeigt er eines: Das Thema ist in der US-Politik angekommen und wird ernst genommen.
eCall-System ist nicht ausgereift
Ganz anders ist die Lage in Europa: Hier macht sich die Politik weniger Gedanken um die IT-Sicherheit von Autos. So müssen nach den Vorgaben der EU-Kommission ab 2018 alle Neuwagen mit dem automatischen Notrufsystem eCall ausgerüstet werden. Es sendet nach einem Unfall mit Airbag-Auslösung einen Notruf. Dabei wird der Standort des Autos in eine Zentrale übertragen. Gleichzeitig baut das Fahrzeug eine Sprachverbindung zum Notruf-Callcenter auf. Von dort aus werden bei Bedarf Rettungskräfte für die Hilfe vor Ort angefordert.
Fragen und Antworten zu eCall
Ein automatisches Notrufsystem für Autos. Wenn ein schwerer Unfall geschieht, wählt es automatisch die 112 und übermittelt den Standort des Fahrzeugs sowie die auf Autobahnen wichtige Fahrtrichtung. Außerdem baut es eine Gesprächsverbindung mit der Leitstelle auf. Auch manuell per Knopfdruck lässt sich der Notruf auslösen.
Die Technologie soll Leben retten. Denn sie könnte einen automatischen Notruf auch dann absetzen, wenn schwer verletzte Unfallopfer nicht mehr telefonieren können. Die EU-Kommission schätzt, dass das System die Zeit bis zum Eintreffen des Rettungsdienstes erheblich verkürzen kann. 2500 Leben pro Jahr könnten so gerettet werden.
Wenn E-Call erst großflächig eingeführt ist, soll es laut EU-Kommission „deutlich weniger“ als 100 Euro je Neuwagen kosten. Bei Mercedes in der E-Klasse schlägt es derzeit (inklusive Mehrwertsteuer) mit rund 3000 Euro zu Buche - dann ist es wie bei vielen Herstellern allerdings auch Teil eines umfassenden Audio- und Navigationssystems.
Wenn solch ein System an Bord ist, mache E-Call nur „ein paar Euros“ aus, erklärt ein Experte der EU-Kommission. Auch die Rettungsleitstellen müssten in einigen EU-Staaten noch für den Datenempfang ausgerüstet werden.
Darüber wird gestritten. So warnt der Deutsche Anwalt Verein vor dem „gläsernen Autofahrer“ und der Automobilclub von Deutschland (AvD) sieht in E-Call „die technische Grundlage für eine flächendeckende Überwachungsstruktur“. Die Mahner fürchten, dass Daten zu Fahrweise, Tempo und Bremsverhalten nach einem Unfall gegen den Nutzer verwendet werden könnten.
EU-Abgeordnete wollen dem vorbeugen: Sie möchten E-Call als „schlafendes System“ einführen, dass nur bei einem Unfall Daten sendet. Diese Informationen sollen etwa Angaben zur Fahrtrichtung, genutzten Sicherheitsgurten, dem Fahrzeugtyp und dem Unfallzeitpunkt enthalten.
Ja. Etwa 0,7 Prozent aller Fahrzeuge in der EU haben laut EU-Kommission schon vergleichbare Technik an Bord. Die Opel-Mutter General Motors nimmt für sich in Anspruch, 1996 unter dem Namen Onstar das erste solche System ab Werk eingebaut zu haben. Onstar bot neben Verkehrsinformationen von Anfang an auch die Möglichkeit, einen Notruf abzusetzen. Dank eines eingebauten GPS-Senders ließ sich das Fahrzeug bereits damals orten. Während der Erfolg in Deutschland eher verhalten war, zählt Onstar in den USA, Kanada und inzwischen auch in China mehr als sechs Millionen Kunden. Ford bietet - auch in Deutschland - ein ähnliches System namens Sync an. Mercedes Benz hat im Juni 2012 ebenfalls einen automatischen Notruf eingeführt.
Noch fehlen die verbindlichen EU-Vorgaben. Das Europaparlament hat am 26. Februar 2014 in Straßburg lediglich seine Position für die anstehenden Verhandlungen mit den EU-Staaten beschlossen. Die Gespräche könnten im Herbst beginnen. Ob die serienmäßige Einführung von eCall bei Autos und leichten Nutzfahrzeugen auf dem europäischen Markt wie geplant im Oktober 2015 klappt, bleibt abzuwarten.
Die automatischen Notrufsysteme der einzelnen Hersteller decken nicht unbedingt alle EU-Länder ab. Außerdem geht der Anruf derzeit erst an eine Leitstelle, die im Auftrag der Hersteller und dann bei Bedarf an die 112 weiter verbindet, wie die EU-Kommission erläutert. Das ist ein Umweg. Deshalb basteln die EU-Gesetzgeber an Regeln für ein einheitliches System.
Was zunächst löblich klingt, hat aber auch seine Schattenseiten: Für das eCall-System muss in jedem Neuwagen zwingend ein GPS-Sender und eine SIM-Karte eingebaut sein. Damit könnte nach der Methode von Spaar jedes Auto zum potenziellen Ziel werden – und nicht nur die teuren Karossen mit Navi und Mobilfunk-Anschluss. Dazu kommt, dass heute noch niemand verbindlich sagen kann, wer die eCall-Daten analysieren und verarbeiten darf.
Wie problematisch Mobilfunk-Zugriffe auf Autos sein können, hat der c’t-Versuch gezeigt. Zwar beteuert BMW, dass Spaar zu keiner Zeit Zugriff auf fahrrelevante Funktionen wie die Motorsteuerung, Bremse oder Servolenkung hatte, denn Komfort- und Sicherheitssysteme sind voneinander getrennt.
Eine Garantie geben solche abgekapselten Netzwerke aber nicht. „Die Separation von Systemen ist eine klassische Sicherungsmethode, sie ist so alt wie die IT selbst“, sagt Sicherheitsexperte Sebastian Schreiber. „Das Problem ist nur, dass sie nicht wirklich klappt.“
Die Schwachstelle: An einigen Punkten berühren sich die eigentlich getrennten Systeme. Diese Schnittstellen werden zwar besonders gesichert, aber immer noch von Menschen programmiert – die ab und zu Fehler machen. Und selbst wenn der Fehler im Detail steckt: Früher oder später wird er entdeckt.