Vernetzte Autos: Vorsicht, Hacker!
VON Hauke Stieler Auto
Neben elektronischen Geräten und dem gesamten Heim werden nun auch Autos miteinander vernetzt. Die dabei entstandenen Vorteile (z. B. frühzeitige Unfall- und Wetterwarnungen, angenehmere und einfacherer Steuerung etc.) sind deutlich zu erkennen, doch bietet der Internetzugang im Auto auch ein hervorragendes Angriffsziel für Hacker.
Viele Autohersteller haben seit einigen Monaten Autos im Programm, die miteinander über das Internet vernetzt sind. Dabei befindet sich ein Mobilfunkmodul im Auto, über das z. B. Softwareupdates, Musik, Bilder, Nachrichten zur Verkehrslage etc. eingespielt werden können.
Auch sind Autos untereinander vernetzt und ermöglichen so etwa das frühzeitige Erkennen von Unfällen oder Veränderungen in der Wetterlage. Da solch vernetzte Autos unmittelbar reagieren können, kann die Sicherheit auf der Strasse so erhöht werden.
Eine Vernetzung zwischen Autos über das Internet bietet also viele hilfreiche und praktische Vorteile, doch ist jeder Internetzugang eine potentielle Gefahrenquelle für Hacker. Sie können in ein solches System eindringen und grossen Schaden anrichten, wie diverse Beispiele eindrucksvoll zeigen.
SUV bei voller Fahrt gehackt (ein Experiment)
Das Online-Magazin WIRED hat in Kooperation mit zwei Hackern anhand eines kontrollierten Experimentes gezeigt, dass es ein Leichtes ist, angreifbare Autos über das Internet zu finden und diese auch zu übernehmen.
In einem Test haben die beiden Hacker einen SUV mit einem WIRED-Reporter an Bord bei 70 Mph (ca. 112 km/h) auf dem Highway übernommen. Dabei haben sie zunächst das Radio und die Klimaanlage eingeschaltet, die Scheibenwischer betätigt und mit dem Display in der Konsole gespielt.
Ernst wurde es erst, als sie den Motor bei voller Fahrt ausgeschaltet haben. Ohne irgendeine Kontrolle über die Geschwindigkeit des Fahrzeugs zu haben, rollte der Jeep nun über den Highway. Starten liesst er sich nicht mehr, diese Funktion haben die Hacker blockiert.
Deutlich zum Ausdruck kam bei dieser Aktion der absolute Kontrollverlust in einer solchen Situation. Es sind nicht nur Geräte wie etwa Radio, Lüftung und Navigationssystem über das Internet steuerbar, sondern sogar Bremsen sowie Funktionen des Motors und des Fahrwerkes (z. B. ABS). Diese Kontrollübernahme durch Dritte kann auf einer Autobahn zu einer lebensgefährlichen Situation führen und Lücken, über die Hacker eindringen können, sind nicht nur vereinzelt zu finden, sondern bei einer so neuen Technik eher überall auffindbar.
Kurz gesagt: Wenn ein Hacker eingedrungen ist, ist alles, was man per Hand bedienen kann, angreifbar: vom Verschluss des Sicherheitsgurtes über die Klimaanlage bis zum Brems- und Gaspedal.
Offenes Buch für Datensammler
Da alle vernetzten Autos mit einem 3G- oder 4G-Mobilfunkmodul ausgestattet sind, lassen sich diese auch orten. Bei Chrysler handelt es sich um ein System namens Uconnect, was ein Steuerungssystem innerhalb des Autos ist. Dieses kann nur mit anderen ähnlichen Geräten (wie etwa einem Smartphone) kommunizieren, was es Hackern erschweren soll, diese Fahrzeuge zu übernehmen.
Hat man jedoch gerade sein Android-Handy zur Hand, kann man als potentieller Angreifer trotzdem nach erreichbaren Autos im Internet suchen. Das führte im Falle des WIRED-Experimentes dazu, dass nicht nur eine ID des Autos, sondern gleich – ohne überhaupt einen Angriff zu machen – die GPS-Position empfangen wurde.
Man kann also ohne anzugreifen ein Bewegungsprofil des Fahrers erstellen und so z.B. herausfinden, wo dieser wohnt, arbeitet und einkaufen geht.
Reicht einem Hacker diese Information nicht und greift er schliesslich doch ein Auto an und kann in das Infotainmentsystem (das zentrale Steuerungssystem für Informationen und Entertaiment) eindringen, ist es ein Leichtes, noch mehr Informationen auszulesen.
Man kann gleichzeitig neben der aktuellen Position auch die Geschwindigkeit und den Zielort über das Navigationssystem (welches ja mit dem GPS funktioniert) auslesen. Das ist zwar nicht direkt schlimm, nur geht dabei fast sämtliche Privatsphäre vor die Hunde…oder vor die Hacker…
Darüber hinaus haben viele Autos auch eine Fernsprechanlage oder gar einen Sprachassistenten, wie etwa Siri von Apple. Hier lassen sich vor allem die Gespräche innerhalb des Autos prima abhören, da ja ein Mikrophon vorhanden ist. Ist dann noch ein Eye-Tracking-System mit an Bord, hat man vielleicht sogar einen Live-Stream vom Inneren des Autos.
Mit den Lautsprechern des Radios kann man sogar prima und in Ruhe mit dem Fahrer reden, ohne dass er irgendetwas dagegen tun kann. Man muss sich also keine Gedanken mehr um lästige Störungen oder Unterbrechungen machen. Praktisch!
Das Auto per App steuern
Wo wir gerade bei praktischen Dingen sind, dürfen Apps natürlich nicht fehlen. Sie begleiten uns Tag und Nacht und sollen uns das Leben leichter machen. Bei vielen Autoherstellern gibt es auch Apps für das eigene Gefährt, um z. B. das Radio, Navigationssystem, Türschlösser, Klimaanlage etc. zu steuern.
Um dabei die nötige Sicherheit zu gewährleisten, entwickeln die meisten Autohersteller eigene Systeme, welche die Steuerung eines Autos überwachen und eingreifen, wenn es gefährlich wird.
Eines davon ist das „ConnectedDrive“-System, welches von BMW entwickelt und eingesetzt wird. Andere sind z. B. „Command Online“ von Mercedes oder „connect“ von Audi.
Den Besitzern von einigen Modellen der Marken BMW, Mini und Rolls Royce wurde „ConnectedDrive“ zum Verhängnis, obwohl es eigentlich Sicherheit schaffen sollte. Dort klaffte nämlich seit 2010 eine Sicherheitslücke in der App-Steuerung, die es Angreifern erlaubt hat, etwa das Türschloss zu entsperren oder Heizung und Klimaanlage zu beeinflussen. Dazu sei ein Smartphone, Hardware im Wert von ca. 1000 € und eine kostenlose Software nötig gewesen, was also eher wenig ist, um einen Mittelklassenwagen zu stehlen. Mittlerweile hat BMW jedoch reagiert und ein Update geliefert.
Autofahrer stehen Vernetzung kritisch gegenüber
Gefahren gegenüber Softwaresysteme und innovativen Erfindungen sind vielen Menschen nicht gleich bewusst, denn oftmals wissen sie nicht, was technisch alles möglich ist, und so machen sie sich keine Gedanken um neue Produkte.
Das Portal comparis.ch wollte es jedoch genauer wissen und hat das Marktforschungsinstitut GfK damit beauftragt, Autofahrer zu dem Thema zu befragen.
Bei der Umfrage kam heraus, dass 65 % aller Befragten dem Vernetzen von Autos kritisch gegenüberstehen, da sie Angst davor haben, gehackt zu werden, wenn ihr Auto permanent online ist. Von den 1244 Teilnehmern der Umfrage möchten ganze 91 % gerne wissen (d. h. sie wissen es momentan nicht), welche Daten an wen gesendet werden. Sofern jedoch die Vernetzung für mehr Sicherheit im Strassenverkehr sorgt, sehen 80 % der Befragten dies als positiv an.
Man sieht also, dass sich schon viele Gedanken über die Sicherheit machen und auch gerne mehr wissen möchten – doch ist es auch einigen das Thema Sicherheit anscheinend nicht so wichtig, was zu einer Gefahr werden kann.
Fazit
Auch wenn es fast schon utopische Pläne für vernetzte und autonom fahrende Autos gibt, ist es eine Art Experiment und befindet sich noch in der Entwicklung. Wie auch bei anderen Softwaresystemen, die neu sind und noch wenig Erfahrungswerte geliefert haben, sind auch vernetzte Autos mit Vorsicht zu geniessen.
Oberstes Bild: © 06photo – fotolia.com
Mehr zu Hauke Stieler
Ich bin seit 2014 Informatik Student im wunderschönen Hamburg und blogge leidenschaftlich über alle möglichen Themen aus der IT-Sicherheit und über Kuriositäten, die mir so begegnen. Neben dem Bloggen und dem Studium arbeite ich am liebsten an eigenen Softwareprojekten, spiele gerne Klavier und natürlich auch ab und zu Computerspiele.
