heise Investigativ: Viele Ampeln sind per Funk einfach manipulierbar

Inhaltsverzeichnis

Vielen Autofahrern kommt das bekannt vor: Man steht ewig vor einer roten Ampel. Doch kaum taucht ein Linienbus auf, schaltet die Ampel auf Grün, noch bevor der Bus zum Stehen kommt. Dahinter steckt ein System zur Steuerung der Ampelphasen – und so mancher hätte diese Technik wohl gern in seinem Pkw. c’t hat in einer gemeinsamen Recherche mit den Politikmagazinen Panorama 3 (NDR) und Kontrovers (BR) untersucht, wie das funktioniert und wie sicher es ist, schließlich sind Ampeln ein kritisches Angriffsziel für Hacker.

c't kompakt

• ÖPNV-Fahrzeuge wie Busse steuern Ampeln per Funk an, damit diese schneller auf Grün springen.
• Dabei kommt in vielen Städten eine analoge Funktechnik aus den 80ern zum Einsatz.
• Die Technik ist nicht vor Angriffen geschützt, auch Hacker können die Ampeln ansteuern.
• Dennoch ist ein Wechsel auf sicheres Verfahren oftmals nicht konkret geplant oder noch Jahre hin.

Die magische Technik verbirgt sich hinter der sperrigen Bezeichnung Lichtsignalanlagen-Beeinflussung. Lichtsignalanlage (LSA) ist Behördendeutsch für Ampel. Viele Nahverkehrsbetriebe statten ihre Fahrzeuge mit Systemen zur LSA-Beeinflussung aus. Ein Bus meldet sich darüber bei der Ampel an, bevor er sie erreicht, um gegenüber den anderen Verkehrsteilnehmern bevorzugt zu werden und schneller voranzukommen.

Mehr zum Thema Hacking:

• Spielerisch hacken üben mit Knobelaufgaben
• Die Werkzeuge der Hacker im Test: ein Überblick über interessante Gadgets
• Tamagotchi und Hackerwerkzeug in einem: Flipper Zero im Test
• Angriffsfunktionen moderner Hacking-Gadgets
• Sicherheitsforscher Tobias Scheible im Interview: Gefahren von Hacking-Gadgets
• heise Investigativ: Viele Ampeln sind per Funk einfach manipulierbar
• ContiLeaks: So knackten wir die geleakte Zip-Datei der Cybergang Conti
• Hacking als Browserspiel: Mit Bitburner JavaScript-Kentnisse verbessern
• Hacking und Bug-Hunting
• Hacking anhand eines Beispiels Schritt für Schritt erklärt
• Hacken leicht gemacht: Angreifen in virtueller Trainingsumgebung
• Windows-Helfer: Nützliche Hacking-Tools für den Alltag
• Hacking-Tools: Hacking-Stick mit Kali Linux einrichten
• Hacking-Tools: Werkzeuge für Experten
• Hackersoftware: Rechtliche Unsicherheiten bei Hacking-Werkzeug

Die Ampel verändert ihre Schaltzeiten, indem sie die aktuelle Grünphase in Fahrtrichtung des Busses verlängert oder die nächste vorzieht. Im besten Fall ist die Ampel rechtzeitig grün und der Bus kann einfach durchfahren. Damit sollen Verspätungen der Busse reduziert werden, ohne dass dauerhaft für den Individualverkehr ungünstige Schaltprogramme eingeführt werden müssen. Folglich sind auch nicht alle Ampeln mit der Technik ausgestattet, sondern primär solche auf den Routen des öffentlichen Nahverkehrs.

Funktechnik aus den 80ern

Die LSA-Beeinflussung läuft meist über Funk und es gibt sie schon seit den 80er-Jahren. Den Möglichkeiten der damaligen Zeit geschuldet, setzt das Verfahren auf analoge Funktechnik. Das war naheliegend, denn so konnten die Verkehrsbetriebe die vorhandenen Funkgeräte in den Fahrzeugen einfach für den neuen Zweck mitnutzen.

Die Funkgeräte erzeugen auf einer reservierten Betriebsfunkfrequenz mittels Frequenzmodulation einen schmalbandigen Sprachkanal, ganz ähnlich wie beim UKW-Radio oder bei Walkie-Talkies. Um diesen bereits vorhandenen Sprachkanal nun für digitale Daten nutzen zu können, werden abwechselnd zwei Töne übertragen, welche der LSA-Empfänger der Ampel in digitale Daten, also Nullen und Einsen umwandelt (Frequenzumtastung). Das klingt so ähnlich, als hätte man versehentlich ein Faxgerät angerufen.

Auch wenn die Bordcomputer vieler Fahrzeuge inzwischen auch mit digitalen Funkschnittstellen wie LTE oder TETRA ausgestattet sind, die Ampeln sind es meist noch nicht und werden deshalb weiterhin über Analogfunk angesteuert, so wie es Anfang der 80er in den Normen spezifiziert wurden. Selbst im europäischen Ausland kommt diese alte Technik teilweise noch zum Einsatz.

Und die Sicherheit?

Das wirft zwangsläufig die Frage auf, wie es um die Sicherheit dieser vier Jahrzehnte alten Funktechnik bestellt ist. Man sollte meinen, dass Ampelanlagen ein interessantes Angriffsziel für Hacker und Trolle sind, dennoch blieben Berichte über derartige Aktivitäten bislang aus. Ist die analoge Funktechnik aus den 80ern doch nicht so leicht zu knacken, wie man es von unverschlüsselter Funkkommunikation erwarten würde?

Schon im Jahre 2003 fanden sich in einer Ausgabe der Zeitschrift „Datenschleuder“ des Chaos Computer Club (CCC) erste Hinweise auf die Funktionsweise der Ampelbeeinflussung. Um 2020 herum haben einige findige Mitglieder des CCC in einer sächsischen Großstadt die ÖPNV-Technik untersucht. Es gelang ihnen, die von Fahrzeugen abgesetzten Datenpakete mit gängiger Technik aufzufangen und zu interpretieren. Sie nutzen die Signale, um die aktuelle Position von Bussen zu bestimmen.

Im Unterschied dazu wäre es ein großes Problem, wenn Angreifer die alte analoge Funktechnik missbrauchten, um die Schaltvorgänge zu manipulieren. Und genau das ist möglich. Da die Verbindung nicht verschlüsselt ist, können auch Unbefugte gültige Datenpakete an Ampeln schicken und den Straßenverkehr so unmittelbar beeinflussen.

Die Manipulation der Ampelanlagen ist kein theoretisches Sicherheitsproblem. Das geht aus uns zugespielten Informationen einiger unabhängiger Informanten hervor. Diese konnten uns glaubhaft belegen, dass es über die veraltete Funktechnik auch in der Praxis möglich ist, Ampelanlagen zu manipulieren. Der Bau eines geeigneten LSA-Empfängers und -Senders sei mit öffentlich zugänglichen Informationen „für Interessierte mit Grundwissen in Informatik oder Nachrichtentechnik keine große Sache“.

Wir warnen ausdrücklich davor, mit der LSA-Beeinflussung zu experimentieren. Es handelt sich hier um Funkfrequenzen, die nicht für die Öffentlichkeit bestimmt sind. Wer die Technik missbraucht, muss mit einem hohen Bußgeld rechnen. Außerdem kann die unerlaubte Manipulation von Ampeln, einem sicherheitsrelevanten Baustein des Straßenverkehrs, strafrechtliche Konsequenzen nach sich ziehen.

heise Investigativ

Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

https://heise.de/investigativ

Bestandsaufnahme in 100 Städten

Um herauszufinden, wie verbreitet der anfällige Analogfunk noch ist, haben wir im November bei rund einhundert Kommunen nachgefragt. Wir interessierten uns für die derzeitige Technik zur Ampelbeeinflussung und etwaige Umrüstungspläne auf moderne Verfahren. In rund 90 Fällen erhielten wir eine verwertbare Antwort mit – mal mehr, mal weniger konkreten – Informationen über den aktuellen Stand der Dinge. Grund zur Entwarnung können wir nach der Auswertung der Antworten nicht geben – ganz im Gegenteil: In etwa 80 Fällen kommt die analoge Funktechnik auch heute noch zum Einsatz, insbesondere im Busverkehr.

Die Gründe dafür variieren, häufig werden jedoch die zu erwartenden Kosten genannt. Vielerorts sehen die Verantwortlichen aber auch schlicht keine Notwendigkeit, wie etwa aus der Antwort einer niedersächsischen Großstadt hervorgeht: "Eine Umstellung auf digital ist nicht geplant, solange die Frequenzen dafür nicht abgekündigt werden. Denn es ist stabiles Funksystem (mit einer Genauigkeit von 99,8%)."

Auswege

Klar ist, der für die Ampelbeeinflussung genutzte Analogfunk muss schnellstmöglich einem sichereren Kommunikationsweg weichen. Das bedeutet unausweichlich erheblichen Aufwand und Kosten für die Kommunen und Verkehrsbetreiber. Doch welche Möglichkeiten gibt es?

Die Verantwortlichen haben die Wahl zwischen zwei möglichen Architekturen: zentral und dezentral. Der zentrale Ansatz sieht eine Leitstelle vor, welche eine Verbindung mit jeder Ampel unterhält. Die Fahrzeuge beeinflussen nicht direkt die Ampeln, sondern melden sich bei der Leitstelle und diese leitet die Anfragen an die Ampeln weiter.

Die zentrale Steuerung ist mancherorts bereits in Betrieb, wie uns etwa die Stadt Heilbronn berichtet: "Im Stadtgebiet Heilbronn senden die Fahrzeuge ihre Positionen per Mobilfunk an den Verkehrsrechner, welcher als Zentrale fungiert. Vom Verkehrsrechner wird der Schaltbefehl digital an das Steuergerät der Ampel übermittelt." Das System ist dort bereits seit 2021 im Einsatz.

Derzeit kommt vor allem die dezentrale Steuerung zum Einsatz, die Fahrzeuge melden sich die Fahrzeuge direkt bei den jeweiligen Ampeln an. Um dieses Konzept abzusichern, ist eine Änderung nötig: Anstelle des unsicheren Analogfunks müsste ein modernerer Digitalfunkstandard wie TETRA oder Tetrapol zum Einsatz kommen. Unsere Anfragen ergaben, dass TETRA bereits seit Längerem unter anderem in Köln, Dortmund und Bonn zum Einsatz kommt, von Tetrapol berichten Passau und Hamburg.

Die wenigen Positivbeispiele täuschen aber nicht darüber hinweg, dass die Ampeln im weit überwiegenden Teil der angefragten Städten noch per Analogfunk gesteuert werden, der "veraltet und nicht angriffssicher ist", wie eine sächsische Stadtverwaltung in ihrer Stellungnahme einräumte. Trotzdem wurden die Planungen zur Umstellung auf digitalen Funk hier "auch aufgrund fehlender finanzieller Mittel bisher nicht weiter verfolgt".

Alle Informationen auch im Videobeitrag der ARD:

• Kritische Infrastruktur: Wie leicht Ampeln manipuliert werden können

(rei)