Geisterfahrer am Laptop
22. Juli 2015
Diese Autofahrt wird Andy Greenberg so schnell nicht vergessen. Dabei war der Redakteur des US-amerikanischen Technik Magazins Wired gewarnt. Die beiden Sicherheitsexperten Charlie Miller und Chris Valasek hatten ihm vor seiner Fahrt den Rat mitgegeben, auf keinen Fall in Panik zu verfallen - egal was passiere. Als dann bei der Fahrt auf der Autobahn in dem weißen Jeep Cherokee plötzlich die Klimaanlage eiskalte Luft in den Fahrgastraum blies, war das noch ganz lustig. Als das Radio auf einmal zum lokalen Hip-Hop Sender wechselte und in voller Lautstärke losdröhnte, war es schon etwas nervig. Als die Scheibenwaschanlage losging und ihm teilweise die Sicht nahm, wurde Greenberg langsam mulmig. Aber als ihm die Hacker mitten in der Fahrt den Motor abstellten, war Greenberg doch am Rande der Panik. Auf einem Parkplatz demonstrierten die beiden Hacker später, dass sie auch in die Lenkung und das Bremssystem eingreifen können.
470.000 Autos gefährdet
Greenberg hatte gewusst, worauf er sich einlässt. Er hatte sich als Versuchskaninchen bereit gestellt. Miller und Valasek wollten den Beweis erbringen, dass sie sich mit einem Laptop und einem Mobiltelefon in das Fahrzeug einhacken konnten - kabellos, nur über das Internet verbunden, bequem von ihrem Arbeitszimmer aus. Der Versuch ist geglückt. Und würde nach Schätzung der beiden wohl bei einer knappen halben Million weiterer Fahrzeuge funktionieren. Solche, die so wie der Jeep ebenfalls mit dem Uconnect System ausgestattet sind. Dieses Infotainment-System bündelt zahlreiche elektronische Funktionen wie etwa Navigation oder Musikunterhaltung und dient als Schnittstelle zu den Smart-Phones und Tablet Computern der Insassen.
Mikko Hypponen vom finnischen IT-Sicherheitsunternehmen F-Secure hat ein grundsätzliches Problem ausgemacht. Zwar hätten Autobauer seit jeher großen Wert auf Sicherheit gelegt, gesteht Hyponnen den Autobauern im DW-Gespräch zu. Mit Computersicherheit aber hätten sie traditionell nur geringe Erfahrung. Jetzt aber müssten die Fahrzeughersteller Computersicherheit als Teil ihrer allgemeinen Sicherheitsphilosophie mitdenken, so der IT-Experte aus Helsinki.
Dabei wird die Problematik eher noch zunehmen, erwartet Ferdinand Dudenhöffer vom Center for Automotiv Research an der Universität Duisburg-Essen. Im DW-Interview verweist er auf den Trend zum automatisierten Fahren. Künftig würden die Fahrzeuge durch die sogenannte Car-to-X-Technologie sehr viel stärker mit ihrer Umgebung kommunizieren, so Dudenhöffer: "Kommunizieren geht aber über das Internet. Das heißt: Die Gefahr wächst. Wir müssen uns sehr viel mehr Gedanken machen, um die Fahrzeugsicherheit in Bezug auf Hacker zu optimieren", mahnt der Duisburger Autoprofessor. Diese Sicherheitsthemen würden in Zukunft enorm an Tragweite gewinnen, sagt Dudenhöffer voraus.
Kühlschrank verschickt Spam
Das gilt nicht nur für Autos. Das viel beschworene "Internet der Dinge" hat schon längst Einzug gehalten in unsere Lebenswirklichkeit. Immer mehr Geräte in unserer Umgebung sind vernetzt. Der Netzwerkhersteller Cisco schätzt die derzeit vernetzten Geräte weltweit auf rund 15 Milliarden. Bis 2020 erwartet Cisco eine Steigerung auf 50 Milliarden. Aber auch der smarte Kühlschrank ist ein potentielles Angriffsziel. Anfang 2014 wurde erstmals über einen Kühlschrank berichtet, der als Teil eines Botnetzes massenhaft Spam-mails verschickt hat. "Es ist das Wesen des Internets der Dinge, Dinge zu vernetzen, die zunächst nichts mit dem Internet zu tun haben - Autos, Kühlschränke, smart-homes und wie die ganzen Schlagworte heißen", erläutert Christof Paar. Der Professor für eingebettete Sicherheit an der Ruhr-Universität Bochum weiß: Oft genügt es den Herstellern, wenn sie eine gute Vernetzung herstellen und so zusätzliche Funktionen bereitstellen können. Nur: "Die Sicherheit wird oft gar nicht beachtet oder hat beim Systemdesign nur einen sehr niedrigen Stellenwert", so Paar.
Das hat seinen Grund auch darin, dass für solche Geräte Cybersicherheit kein Verkaufsargument ist, bestätigt Mikko Hypponen - und bringt das Beispiel eines Toasterkaufs: "Da denkt man nicht an Cybersicherheit. Deshalb wird Sicherheit hier immer nur am Rande bedacht und bekommt auch nur das kleinste Budget. Aber das billigste Produkt setzt sich am Markt durch". Der finnische Sicherheitsexperte weist auf ein weiteres Problem hin: Man kann diese Geräte nicht nachträglich schützen. Kühlschränke oder Toaster kann man nicht mit Anti-Viren Programmen ausstatten.
Das Geheimnis lüften
Zurück zum Auto. Wenn hier die Sicherheit kompromittiert wird, ist das nicht nur lästig, wie bei einem Spam verschickenden Kühlschrank. Deshalb machen Miller und Valasek auch schon seit Jahren auf die Schwachstellen von vernetzten Autos aufmerksam. 2013 hatten sie in einem Toyota Prius und einem Ford Escape vorgeführt, dass sich Autos mit einem Laptop übernehmen lassen. Auch damals war Andy Greenberg am Steuer. Aber Miller und Valasek mussten da noch auf der Rückbank sitzen und per Kabel mit dem Auto verbunden sein.
Wie genau der drahtlose Hack über das Internet funktionierte, wollen Miller und Valasek Anfang August auf der "Black-Hat" Konferenz in Las Vegas vorstellen. Der Bochumer Sicherheitsexperte Paar hält das für richtig. Nur durch die Veröffentlichung würde das Bewusstsein für die Gefahr geschärft. Außerdem, so Paar, reagierten die Hersteller ohne öffentlichen Druck nur sehr zögerlich auf Sicherheitshinweise. Den Autobauer Chrysler haben Miller und Valasek schon vor Monaten über die Sicherheitslücke informiert. Jetzt hat Chrysler einen Patch herausgebracht, mit dem die sich schließen lässt. Lästig ist: Der muss von Hand eingespielt werden, über einen USB-Stick. Miller hat auf seinem Twitter-account eindringlich gemahnt, sich von dieser Hürde nicht abschrecken zu lassen.