Autoklau per Antenne

Forschern ist es gelungen, drahtlose Schließ- und Zündsysteme zahlreicher Fahrzeugtypen zu knacken.

Der Autodieb der Zukunft hat es womöglich ganz leicht: Er muss sich nicht mehr gewaltsam Zutritt zum Fahrzeug verschaffen und es dann minutenlang manipulieren, um starten zu können. Das jedenfalls fürchten Wissenschaftler der ETH Zürich, die in einer neuen Studie passive schlüssellose Systeme ("Keyless Entry") von acht verschiedenen Autoherstellern einer Sicherheitsprüfung unterzogen.

Die Arbeit, die auf dem "Network and Distributed System Security"-Symposium in San Diego im Februar offiziell vorgestellt werden soll, hatte einen einfachen Ausgangspunkt: Srdjan Capkun, Juniorprofessor für Computerwissenschaften in der Forschungsgruppe für Systemsicherheit der Hochschule, kaufte sich selbst ein Auto mit einem derartigen Verschlusssystem. Die "Keyless Entry"-Systeme basieren auf einem kleinen Schlüsselanhänger, den der Fahrer bei sich trägt. Sobald er in die Nähe des Fahrzeuges kommt, öffnen sich die Türen und der Motor kann per Knopfdruck gestartet werden. Das Einstecken eines Schlüssels in ein Zündschloss ist nicht mehr notwendig.

Capkun und seine Kollegen Aurelien Francillon und Boris Danev untersuchten insgesamt zehn Automodelle von acht verschiedenen Herstellern. Das Ergebnis war erschreckend: Es gelang ihnen, jedes einzelne Fahrzeug zu knacken und mit ihm davonzufahren. Dabei bedienten sie sich der sogenannten Relay-Methode, die über zwei Antennen und eine Signalweiterleitung funktioniert. Kryptographische Verfahren und Protokolle mussten die Forscher nicht knacken.

"Keyless Entry" funktioniert normalerweise so: Das Fahrzeug sendet ein schwaches Signal mit einer Reichweite von wenigen Metern, das der Schlüsselanhänger empfängt. Dieser sendet, falls es sich um das korrekte Fahrzeug handelt, dann ein Kommando aus, dass das Fahrzeug öffnet und die Zündung erlaubt.

Den Forschern gelang es nun mit einem Antennenpaar, das Signal des Autos zum Schlüsselanhänger weiterzuleiten, auch wenn sich dieser deutlich weiter vom Fahrzeug entfernt befand als nur die üblichen maximal acht Meter. Dies erlaubte ein "Fernöffnen" auf eine Distanz von bis zu 100 Meter – soweit reicht das Signal des Schlüsselanhängers zum Fahrzeug zurück. Eine Antenne muss dabei sehr nah am Fahrzeug angebracht sein. Die andere befindet sich maximal acht Meter um den Schlüsselanhänger herum.

Zwei mögliche Angriffsszenarien werden in der Studie aufbereitet. In der ersten Variante wurde ein Kabel genutzt, das vom Fahrzeug bis in die Nähe des Schlüsselanhängers gezogen wurde – eher wenig praktikabel. Angriffsversion Nummer zwei erfolgt drahtlos und für den Autodieb wesentlich bequemer. Die Materialien, die dafür gebraucht werden, liegen laut Francillon bei 100 bis 1000 Dollar, je nach den verwendeten Komponenten. Die drahtgebundene Variante kostet sogar nur 50 Dollar.

Der Diebstahl – beispielsweise in einem Einkaufszentrum – sähe dann ungefähr so aus: Der Gauner, der mit einer Antenne ausgestattet ist, sucht sich auf einem Parkplatz das gewünschte Fahrzeug aus, das sein Besitzer gerade verlässt. Ein Komplize, der Antenne Nummer zwei bei sich trägt, verfolgt den Besitzer in einen nahe gelegenen Laden. Nun müssen beide nur noch die drahtlose Signalweitergabe synchronisieren – fertig. Da der Schlüsselanhänger wie bereits erwähnt auch noch in acht Meter Entfernung auf das weitergeleitete "schwache" Signal reagiert, fällt die Aktion dem Opfer nicht weiter auf.

Doch es geht noch leichter und unauffälliger: Falls der Autobesitzer im Restaurant sitzt und sich der Schlüssel auf dem Tisch eines Fensterplatzes befindet, beispielsweise. Wohnt das Opfer nahe an der Straße und bewahrt seinen Schlüssel funktechnisch "passend" auf, ließe sich sogar das vor dem Haus geparkte Auto flott entführen.

Zwar gibt es bei "Keyless Entry" eingebaute Sicherheitsmaßnahmen. So startet ein Auto nicht, wenn das Signal des Schlüssels nicht schnell genug eintrifft. Deshalb entwickelten die Forscher eine Methode, die Kommunikation zwischen ihren Antennen zu beschleunigen. Die meisten Relay-Angriffe bedingen, dass analoge Signale in digitale und anschließend wieder in analoge umgewandelt werden, was etwas Zeit braucht. Die Forscher beließen die Signale deshalb einfach im Analogformat, was die Verzögerung von Mikrosekunden zu Nanosekunden reduziert. So lässt sich der Angriff schwerer vermeiden.

Das ETH-Team hat Vorschläge erarbeitet, was Autofahrer und die Hersteller tun könnten, um sich zu schützen. So könnten die Schlüssel, wenn sie nicht benutzt werden, funksicher geschirmt werden, damit Angreifer nicht mit ihnen "reden" können. Alternativ könnten die Hersteller schlicht einen Knopf auf ihren Funkschlüsseln integrieren, der gedrückt werden muss, damit der Vorgang eingeleitet wird. Letzteres würde allerdings den Sinn von "Keyless Entry" aushebeln, geht es dabei doch gerade um die Bequemlichkeit, dass man einfach nur vor sein Auto treten muss, um es aufzuschließen.

Letztlich läuft deshalb alles darauf hinaus, eine neue Sicherheitstechnik einzubauen, die es den Fahrzeugen erlaubt, zu prüfen, ob sich wirklich ein Schlüssel in der Nähe befinden. "Da führt kein Weg dran vorbei", sagt Capkun. Seine Gruppe arbeitet bereits an Protokollen, die dies erleichtern könnten.

David Wagner, Professor für Computerwissenschaften an der University of California in Berkeley, der kryptographische Systeme in Autoschlüsseln untersucht hat, meint, die Studie der Schweizer könne der Industrie helfen, ihre Sicherheitssysteme in Zukunft deutlich zu verbessern. Autofahrer sollten sich jedoch auch jetzt nicht zu viele Sorgen machen, meint er. "Es gibt sicher noch leichtere Wege, ein Auto zu klauen."

Das Problem bleibt aber, dass solche High-Tech-Angriffe normalerweise keine Spuren hinterlassen. Für das Opfer wird es dann sehr schwer, gegenüber Polizei und Versicherung zu argumentieren. Aus diesem Grund müssten sich Hersteller, Behörden und Finanzbranche auf das Thema einstellen, meint Wagner.

"Autos sind ein zentrales Beispiel dafür, wie Computer mittlerweile überall Einzug halten", meint Tadayoshi Kohno, Juniorprofessor für Informatik an der University of Washington. Und diese seien eben oft angreifbar. Kohno half deshalb dabei, das Forschungszentrum "Center for Automotive Embedded Security Systems" aus der Taufe zu heben, das sich auf diese Fragen spezialisiert. Die Branche müsse grundsätzlich stärker über Sicherheit nachdenken, meint er. (bsc)