Wie man ein Hightech-Auto knackt BMW, öffne dich!

Einem IT-Experten ist es gelungen, Autos von BMW ohne Schlüssel aus der Ferne zu öffnen. Wie der Angriff möglich war und weshalb die Datensicherheit im Auto auf die politische Agenda gehört.

  • Teilen per:
  • Teilen per:
Sicherheitslücken bei BMW Quelle: Pressebild, Montage

Per App den Batteriestand checken oder den Wagen von der Smartwatch aus einparken: BMW ist Vorreiter darin, Autos über das Mobilfunknetz mit dem Internet zu verbinden. Das Online-System ConnectedDrive ist schon seit rund sieben Jahren erhältlich.

Seitdem wird die Infotainment-Ausstattung in zahlreichen Modellen von BMW, Mini und Rolls-Royce eingebaut. In einer Version des Systems, die in zwischen März 2010 und dem 8. Dezember 2014 produzierten Autos zum Einsatz kommt, haben IT-Experten jetzt gravierende Sicherheitslücken entdeckt. In Deutschland sind rund 423.000 Fahrzeuge betroffen, weltweit 2,2 Millionen. Und das ist ein Problem.

Wie IT-Experten einen BMW geknackt haben

Künftig sind nicht nur Smartphones, Tablets und Computer vernetzt. Sondern auch Dinge wie die Heizung, die sich von unterwegs aus regulieren lässt; der Kühlschrank, der seinen Inhalt überwacht und selbstständig neue Lebensmittel ordert; oder eben das Auto in der Garage.

Gefährliche Fernsteuerung

Alles ist mit dem Internet verbunden und kann gesteuert werden, selbst wenn man tausende Kilometer entfernt ist. Ein kurzer Blick auf das Smartphone während des Urlaubs auf den Malediven - und schon sieht man, ob das Licht im Wohnzimmer noch brennt oder der Wagen weiterhin im Flughafen-Parkhaus steht.

Schön und komfortabel, wenn man das alles selbst steuert. Gefährlich und beängstigend, wenn ein anderer die Verbindung hackt, die Kontrolle übernimmt und an einem fremden Auto die Türen entriegeln kann.

Im Auftrag des Computermagazins „c’t“ und des ADAC hat Softwareentwickler Dieter Spaar das BMW-System unter die Lupe genommen – und konnte nach rund 14 Tagen Vorarbeit ohne Schlüssel die Türen aller getesteten Fahrzeuge mit ConnectedDrive-Ausstattung per Mobilfunk öffnen. Eigentlich wollte Spaar nur die Daten, die übertragen werden, dokumentieren und ist dabei auf tiefgreifende Fehler im System gestoßen.

Besonders pikant: Das Equipment, mit dem Spaar selbst teuere Luxusautos knacken kann, passt in einen Rucksack – womit der Hack selbst auf einer belebten Straße nicht auffallen würde.

„Der Autor hat sechs grundlegende technische Fehler ausfindig gemacht, die den Hack ermöglicht haben“, sagt Axel Kossel, Technik-Experte und Redakteur der Zeitschrift c’t. „All diese Probleme wären aber eigentlich vermeidbar gewesen.“ Ein Beispiel: Das ConnectedDrive hat Daten ohne Verschlüsselung übertragen, ohne die Identität der Gegenstelle zu prüfen.

Diese Nachlässigkeit erlaubte es Spaar, den Datentransfer zwischen seinem Testfahrzeug, einem weit verbreiteten BMW 320d, und den BMW-Servern (dem sogenannten Backend), welche die Funktionen steuern, mitzuschneiden und zu analysieren. Dabei stellte der IT-Experte fest, dass nicht nur die Notruf-SMS, die im Falle eines Unfalls die Rettungskräfte ruft, unverschlüsselt übertragen wird, sondern auch weitere Dienste gänzlich ohne oder nur mit einer veralteten Verschlüsselung arbeiten.

Eine mögliche Liste mit Daten aus dem Auto

Wenn verschlüsselt wird, ist das System aber immer noch nicht sicher: Da in allen Fahrzeugen mit ConnectedDrive die gleichen symmetrischen Schlüssel für die kryptographischen Funktionen verwendet werden, funktionieren diese – wenn einmal abgegriffen und geknackt – auch bei allen anderen Autos, die das System nutzen. „Das ist sicherheitstechnisch ein absolutes No-Go“, sagt Kossel.

Aber auch mit all den mitgeschnittenen Daten und aufgedeckten Sicherheitslücken ist der Einbruch noch nicht möglich. Denn um aus der Ferne die Türen entriegeln zu können, muss die Nachricht des Hackers die Fahrgestellnummer oder VIN (Vehicle Identification Number) enthalten.

Wenn das Steuergerät die Geheimnisse verrät

Wird ein solcher Öffnen-Befehl ohne VIN geschickt, zeigt sich das Steuergerät aber besonders hilfsbereit: Anstatt die Kommunikation abzubrechen, antwortet die sogenannte Combox mit einer Fehlermeldung – als Absender eingetragen: die vermisste Fahrgestellnummer. Damit klappte der zweite Versuch.

Bei den „Remote Services“ wie der Türöffnung kam laut BMW bisher eine Verschlüsselung auf Anwendungsebene zum Einsatz. Sprich: Die Daten wurden im Steuergerät ver- und entschlüsselt, aber unverschlüsselt übertragen. Die peinliche Sicherheitslücke hat BMW inzwischen geschlossen.

„Die Transportverschlüsselung wurde bisher vor allem dort eingesetzt, wo eine Datenkommunikation des Fahrzeugs über das öffentliche Internet stattfand“, heißt es beim Konzern. „Sie wird jetzt zusätzlich für die Datenkommunikation zwischen Fahrzeug und BMW-Server eingesetzt und damit auch für die Remote Services.“ Die Frage, warum ein Teil der Daten bislang unverschlüsselt gesendet wurde, ließ BMW unbeantwortet.

Automatisches Update

Um das Update aufzuspielen, müssen die BMWs allerdings nicht in die Werkstatt. „Der betroffene Kunde musste nicht selbst aktiv werden“, so BMW weiter. „Das Fahrzeug wurde über eine SMS informiert, dass eine Konfigurationsänderung verfügbar ist und hat diese beim nächstmaligen Nutzen eines ConnectedDrive-Dienstes automatisch aktiviert.“

„Die fehlende Transportverschlüsselung war mitverantwortlich, dass die unautorisierte Türöffnung möglich war“, bilanziert ADAC-Experte Arnulf Thiemel. „Durch die eingeschaltete Transportverschlüsselung sollte dies nicht mehr machbar sein.“ Da der Autoklub und Spaar aber keine vollständige Sicherheitsuntersuchung durchgeführt haben, will Thiemel keine Aussage darüber treffen, ob mit der neuen Verschlüsselung bisher unbekannte Lücken behoben sind. „Dies ist die Aufgabe und Verantwortung des Herstellers.“

Auch wenn BMW im vorliegenden Fall die Aufgabe offensichtlich nicht vollständig erfüllen konnte, sind die Münchner um den Datenschutz bemüht. Im vergangenen Jahr versicherte Elmar Frickenstein, Leiter der Entwicklung Elektrik/Elektronik bei BMW, im Interview mit WirtschaftsWoche Online, dass die „größtmögliche Sicherheit höchste Priorität“ habe.

„Wir haben vor Jahren entschieden, dass die Kommunikation mit dem Fahrzeug von außen nur über ein BMW-Backend laufen darf“, sagte Frickenstein. „Wir lassen nicht zu, dass das Smartphone mit dem Auto spricht.“ Im Prinzip traf das zu, doch der Fehler steckte im Detail.

Denn Spaar hat bei seinem Hack zu keiner Zeit versucht, in das BMW-Backend einzudringen. Es hat vielmehr ausgereicht, die ungesicherte Kommunikation zwischen Auto und Server zu verfolgen. Als es soweit war, konnte Spaar mit einer tragbaren Basisstation ein eigenes Mobilfunknetz erzeugen und dem Auto vorgaukeln, er sei das BMW-Backend – die notwendigen Programmier-Befehle hatte er zuvor mitgeschnitten. Zu den tatsächlichen, gut gesicherten Servern bestand keine Verbindung mehr.

US-Politik hat das Thema erkannt – die EU noch nicht

Zu dem Schluss, dass die drahtlosen Verbindungen eine Schwachstelle moderner Autos sind, kommt auch ein US-Report, der von Edward Markley, dem demokratischen Senator von Massachusetts, in Auftrag gegeben wurde. „Autofahrer vertrauen auf diese Technologien, aber leider haben die Autobauer ihren Teil nicht richtig erledigt, uns vor Cyberattacken oder dem Eindringen in die Privatsphäre zu schützen“, sagt der Senator in dem am Sonntag veröffentlichten Report.

Wo Netzwerke es Hackern leicht machen
GoPro CamDie Action-Kamera Go Pro Hero 3 lässt sich am Helm, der Kleidung oder am Surfbrett befestigen. So entstehen spektakuläre Sport-Aufnahmen. Diese lassen sich mit ein paar wenige Knopfdrücken auf Facebook oder anderen sozialen Netzwerken teilen. Dafür ist die Kamera internettauglich. Und genau hier liegt die Schwäche der Kamera. Hacker haben herausgefunden, dass sich die Kamera knacken lässt. Danach kann man sie ganz einfach mit einer Fernbedienung steuern. Besonders gefährlich ist das, weil die Kamera auch vom Militär und Sicherheitskräften genutzt wird. Quelle: dapd
Empfindliche HerzschrittmacherÜber 75.000 Menschen in Deutschland haben einen elektronischen Herzschrittmacher implementiert. Diese Geräte lassen sich heutzutage drahtlos nachstellen sowie die darauf erfassten Daten herunterladen. Über die kabellose Schnittstelle wird das Gerät aber auch anfällig. Der Hacker Barnaby Jack hat gezeigt, dass sich der Herzschrittmacher aus bis zu neun Metern Entfernung manipulieren lässt. Quelle: AP
Hacker wissen, so Sie sindJe 60 Euro kosten die Sensoren, die der Hacker Brendan O'Conner zu Testzwecken in der Nachbarschaft verteilt hat. Diese sammeln Signale von Tablets oder Smartphones ein, die dann wiederum in einer Karte angezeigt werden können. Daraus lassen sich komplette Bewegungsprofile der jeweiligen Geräte erstellen. Dass das technisch möglich ist, zeigte auch schon eine Visualisierung von Handy-Daten des Grünen-Politikers Malte Spitz. Er stellte schon vor Jahren seine Smartphone-Daten zur Verfügung, die genau zeigen, wo er sich zu welchem Zeitpunkt aufgehalten hat. Quelle: REUTERS
Anfällige KraftwerkeEin Team von drei Hackern hat eine Sicherheitslücke in einem Funksystem gefunden, das oft auch in Kraftwerken eingesetzt wird. Dadurch könnten Angreifer in einem Umkreis von 65 Kilometern, Daten auslesen. Sogar die Abschaltung des Kraftwerks wäre auf diesem Weg möglich. Quelle: dpa
Mobilfunkverbindungen ausspionierenBesonders anfällig für Hackerangriffe sind die sogenannten Femtozellen. Damit lassen sich Mobilfunknetze verstärken, zum Beispiel um den Empfang in Häusern zu verbessern. Sobald sich Smartphone, Handy, Tablet und Co mit der Zelle verbinden, laufen alle Daten, Informationen und Gespräche darüber. Wurde eine GSM- oder CDMA-Femtozelle gehackt, lassen sich also zum Beispiel Telefonate abhören. Nutzer haben kaum eine Möglichkeit sich dagegen zu wehren. Vor allem, da sich viele mobile Endgeräte automatisch und ohne Rückfrage mit einer Zelle verbinden. Quelle: dpa
Smart-TV Die Geräte im Haushalt werden immer stärker mit einander vernetzt. Smart-TV, ferngesteuerte Heizungsanlagen oder Waschmaschinen bieten Hackern so ganz neue Angriffsflächen. Erst kürzlich ist es gelungen, die Funktionen eines Internet-Fernsehers auszunutzen und die Person vor dem Fernseher per Webcam und Mikrofon auszuspionieren. Auch die Heizung lässt sich ungefragt hochstellen oder Lampen anstellen und Türen öffnen. Im August ist es Hackern in Japan gelungen, hochautomatisierte Luxustoiletten zu manipulieren. Quelle: dpa
Auto-CockpitDie Armarturen in Autos werden immer mehr zu regelrechten Cockpits. Die elektronischen Hilfen im Fahrzeug werden von Jahr zu Jahr mehr. Doch auch zentrale Funktionen wie die Bremsen oder der Motor werden über einen regelrechten Bordcomputer gesteuert. Der Hacker Chris Valasek hat gezeigt, wie sich diese Technik austricksen lässt, um zum Beispiel das Lenkrad wild rotieren zu lassen oder einen vollen Tank vorzugaukeln. Quelle: dpa

Neben dem Mangel an geeigneten Sicherheitsmaßnahmen äußert der Bericht auch Bedenken darüber, wie die Autohersteller Daten über das Verhalten der Fahrer sammeln, übertragen und speichern. Markleys Schlussfolgerungen basieren allerdings nicht auf eigenen Versuchen, sondern nur auf einer Auswertung von Daten, die ihm die Autobauer zur Verfügung gestellt haben. Auch wenn der Bericht nicht nach wissenschaftlichen Maßstäben verfasst wurde, zeigt er eines: Das Thema ist in der US-Politik angekommen und wird ernst genommen.

eCall-System ist nicht ausgereift

Ganz anders ist die Lage in Europa: Hier macht sich die Politik weniger Gedanken um die IT-Sicherheit von Autos. So müssen nach den Vorgaben der EU-Kommission ab 2018 alle Neuwagen mit dem automatischen Notrufsystem eCall ausgerüstet werden. Es sendet nach einem Unfall mit Airbag-Auslösung einen Notruf. Dabei wird der Standort des Autos in eine Zentrale übertragen. Gleichzeitig baut das Fahrzeug eine Sprachverbindung zum Notruf-Callcenter auf. Von dort aus werden bei Bedarf Rettungskräfte für die Hilfe vor Ort angefordert.

Fragen und Antworten zu eCall

Was zunächst löblich klingt, hat aber auch seine Schattenseiten: Für das eCall-System muss in jedem Neuwagen zwingend ein GPS-Sender und eine SIM-Karte eingebaut sein. Damit könnte nach der Methode von Spaar jedes Auto zum potenziellen Ziel werden – und nicht nur die teuren Karossen mit Navi und Mobilfunk-Anschluss. Dazu kommt, dass heute noch niemand verbindlich sagen kann, wer die eCall-Daten analysieren und verarbeiten darf.

Wie problematisch Mobilfunk-Zugriffe auf Autos sein können, hat der c’t-Versuch gezeigt. Zwar beteuert BMW, dass Spaar zu keiner Zeit Zugriff auf fahrrelevante Funktionen wie die Motorsteuerung, Bremse oder Servolenkung hatte, denn Komfort- und Sicherheitssysteme sind voneinander getrennt.

Eine Garantie geben solche abgekapselten Netzwerke aber nicht. „Die Separation von Systemen ist eine klassische Sicherungsmethode, sie ist so alt wie die IT selbst“, sagt Sicherheitsexperte Sebastian Schreiber. „Das Problem ist nur, dass sie nicht wirklich klappt.“

Die Schwachstelle: An einigen Punkten berühren sich die eigentlich getrennten Systeme. Diese Schnittstellen werden zwar besonders gesichert, aber immer noch von Menschen programmiert – die ab und zu Fehler machen. Und selbst wenn der Fehler im Detail steckt: Früher oder später wird er entdeckt.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%