Informatiker-Team darf Startcodes für Luxusautos nicht offenlegen
Flavio Garcia von der Universität Birmingham hat ein Sicherheitssystem ausgetrickst, das bei Fahrzeugen der Luxusklasse zum Einsatz kommt. Die geplante Veröffentlichung auf dem Washingtoner Usenix-Symposium wurde ihm jedoch gerichtlich verboten.
Der Volkswagen-Konzern hat in England eine gerichtliche Verfügung gegen den Informatikdozenten Flavio Garcia von der Universität Birmingham erwirkt, die es dem Wissenschaftler verbietet, die von ihm entschlüsselten Startcodes für Fahrzeuge offenzulegen. Das schreibt der britische "Guardian" in seiner Online-Ausgabe vom gestrigen Freitag. Garcia sowie die niederländischen Kryptografie-Experten Baris Ege und Roel Verdult von der Stichting Katholieke Universiteit hatten dem Sicherheitssystem Megamos Crypto, das bei digitalen Wegfahrsperren zum Einsatz kommt, den Algorithmus für die Zündschlüssel-Authentifikation entlockt. Ihre Ergebnisse wollten sie auf dem Usenix Security Symposium veröffentlichen, das im August in Washington, DC (USA), stattfinden soll. Dabei planten sie auch, konkrete Codes offenzulegen. Der Titel, den ihr Beitrag haben sollte, lautet "Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobiliser".
Der Volkswagen-Konzern als Mutter der Marken Bentley, Porsche, Lamborghini und Audi bat daraufhin die Forscher, eine reduzierte Version des Beitrags ohne die eigentlichen Codes zu verwenden. Fahrzeuge dieser vier Marken gehören zu denen, die von der geplanten Offenlegung betroffen wären. Als Garcia und seine Kollegen das ablehnten, ging der Konzern gerichtlich gegen sie vor. Volkswagen machte geltend, dass die Veröffentlichung es insbesondere kenntnisreichen kriminellen Gruppen mit den richtigen Werkzeugen erlauben würde, das Megamos-Crypto-System zu überwinden und die dadurch geschützten Autos zu stehlen.
Garcia und seine Kollegen wandten ein, sie seien "verantwortungsvolle, rechtstreue Wissenschaftler". Ihr Ziel bestehe darin, die Sicherheit für jedermann zu verbessern und nicht darin, Kriminellen beim Zugriff auf Luxusfahrzeuge zu helfen, von denen manches einen Wert von rund 300.000 Euro repräsentiere. Aber die Öffentlichkeit habe ein Recht darauf, in Schwachstellen von Sicherheitssystemen, auf die man sich verlasse, Einblick zu nehmen. Anderenfalls würden nur die Industrie und die Kriminellen wissen, dass diese Systeme anfällig seien, während die Öffentlichkeit unwissend gehalten werde.
Bei der Gerichtsverhandlung wurde deutlich, dass die Forscher der Verschlüsselungssoftware hinter dem hardwaregestützten Megamos-System mit mathematischen Mitteln auf den Grund gegangen waren. Das dafür nötige Material war seit 2009 übers Internet zugänglich. Der zuständige Richter erkannte ausdrücklich an, wie wichtig das Veröffentlichungsrecht für die Wissenschaftler sei, aber in diesem Fall würde es dazu führen, dass Autodiebstahl gefördert werde. Die Entscheidung fiel bereits vor rund drei Wochen, wurde aber erst jetzt im Zuge einer breiteren Diskussion um die Verantwortlichkeiten von Autoherstellern bekannt.
Das Gericht, das die Verfügung erlassen hat, ist der High Court of Justice of England and Wales (EWHC). Von seinen Zuständigkeiten her ist das in London ansässige und mit zahlreichen Bezirksregistraturen vertretene Gericht vergleichbar mit Landgerichten in Deutschland. Ähnlich wie bei der Trennung von einstweiligem Rechtsschutz und Hauptsacheverfahren, die das deutsche Recht kennt, ist die vom High Court ausgesprochene Verfügung eine schnelle, vorläufige Maßnahme innerhalb des von Volkswagen gegen die Forscher angestrengten Prozesses. Der Konzern wollte die zu seinen Gunsten erfolgte Entscheidung nicht kommentieren. (psz)
