Abstürzende Neuwagen

Die Elektronik soll Autos sicherer machen. Und wenn sie nicht funktioniert? Störungen an Batterie, Sensoren und Software sind die häufigsten Gründe für Pannen – zudem steigt das Risiko für Hackerangriffe.

Wer es noch nicht selbst erlebt hat, der hat zumindest schon von den geisterhaften Geschichten rund um rätselhafte Erscheinungen der Autoelektronik gehört: Schiebedächer und Fenster, die bei Regen nicht schließen. Klimaanlagen, die heizen, anstatt zu kühlen.Totalausfall der Anzeigetafel beim Einlegen des Rückwärtsgangs. Und, und, und.

Auch Sicherheitssysteme scheinen betroffen zu sein, wie die öffentliche Vorführung des Bremsassistenten eines Volvos zeigte. Der Wagen rollte mit Tempo 30 auf das Heck eines Sattelaufliegers zu und krachte dann ungebremst in den Unterfahrschutz des Lkws. Der Volvo war bis zur Fahrgastzelle zusammengestaucht: Totalschaden. Der am Steuer sitzende Dummy konnte natürlich nicht sehen, dass die Warnlampe leuchtete. Sie hätte die Fehlfunktion des Bremsassistenten angezeigt, sagt der schwedische Autohersteller. Der Grund für den Ausfall des Systems und den peinlichen Crash soll das eilige Aufladen der Batterie kurz vor der Vorführung gewesen sein. Die hohe Ladespannung habe dann wohl einigen Steuersystemen inklusive dem Bremsassistenten den Garaus gemacht.

Meist allerdings lösen eher zu niedrige Spannungen oder völliger Stromausfall Störungen aus. In der aktuellen Pannenstatistik des ADAC war eine leere Batterie Ursache Nummer eins – und das nicht zum ersten Mal. Dabei geben nicht nur alte Batterien den Geist auf, sondern auch solche, die noch keine drei Jahre im Einsatz sind. "Das gesamte Energiemanagement ist bei vielen Herstellern fehlerhaft oder zumindest nicht ausreichend abgestimmt", sagt Helmut Schmaler, ADAC-Ingenieur und Projektleiter Batterietest, Elektrik und Elektronik.

Ursache ist die enorm gestiegene Anzahl von Stromverbrauchern im Auto – insbesondere die der Steuergeräte für verschiedenste Komfortfunktionen. Auch nach Fahrtende schalten sich diese Verbraucher lange nicht ab. "Eigentlich sollten sich die Steuergeräte nach und nach zur Ruhe begeben, aber das funktioniert eben nicht immer", sagt Schmaler. Zieht jemand beispielsweise am Türgriff oder öffnet noch einmal die Tür, weil er etwas vergessen hat, dann wacht das Steuergerät für die Wegfahrsperre wieder auf, und bei Dunkelheit geht die komplette Beleuchtung an. Bei vielen Dieselautos schalten sich sogar schon die Glühkerzen des Motors ein, damit der Selbstzünder genauso schnell anspringt wie ein Benziner. "Allein die Steuergeräte können schnell mal 10 bis 15 Ampere ziehen, und dann ist die Batterie am nächsten Morgen natürlich leer", sagt Schmaler.

Neben zu niedriger Bordnetzspannung löst auch die Software hin und wieder Fehlfunktionen aus. Zwar heißt es bei Volvo, dass der Code für sämtliche Steuergeräte schon früh durch Simulation getestet und später im Fahrzeug noch unter realen Bedingungen geprüft wird. Doch Schmaler bezweifelt, dass die Tests ausreichen: "Die Elektroniker kommen bei den Prototypen erst ganz zum Schluss dran. Dann ist natürlich kaum noch Zeit, das Ganze auszuprobieren und eine vernünftige Abstimmung zu treffen." Zudem fallen gelegentlich die Steuergeräte selbst aus oder arbeiten fehlerhaft – etwa weil sie feucht wurden oder weil Bauelemente, Lötstellen oder Steckkontakte einfach nur eine begrenzte Lebensdauer haben.

Doch trotz ihrer Batterieprobleme erweisen sich Fahrzeuge heute als zuverlässiger als früher. Die Zahl der Pannen, bei denen das Auto liegen bleibt, ist bei Neufahrzeugen seit Ende der 70er- Jahre auf fast ein Fünftel gesunken. Selbst der Ausfall von ABS oder ESP wird dem Fahrer angezeigt, und er kann trotzdem sicher in die nächste Werkstatt fahren – wenn auch ein bisschen weniger sportlich.

So weit, so gut. Wenn aber ein Fahrzeug ohne Zutun des Fahrers plötzlich anfährt, abbremst oder gar die Bremsen versagen, lässt sich das weder mit Hardware- noch mit Softwarefehlern erklären. Dann ist mit großer Wahrscheinlichkeit ein Hacker in die Fahrzeug-IT eingedrungen. Forscher der Universität Washington und der Universität von Kalifornien in San Diego haben gezeigt, dass sich mit den nötigen Fachkenntnissen nahezu alle Funktionen eines modernen Autos manipulieren und sogar fernsteuern lassen (siehe TR 8/2012, S. 46). Alle Steuersysteme sind nämlich miteinander vernetzt und regeln sämtliche Funktionen im Auto. Sogar das Gaspedal und die vermeintlich sichere Bremse lassen sich über das Antiblockiersystem (ABS) oder das elektronische Stabilitätsprogramm (ESP) ansteuern.

Bisher beschränken sich die Angreifer auf vergleichsweise harmlose Dinge: Sie manipulieren das Türschließsystem, tunen per Motorsteuerung oder drehen die Kilometerleistung auf dem Tacho zurück. "Das Hacken anderer Funktionen ist größtenteils noch Zukunftsmusik", betont Christoph Krauß, Leiter Embedded Software Security am Fraunhofer AISEC-Institut.

Das allerdings muss nicht so bleiben. Denn mit den zunehmenden digitalen Verbindungen des Automobils zur Außenwelt vermehren sich auch die möglichen Einfallstore für Hacker. "Es gibt drei kritische Schnittstellen", sagt Krauß. "Die Car-to-Car-Schnittstelle, der Internetzugang über GSM und Bluetooth sowie WLAN im Fahrzeug." Wer sich persönlich Zugang zum Auto verschaffen kann, hat es sogar noch einfacher. "Über den Standard-Servicestecker kann man in aller Ruhe reingehen und dann eine andere Schnittstelle wie Bluetooth freischalten", sagt Winfried Stephan, Berater bei T-Systems und seit 30 Jahren im Geschäft. Stephan untersucht für fast alle deutschen Hersteller die IT-Sicherheit ihrer Autos.

Für besonders kritisch hält der IT-Experte die sogenannten Embedded Systems, also die im Auto "eingebetteten" Computersysteme. "Da verbinden sich Fragen zur IT-Security sofort mit Fragen, die Leib und Leben betreffen", sagt Stephan. Bis heute ist das am meisten verbreitete Kommunikationsprotokoll im Auto der sogenannte CAN-Bus. Dieser Bus wurde bereits vor 30 Jahren von Bosch entwickelt und sollte vor allem die Zahl der im Auto verlegten Kabel reduzieren, indem eine Vielzahl von Geräten über nur zwei Leitungen angesteuert werden konnten. Doch 1983, lange vor der Erfindung des World Wide Web, konnte niemand die heutigen Bedrohungen absehen.

Um trotzdem Sicherheit zu gewährleisten, müssen die Hersteller also die Elemente, die der Bus verbindet, besonders vor Angriffen schützen. Heute ist die Software, die jeden der an die hundert Prozessoren in einem Auto steuert, deshalb stark abgesichert. "Damit nicht jeder irgendeine x-beliebige Software in die Komponenten einspielen kann", erläutert Stephan von T-Systems. Das aber reicht dem IT-Berater noch nicht.

Stephan empfiehlt ein standardisiertes Hardware-Sicherheitsmodul, kurz HSM, das in alle sensiblen Fahrzeugkomponenten integriert werden sollte. Darauf könne dann eine Linux-Middleware laufen, die als besonders sicher gilt. Da der Quelltext von vielen Leuten eingesehen werden kann, fallen Sicherheitslücken eher auf und werden früher behoben als an firmeneigenen Programmen. Die einzelnen Komponenten will Stephan obendrein durch Firewalls gegeneinander abgesichert sehen. "Das ist für mich eine zukunftsweisende Richtung. So kann man im Fahrzeug wirklich ein Sicherheitsnetz aufbauen."

Doch das Rundum-Paket ist teuer. "Natürlich gibt es bei den Herstellern auch die ökonomische Sicht", sagt Christoph Krauß. "Das ist immer ein Abwägen zwischen potenziellem Schaden und der Eintrittswahrscheinlichkeit." Ein gegen alle IT-Angriffe geschütztes Auto wäre unbezahlbar. Wo sich aber sparen lässt, dürfte eine schwierige Entscheidung werden. (bsc)