Vor gut einem Jahr habe ich zum ersten Mal über Kraftfahrzeuge und deren Verwundbarkeit über das Internet berichtet. Inzwischen ist die Entwicklung dramatisch vorangegangen.

So ist es vor kurzem zum ersten Mal gelungen sich kabellos in ein Auto zu hacken. Dies erfolgte über das Infotainmentsystem des KFZ. Gelungen ist es den IT Experten Charlie Miller, Security Researcher for Twitter, und Chris Valasek, Director of Vehicle Security Research for IOActive.

Im Jahre 2013 war ihnen dies bereits mittels eines Kabels gelungen. Sie verbanden Ihren Laptop über den Diagnosestecker, wie er in einer Werkstatt benutzt wird, mit dem KFZ. Die Autoindustrie war damals der Meinung, dass die Autos sicher seien solange eine körperliche Verbindung mit dem Auto erfolgen muss.

Diese Ignoranz trieb die beiden erst richtig an. Sie stellten fest, dass am einfachsten es bei einem Jeep Cherokee sein dürfte, diesen aus der Entfernung zu steuern. Als Schwachstelle hatten sie das sog. Uconnect-System ausgemacht, welches das Infotainment im Auto steuert.

Uconnect bündelt elektronische Fahrzeugfunktionen wie Navigation oder Musikmedien. Es dient aber auch als Schnittstelle zu den Smartphones der Insassen und auf Wunsch als WLAN-Hotspot. Es verfügt deshalb über eine eigene IP-Adresse. Über Uconnect gelangten die Computerspezialisten in den sogenannten CAN-Bus. Dieser vernetzt die zahlreichen elektronischen Steuergeräte eines Autos.

Mit Hilfe eines anfälligen Elements, das sie bisher nicht veröffentlichten, war es möglich die Kontrolle über den Wagen zu erlangen. So haben sie z.B. von Pittsburgh aus die Scheibenwischer aktiviert, als sich der Wagen ca. 1.000 km entfernt in St. Louis befand.

In weiteren Versuchen haben sie die Klima- und die Soundanlage voll aufgedreht, die Sitzkühlung aktiviert oder Wischwasser auf die Windschutzscheibe gespritzt. Die Krönung war, dass sie mitten auf der Autobahn den Motor ausschalteten.

Auf einem leeren Parkplatz zeigten sie, dass sie in die Lenkung eingreifen und die Bremsen außer Betrieb setzen konnten.

Der Fahrer im Auto konnte sich dagegen nicht zur Wehr setzen. Details werden auf der Hacker-Konferenz Black Hat vom 01. – 06.08.2015 in Las Vegas berichtet werden.

Damit kann natürlich auch auf die ganzen Fahrassistenzsysteme zugegriffen werden.

Noch spannender wird das Thema beim autonomen Fahren sein, d.h. wenn das Fahrzeug keinen Fahrer mehr benötigt, denn es kann seinen Weg nur mit Hilfe der Kommunikation mit der Außenwelt finden.

Inzwischen ist beim Cherokee die Sicherheitslücke geschlossen worden. In den USA wurden 1,4 Mio. Fahrzeuge zurückgerufen. Europa sei nicht betroffen, weil hier kein Mobilfunkmodem eingebaut sei.

Aber es ist sicher nur eine Frage der Zeit bis die nächste Lücke gefunden wird. Und in der Tat, eine wurde bereits entdeckt.

Aus Großbritannien kommt die Meldung, dass man ein KFZ allein über das Digitalradio (DAB) angreifen kann.

Über DAB können auch Texte und Bilder übertragen werden, die vom Infotainment-System des KFZ angezeigt werden. Deshalb kann damit dieses System übernommen werden. Bisher sei der Angriff nur im Labor geprobt worden und es sei Voraussetzung einen eigenen DAB-Sender zu bauen. Auch hierüber wird auf der oben genannten Konferenz in Las Vegas berichtet werden.
.
Noch ein Beispiel. Anfang dieses Jahres hat der ADAC durch Zufall eine Sicherheitslücke im ConnectedDrive von BMW gefunden. Per Mobilfunk ließen sich die Türen öffnen. Es handelt sich hierbei um ein Mobilfunkmodul zur Übertragung von Servicedaten und zur Bedienung von Heizung, Türverriegelung oder Klimaanlage per Smartphone. Inzwischen hat BMW nachgebessert. Die Daten werden nun über eine https-Verbindung übertragen.

Ob dies der Weisheit letzter Schluss ist, ist aber eher zweifelhaft.

Audi erklärt, dass seine Kommunikationsschnittstelle so sicher sei wie das Online-Banking. Audi lässt die Software im eigenen Haus entwickeln.

Außerdem erklären deutsche Hersteller, dass bei ihnen die Systeme für Infotainment und CAN-Bus getrennt seien, so dass ein Übergreifen nicht möglich sei.

Der IT-Branchenverband Eco hat vor kurzem eine Umfrage veröffentlich, nach der knapp ein Drittel der befragten IT-Experten davon überzeugt sind, dass das vernetzte Auto in Zukunft für weniger Sicherheit auf deutschen Straßen sorgen wird. Grund dafür seien vor allem Schwächen im Umgang mit Zugangsdaten, Apps, Updates und Verbindungen, die zuvor eine Kaspersky-Studie identifiziert hatte.

Die Hersteller werden mehr als schöne Worte liefern müssen, um die Käufer von der Sicherheit ihrer Produkte zu überzeugen. Wer will schon ein Auto fahren, dessen Steuerung aus der Ferne übernommen werden kann.