Inhaltsverzeichnis

Doch auch dieser Weg ist noch vergleichsweise umständlich. Der Angreifer – beziehungsweise sein Rechner – muss sich in unmittelbarer Nähe des Autos befinden. Außerdem kommunizierte der Versuchs-Pkw nur sehr träge per Bluetooth. Der Versuch, die richtige PIN herauszufinden, dauerte Stunden; um währenddessen nicht die Autobatterie leerzusaugen, schlossen die Forscher das Fahrzeug ans Stromnetz an.

Als Nächstes prüften die CAESS-Forscher deshalb, ob sich ein Auto auch aus größerer Entfernung hacken lässt. Naheliegendes Einfallstor ist das Mobilfunkteil der Telematikeinheit. Moderne elektronische Helfer können beispielsweise nach einem Unfall per Mobilfunk Hilfe herbeirufen. Und sperrt sich der Fahrer aus seinem Auto aus, kann der Hersteller über das Handynetz die Türen öffnen – oder die Bremsen aktivieren, wenn der Besitzer sein Fahrzeug als gestohlen meldet. Wem dieser Weg offensteht, kann fremde Autos fernsteuern.

Die Telematikeinheit der Versuchsfahrzeuge bucht sich zwar vorzugsweise SSL-verschlüsselt, also vergleichsweise sicher ins UMTS-Netz ein. Wo UMTS nicht verfügbar ist, weicht das System aber auf das althergebrachte GSM-Netz aus. Und hier wurden die Forscher auf ihrer Suche nach Sicherheitslücken fündig: Der Hersteller der Software für das Mobilfunk-Modem ging von viel verfügbarem Pufferspeicher aus, der Lieferant der darauf aufbauenden Telematik-Einheit von wenig. Weiter ging es dann wie gehabt: An der fehlerhaften Schnittstelle zwischen den Komponenten provozierten die IT-Spezialisten einen Pufferüberlauf und hatten freie Bahn. Nun konnten sie das Auto von jedem Telefon der Welt aus übernehmen. Es reichte sogar aus, dem Software-Modem bestimmte Tonfolgen per MP3-Player vorzuspielen: Die CAESS-Forscher legten einfach den Kopfhörer eines iPods auf das Mikrofon eines Telefons, das mit dem Auto verbunden war, und spielten das geforderte Gefiepe ab – das war's.

Die Angriffe eignen sich nicht nur für den unmittelbaren Zugriff aufs Fahrzeug. Es sind auch mehrstufige Szenarien machbar: Zunächst dringen Hacker nur in die Fahrzeugelektronik ein und platzieren dort ihren Schadcode. Den rufen sie zu einem späteren Zeitpunkt auf, um eine bestimmte Aktion zu starten. So konnten die CAESS-Tüftler beispielsweise ein selbst geschriebenes Programm auf der Telematik-Einheit installieren, welches Daten direkt aus der fürs Fahren und Bremsen zuständigen Elektronik empfängt und weiterleitet. Auf diesem Weg brachten sie die kompromittierten Fahrzeuge dazu, ihre per GPS ermittelte Position ständig mitzuteilen und das Mikrofon der Freisprecheinrichtung einzuschalten – ein perfektes Spionage-Tool also. Als die beiden Forscher Karl Koscher und Alexei Czeskis ein so präpariertes Auto auf ihrem Campus in Seattle bestiegen, konnte ihr Kollege Stephen Checkoway an seinem Schreibtisch im 2000 Kilometer entfernten San Diego auf Google Maps verfolgen, wohin die beiden fuhren und – mit ein paar Sekunden Verzögerung – ihre Gespräche belauschen.

Ein weiteres Einfallstor sind die Reifendrucksensoren. "Die Kommunikation zwischen Sensoren und der Anzeige im Auto läuft ungeschützt via Bluetooth", sagt Constantinos Patsakis. "Sie können einem Auto vorspielen, es hätte fünf Räder." Auch über das UKW-Radio-Daten-System (RDS), WLAN und in Zukunft Car2Car-Kommunikation (siehe TR 2/2012, S. 70) lassen sich die beschriebenen Hacks realisieren. Das Muster ist in allen Fällen gleich: Über drahtlose Schnittstellen kommunizieren moderne Fahrzeuge mit der Außenwelt. In dem Augenblick, in dem man sie dazu gebracht hat, mit einem Angreifer zu sprechen, steht beim jetzigen Stand der Technik das Auto offen. So sehen es zumindest Constantinos Patsakis, Kleanthis Dellios und die CAESS-Forscher.

Die Autohersteller sind – wenig überraschend – anderer Meinung. Sie argumentieren, dass sich die gefundenen Schwachstellen nicht einfach so auf ihre Modelle übertragen lassen. Zum Beispiel die Sache mit Bluetooth: "Ohne Autoschlüssel funktioniert Bluetooth bei BMW nicht", sagt Friedbert Holz, für die Produktkommunikation bei BMW zuständig. "Und man muss die Rufnummer der Telematik kennen – mit Ausprobieren findet man die nicht ohne Weiteres heraus." In der Tat: Die US-Forscher erfuhren die Telematik-Telefonnummer ihrer Fahrzeuge nur, weil sie sich als Besitzer offiziell beim Telematikanbieter angemeldet hatten.

Ähnlich äußert sich Volkswagen. Neue Bluetooth-Geräte könnten nur durch den Kunden selber angekoppelt werden. Dabei zeigt das Auto dem Nutzer eine PIN an, die dieser in das Mobilgerät eingeben muss. "Der von CAESS gezeigte Angriff ist so bei unseren Fahrzeugen nicht durchführbar", sagt Volkswagen-Sprecher Hartmuth Hoffmann. Außerdem kommunizierten VW-Telematikgeräte ausschließlich und verschlüsselt mit anderen Volkswagen-Systemen, nicht mit jedem beliebigen Gerät. Mercedes-Sprecher Andrew S. May verweist darauf, dass Mercedes-Fahrzeuge über mehrere Bus-Systeme verfügten, die unter anderem die Diagnoseschnittstelle vom restlichen Fahrzeugnetz abkoppeln. "Sie übernehmen damit eine Firewall-Funktion", so May.

VW-Sprecher Hoffmann gibt allerdings zu: "In keiner Branche kann eine neue Technologie vollständig auf alle Angriffsformen hin untersucht werden. Mit einem beliebig hohen Aufwand kann man immer auch in eingebettete Systeme einbrechen." Dirk Breuer, bei Toyota Sprecher für den Bereich Technik, mag die von CAESS und den griechischen Informatikern entworfenen Szenarien ebenfalls nicht grundsätzlich ausschließen. Ob sich allerdings, wie die CAESS-Forscher behaupten, auch die Bremsen eines Fahrzeugs abschalten lassen, "das bezweifeln wir, weil es immer eine mechanische Rückfallebene gibt". Breuer teilt aber die grundsätzliche Einschätzung der Forscher: "Die heutige Technik arbeitet ohne Schutzwälle." Ein häufiges Problem sei zum Beispiel, dass Zulieferer mit einem einzigen Elektronikmodul möglichst viele Kunden abdecken wollten. "Funktionen, die in bestimmten Fahrzeugen ungenutzt bleiben, könnten für Angriffe missbraucht werden", so Breuer. Überflüssige Bauteile sollten aus Sicherheitssicht also weggelassen werden, um das Risiko zu minimieren.

Müssen Autofahrer nun fürchten, dass aufgeweckte Nachbarskinder demnächst ihren Wagen per Laptop sabotieren? Vorläufig nicht. "Meine Kollegen und ich fahren unsere Autos weiterhin entspannt", sagt Tadayoshi Kohno, Leiter der CAESS-Arbeitsgruppe. Immerhin mussten zehn Wissenschaftler zwei Jahre lang herumtüfteln, um die geschilderten Lücken zu finden. "Wir wollen es Kriminellen nicht leicht machen und geben keine Quelltexte unserer Programme heraus", sagt Franziska Rösner. "Aber wir wollen die Autohersteller sensibilisieren. Was uns Sorgen macht, ist, dass Autos nun zunehmend ans Internet angeschlossen werden. Wenn man nicht von Anfang an für Sicherheit sorgt, wird es hinterher gefährlich." Das alte Hase-und-Igel-Spiel beginnt also gerade wieder von vorn. (bsc)