Die gehackte Maut

Wer in der kalifornischen Region um San Francisco unterwegs ist und dabei das automatisierte "FasTrak"-Mautsystem verwendet, um die Gebühren für Brücken und Straßen drahtlos abzurechen, könnte leicht Opfer von Betrug werden.

Davon ist zumindest Nate Lawson überzeugt, Sicherheitsexperte bei der IT-Security-Firma Root Labs. Er hat die Angreifbarkeit des Systems überprüft und kam im Gegensatz zu den Beteuerungen des Herstellers zu der Überzeugung, dass die eindeutigen Identifikationsnummern, die der FasTrak-Sender nutzt, um einzelne Kunden zu unterscheiden, kopiert oder überschrieben werden kann. Da dies mit relativ wenig Aufwand möglich ist, werde Kriminellen Tür und Tor geöffnet, meint Lawson.

Das bedeute auch, dass Betrüger die Sender klonen könnten, sagt er, indem sie die ID eines anderen Fahrers bei sich hochluden. So wären sie dann kostenlos unterwegs, während ein anderer die Rechnung zahle. "Es ist ein trivialer Akt, den FasTrak-Sender zu klonen. Ich selbst habe bereits mehrere Klone meiner eigenen ID erstellt."

Lawson glaubt, dass diese Technik auch genutzt werden könnte, um mittels FasTrak-System falsche Alibis zu erhalten. Vor der Begehung einer Straftat würde man dann einfach die Nummer eines anderen Fahrers hochgeladen. Das Mautsystem speichere dann, dass ein anderer als der Verdächtige unterwegs sei.

Bislang konnte Lawson die Sicherheitslücken nur für das FasTrak-System in San Francisco und Umgebung nachweisen, doch auch andere in den USA verwendete Mautsysteme wie "E-Z Pass" (eingesetzt in 13 Bundesstaaten) oder "I-Pass" (verwendet in Illinois) könnten möglicherweise angreifbar sein, wie der Sicherheitsforscher meint. "Jedes aktuelle System muss öffentlich auf seine Sicherheit untersucht werden, um nachzuweisen, dass es keine ähnlichen Probleme gibt." Tatsächlich sorgen drahtlose Identifikations- und Bezahlsysteme bereits seit Wochen für Schlagzeilen wegen möglicher Sicherheitsprobleme – etwa der "Mifare Classic"-Chip, der in vielen Städten im Nahverkehr verwendet wird, darunter Boston und London.

Die für FasTrack zuständige Behörde MTC gibt an, sie halte ihr System nach wie vor für sicher, werde sich Lawsons Erkenntnisse aber ansehen. "Wir arbeiten mit dem Hersteller zusammen, um potenzielle Risiken erkennen und korrigieren zu können", hieß es in einer Stellungnahme. "Wir verbessern außerdem die Überwachung unseres Systems, um potenzielle betrügerische Aktivitäten auszuschließen."

In der Vergangenheit gaben die Behörden an, dass das FasTrak-System eine Verschlüsselung nutze, um die Daten zu schützen. Außerdem seien keine persönlichen Angaben auf dem Gerät gespeichert – nur zwei einzigartige, zufällig vergebene Identifikationsnummern. Eine davon wird verwendet, um den Sender auf den Kunden, der ihn kauft, zu registrieren, während die andere als ID dient, die an den Mautstellen ausgelesen wird.

Nachdem Lawson den Sender geöffnet hatte, stellte er allerdings fest, dass es keine echte Sicherheitsschicht gibt, mit denen diese Nummern geschützt werden. Der Sender verwendet zwei Antennen: Eine zum Erkennen der Signalanfrage des Lesegerätes und eine zum Übertragen der ID, sodass sie gelesen werden kann.

Kopiert man die IDs nun vom Lesegerät, ist es möglich, die Sender dazu zu bewegen, die ID zu übertragen. Dieser Trick muss nicht auf der Autobahn verwendet werden. Es reicht aus, durch einen Parkplatz zu laufen und die Sender diskret abzufragen.

Hinzu kommt ein anderes Problem: Obwohl der Hersteller behauptet, dass die IDs nur gelesen werden können, stecken sie in einem wiederbeschreibbaren Flash-Speicher. "FasTrak weiß das vielleicht nicht, weswegen ich mit dem Anbieter in Kontakt treten wollte", sagt Lawson. Es sei außerdem möglich, einen Befehl an das Gerät zu schicken, um die ID zu überschreiben. Sie wird dabei gelöscht oder gegen eine andere ausgetauscht.

"Ein Zugriff auf eine ID gibt nicht auch Zugriff auf weitere Informationen", heißt es hingegen von der zuständigen Behörde MTC, "wir glauben außerdem, dass es sehr aufwendig ist, die IDs zu klonen". Außerdem könne man betrügerische Aktivitäten auf dem Kundenkonto jederzeit feststellen und den Betrüger mit dem bestehenden System dingfest machen.

Lawson glaubt hingegen, dass das ständige Wechseln der ID ausreiche, um Betrug zu verschleiern. Eine Lösung, glaubt er, wäre es, wenn Lesegeräte und Empfänger eine Form der sicheren Authentifizierung verwenden würden. Das würde aber technische Veränderungen an den Mautstellen und den Sendern bedeuten. Alternativ schlägt Lawson ein "Privacy Kit" vor, mit dem der Fahrer seinen Sender an- und ausschalten kann. So wäre er immer nur dann kurz gefährdet, wenn er durch die Mautstelle fährt. Es gibt aber auch noch eine andere Methode: "Wahrscheinlich ist es am günstigsten, den Sender einfach zuhause zu lassen." Schließlich verwende FasTrak auch noch das Ablesen des Nummernschildes als Backup-System.

Ross Anderson, Professor für Sicherheitstechnik an der britischen Cambridge University, glaubt, dass sehr viele Embedded-Systeme wie der FasTrak-Sender von nahezu jedem manipuliert werden könnten. "Die Leute brauchen nur ein bisschen Zeit dazu." Eine kompetente Verwendung von Verschlüsselungsverfahren sei die Ausnahme. Das werde sich auch nicht sehr bald verändern. "Eine Industrie nach der anderen setzt auf digitale Technologien. Den wenigsten ist dabei klar, dass sie von Anfang an IT-Security-Know-how brauchen. Das fällt ihnen immer erst auf, wenn es zu spät ist und ein Angriff erfolgt", sagt er.

Bruce Schneier, Sicherheitsguru und Technologiechef beim kalifornischen IT-Security-Spezialisten BT Counterpane, glaubt, dass es den Firmen oft zu einfach gemacht werde. Sie kämen mit "lausiger Sicherheit" weg. "Wenn ich ehrlich bin, sehe ich nur eine Möglichkeit: Die Kunden, also die Transportunternehmen und Behörden, müssen ihre Lieferanten verklagen." Erst dann werde vielen Herstellern klar, dass sich etwas ändern müsse. (bsc)