Hacking-Kit für Steuergeräte im Auto

Der ehemalige Tesla-Praktikant Eric Evenchick stellt auf der BlackHat-Asia-Konferenz ein Automobil-Hacking-Toolset auf Open-Source-Basis vor. Es besteht aus einer auf Python basierenden Open-Source-Software namens CANard sowie einer Hardware-Karte namens CANtact, die die CAN-Busse (Controller Area Network) von Autos mit der USB-Schnittstelle eines Laptops verbindet. Über CAN-Busse sind die Steuergeräte vernetzt, die zahlreiche sicherheitsrelevante Funktionen vom Antrieb bis zum Bremsen steuern.

CANtact kostet 60 US-Dollar und ist zunächst in einer Stückzahl von 100 verfügbar. Aber auch die Hardware steht unter einer offenen Lizenz. Die CANard-Software spricht über CANtact der CAN-Bus an und führt Diagnosen durch. Für die Konferenz kündigte Evenchick mehrere Demos bestehender Schwachstellen an, unter anderem das Brechen der Diagnose-Security und das Manipulieren von Steuergeräten.

Evenchick will es Sicherheitsforschern einfacher machen, die Security-Elemente von Autos zu testen. Außerdem will er die Autoindustrie dazu bringen, sich intensiver mit Sicherheitsproblemen als bisher auseinanderzusetzen. Für den Betrieb von Autos sollen inzwischen über 100 Millionen Codezeilen notwendig sein. "In der Forschung sind wir glücklich, wenn wir einige 10.000 Codezeilen nachweislich sicher machen können," sagt etwa Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie .

Evenchicks ehemaliger Arbeitgeber Tesla soll deshalb findigen Forschern eine Prämie für gefundene Schwachstellen zahlen. Soviel Offenheit ist deutschen Autobauern fremd. Eckehart Rotter, dem Sprecher des Verbands der Automobilindustrie (VDA) ist jedenfalls nicht bekannt, dass die deutschen Hersteller das Auffinden von Schwachstellen belohnen würden. "Dies müsste ja dem Kunden kommuniziert werden, aber das ist bislang meiner Beobachtung nach nicht geschehen", sagte er heise online. Dass es Schwachstellen bei deutschen Autos gibt, bewies der im Februar bekannt gewordene BMW-Hack. (ad)