Hacker übernehmen das Steuer

Inhaltsverzeichnis

Mit ihren Mobilfunk- und Internetzugängen bieten moderne Automobile neue Angriffsflächen für Kriminelle. Über diese neuen Einfallstore ließen sich ferngesteuert sogar lebensgefährliche Unfälle auslösen.

Manche Besitzer von Mittel- oder Oberklasselimousinen staunten in den letzten Jahren nicht schlecht: Trotz modernster Funkschlüssel war ihr Wagen geöffnet worden. Mal wurden nur Gegenstände gestohlen, mal das Navigations- oder Unterhaltungssystem ausgebaut, mal war das ganze Auto verschwunden. Laut Gesamtverband der Deutschen Versicherungswirtschaft steigt die Zahl der Autodiebstähle seit 2008 wieder an – nachdem sie zuvor 15 Jahre lang immer weiter abgenommen hat.

Die Zahlen zeigen: Das Hase-und-Igel-Spiel zwischen Autoindustrie und Kriminellen ist in eine neue Runde gegangen. Sorgten verbesserte elektronische Sicherungen in der Vergangenheit für weniger Diebstähle und Aufbrüche, haben die Langfinger mittlerweile dazugelernt und wissen die Hightech-Hürden zu überwinden – beispielsweise indem sie die Funksignale von elektronischen Türschlüsseln mitschneiden.

Verglichen damit, was Auto-Eigentümern demnächst bevorstehen könnte, sind solche Angriffe allerdings Kinderkram: Forscher haben Verfahren entdeckt, aus der Ferne direkt in die Fahrzeugelektronik einzudringen. Haben sie den Wagen erst einmal gehackt, stehen ihnen Möglichkeiten offen, von denen gewöhnliche Kriminelle bisher nur träumen können. Über das Mobilfunknetz ließe sich die Wegfahrsperre lösen, Türen öffnen und sogar Bremsen deaktivieren. Kriminelle können von überall aus Unfälle provozieren und Menschenleben gefährden.

Zu den ersten Wissenschaftlern, die solche Sicherheitslücken publik machten, gehören der Informatiker Kleanthis Dellios und sein Doktorvater Constantinos Patsakis von der Universität Piräus. Dellios wollte im Rahmen seiner Promotion eigentlich nur untersuchen, wie sich die Schwächen der Funkschlüssel beheben lassen. Beim Blick auf die Fahrzeugelektronik fiel ihm allerdings ein viel grundlegenderes Problem auf: "Die wichtigsten Protokolle im Auto kennen keine Verschlüsselung." Er empfiehlt: "Die Autoelektronik sollte komplett neu konzipiert werden."

Über ihre Schnittstellen spricht die Autoelektronik nämlich meist bereitwillig mit einem beliebigen Gegenüber – ob es die Diagnosesoftware der Werkstatt oder der Laptop eines Kriminellen ist. Eine Authentifizierung sieht das System nicht vor. Schlimmer noch: Wer es schafft, an einer Stelle in die Elektronik einzudringen, hat meist auch Zugriff auf das gesamte Fahrzeug. Firewalls wie in der Computerwelt gibt es zwischen den verschiedenen Segmenten der Autoelektronik nicht. Die Schlussfolgerung der Forscher: Internetdienste für Fahrzeuge anzubieten oder sie gar in die Datenwolke zu bringen, sei eine "schlechte Idee".

Mangels Budget konnten Dellios und Patsakis die Sicherheitslücken nur anhand von Datenblättern und technischen Spezifikationen aufspüren. Etwa zeitgleich zeigten US-Wissenschaftler aber, wie sich die Schwachstellen in der Praxis ausnutzen lassen. Teams der Universität von Kalifornien in San Diego und der Universität des Staates Washington in Seattle schlossen sich zum Center for Automotive Embedded Systems Security (CAESS) zusammen. Mit ihren Etats konnten sie zwei nicht benannte Mittelklasselimousinen kaufen und an ihnen herumtüfteln. Ein Wagen ist auf Fotos als Chevrolet Impala zu erkennen.

Auf dem Usenix-Sicherheits-Symposium 2011 in San Francisco zeigten die CAESS-Spezialisten, was geht. Die Liste der potenziellen Angriffspunkte ist groß: Am naheliegendsten ist der Zugriff auf den sogenannten CAN-Bus (Controller Area Network). Dieser Datenkanal befehligt die fürs Fahren und Bremsen nötige Elektronik. Über Stecker im Motorraum oder im Armaturenbrett können Werkstätten ihren Diagnosecomputer anschließen, um etwa Problemen der Motorsteuerung auf den Grund zu gehen. Auf diesem Weg ließen sich theoretisch auch Funktionen des Fahrzeugs sabotieren. Denkbar, bislang aber nicht dokumentiert, wäre beispielsweise die Übertragung von Schadcode durch kriminelle Mitarbeiter.

Für Ganoven ist dieser Weg allerdings kaum praktikabel. Sie müssten dazu nämlich den Wagen öffnen. Und wenn sie schon so weit sind, können sie – ganz ohne IT-Kenntnisse – etwa die Batterie abklemmen, um die Alarmanlage mundtot zu machen, oder Servolenkung, Zündkabel oder Bremsen beschädigen.

Doch die CAESS-Tüftler fanden noch wesentlich elegantere Wege, Schaden anzurichten. Sie bauten das CD-Radio eines Fahrzeugs aus und entdeckten darin eine serielle Schnittstelle, über die sie die Firmware des Radios entschlüsseln konnten. Mithilfe dieser Informationen konstruierten sie eine bösartige Audio-Datei, die den Arbeitsspeicher der Radio-Elektronik mit Datenmüll zustopfte. Ein solcher "Pufferüberlauf" ist in der Computerwelt ein ebenso bewährtes wie beliebtes Mittel, Schadcode auf einen Rechner zu schleusen. Beim Auto ließe sich, so die CAESS-Forscher, auf diesem Wege auch in die Bordelektronik eindringen.

Eigentlich sollten Unterhaltungssystem und sicherheitskritische Fahrzeugelektronik strikt getrennt sein. In den meisten Autos waren sie es in der Vergangenheit wohl auch. Das Einfallstor, das die CAESS-Forscher fanden, ist verhältnismäßig neu: die Telematik-Einheit, die Unterhaltungs-, Navigations- und Assistenzsysteme in einer einzigen Baugruppe zusammenfasst.

Das Bestürzende an diesem Angriff: Wer unauffällig einen womöglich fatalen Unfall auslösen will, muss dem Opfer in Zukunft also nur die passende CD fürs Auto brennen.

Der Nachteil: Ein Angriff mit einer präparierten CD hin- terlässt ebendiese als Spur. Völlig ohne Rückstände verlaufen hingegen Attacken über das Funkprotokoll Bluetooth. Viele moderne Autos verbinden Handys über Bluetooth mit der Fahrzeugelektronik, etwa um die eingebaute Freisprecheinrichtung zu nutzen. Beim ersten Mal muss sich ein Mobiltelefon allerdings zunächst mit einer PIN anmelden. Die US-Forscher umgingen diese Hürde, indem sie einen Trojaner auf einem Android-Smartphone platzierten, das bereits mit dem Auto gekuppelt war. So verschafften sie sich Zugang zur gesamten Autoelektronik. Einmal drin, konnten sie die Türen öffnen oder die Wegfahrsperre abschalten. Am brisantesten aber ist sicherlich: Selbst die Bremsen ließen sich auf diese Weise deaktivieren. "Es war tatsächlich die normale Fahrzeugbremse, die man während unserer Versuche mit dem Bremspedal nicht mehr kontrollieren konnte", sagt Franziska Rösner, die als Doktorandin am CAESS-Hack mitgearbeitet hat.

Dieser Weg wäre allerdings kompliziert, weil Kriminelle auf das Handy des Opfers zugreifen müssten. Deshalb überlegten sich die CAESS-Informatiker, wie sie die Fahrzeugelektronik auch ohne diesen Umweg hacken könnten. Ihre Lösung: Ein Laptop mit entsprechender Software funkte das Auto über Bluetooth an und probierte verschiedene PINs durch. War die richtige gefunden, konnte das Laptop ans Auto andocken, ohne dass es in der Liste der verbundenen Bluetooth-Geräte auftauchte. Folglich ließ es sich vom Eigentümer auch nicht wieder entfernen. Das funktionierte beim Testwagen auch bei ausgeschalteter Zündung, denn die Telematikeinheit blieb auf Empfang.