Neue Sicherheitsfeatures Kampf gegen Auto-Hacker

Hackerangriffe Foto: Unicept 3 Bilder

Spätestens seit den zahlreichen Hacker-Angriffen des vergangenen Jahres ist klar geworden, wie angreifbar das moderne vernetzte Auto ist. Die Branche sucht krampfhaft nach Antworten auf die neuen Sicherheitsherausforderungen. Die besten Ansätze kommen jedoch nicht von den Herstellern.

In den Autocomputer einzudringen ist zum Lieblingssport der Hackerszene geworden. Im vergangenen Sommer hat die Entwicklung – rechtzeitig zu den jährlichen großen Hackerkonferenzen – einen neuen Höhepunkt erreicht. Im Wochenrhythmus sorgten Erfolgsmeldungen von findigen Computerexperten für basses Erstaunen bei Autofahrern und zunehmende Panik bei den Fahrzeugherstellern. Denn auch wenn es bei den aktuellen Hacks lediglich um die Ehre oder künftige IT-Berater-Verträge geht – auch gegenüber Angriffen von richtigen Kriminellen werden moderne Autos immer verwundbarer.

Ohne Internet-Anbindung kommt heute kaum mehr ein neues Pkw-Modell auf den Markt. Und wenn 2018 das Notrufsystem E-Call zur Pflicht wird, ist per Definition in jedem neuen Autotyp ein Mobilfunk-Chip an Bord. Doch schon jetzt bieten viele Hersteller nicht nur ein onlinefähiges Infotainment-System an, sondern zusätzlich auch noch diverse Apps, mit denen sich aus der Ferne per Smartphone Daten abfragen und Funktionen steuern lassen. Vom Check der Tankfüllung bis zum Öffnen und sogar Starten aus der Distanz ist dabei vieles möglich, für das man bislang im Wagen sitzen musste. Was für den Kunden nette Spielerei, ist für den Hersteller ein Probelauf für die Geschäftsmodelle der Zukunft. Denn bei der Vernetzung fallen Nutzerdaten an, und die werden in Zukunft immer wichtiger.

Autohacken neuer Lieblingssport der Hackerszene

In den Autocomputer einzudringen ist zum Lieblingssport der Hackerszene geworden. Im vergangenen Sommer hat die Entwicklung – rechtzeitig zu den jährlichen großen Hackerkonferenzen – einen neuen Höhepunkt erreicht. Im Wochenrhythmus sorgten Erfolgsmeldungen von findigen Computerexperten für basses Erstaunen bei Autofahrern und zunehmende Panik bei den Fahrzeugherstellern. Denn auch wenn es bei den aktuellen Hacks lediglich um die Ehre oder künftige IT-Berater-Verträge geht – auch gegenüber Angriffen von richtigen Kriminellen werden moderne Autos immer verwundbarer.Die Sicherheit der Computersysteme hingegen war bislang wohl weniger entscheidend, wie die zahlreichen Hacks der vergangenen Monate gezeigt haben.

Zu den spektakulärsten zählte das Kapern eines Jeep Cherokee über dessen Infotainment-System. Weil die Fahrzeugsteuerung von den Unterhaltungsfunktionen kaum getrennt war, konnten die amerikanischen Hacker Charlie Miller und Chris Valasek das Fahrzeug sogar aus der Ferne zum Stehen bringen. Der Hersteller musste daraufhin ein großangelegtes Software-Update starten – und zwar mit per Post verschickten USB-Sticks. Was unweigerlich für weiteren Spott aus der Szene sorgte. Der Fiat-Chrysler-Konzern war damit aber alles andere als allein. BMW etwa flog sein amateurhaft gesicherter Online-Dienst "Connected Drive" um die Ohren, und General Motors hatte ähnlichen Ärger mit seinem vergleichbaren Angebot "On Star".

Beide Dienste zählen zu den App-basierten Service-Angeboten, die immer mehr Hersteller offerieren, um ihren Kunden auch außerhalb des Fahrzeugs den Zugriff auf Daten und einzelne Funktionen zu ermöglichen. Als Kommunikationsmedium dient dabei das Smartphone – das gleichzeitig auch die große Schwachstelle ist. US-Hacker Samy Kamkar etwa ist es kürzlich gelungen, App-Daten von Handys abzufangen und zu missbrauchen – etwa um die Türen zu öffnen und zu schließen oder den Standort eines Fahrzeugs festzustellen.

Verschlüsselter Funk-Chip im Autoschlüssel

Solche und ähnliche Angriffe verhindern könnten möglicherweise Entwicklungen wie die des Softwareunternehmen Unicept aus Hannover. Bekannt ist die Firma vor allem für ihre Funkausweise, mit denen große Unternehmen Zugangsberechtigungen zu Gebäuden und Computer-Systemen regeln. Das Prinzip dieser verschlüsselten Funk-Chips hat man nun auf ein Gerät übertragen, das jeder Autofahrer unweigerlich mit sich führt: den Autoschlüssel. Jeder Befehl des Handys geht zunächst per Funk dorthin. Im Gehäuse des Schlüssels sitzt ein kleiner Kryptographie-Chip, der die Anweisung an das Fahrzeug zertifiziert und autorisiert. Das Ganze funktioniert nach dem sogenannten Public-Key-Verschlüsselungsverfahren, das seit den 70er-Jahren benutzt wird und noch immer als kaum zu knacken gilt. Denn das Abfangen der Handy-Daten alleine würde Angreifern nicht mehr helfen. Sie müssten schon den Autoschlüssel in ihren Besitz bringen – wie in der alten, analogen Spielart der Kriminalität. Die Technik wäre dem Hersteller zufolge in kurzer Zeit serienreif, die Kosten für den Kunden gering. Erste Interessen soll es bereits geben.

Zumindest einem Teil der aktuellen Hacks wäre mit dem sogenannten Krypto-Autoschlüssel wohl beizukommen. Generelle Schwächen in der Software-Struktur moderner Autos kann aber auch er nicht lösen. Jedes Auto verfügt mittlerweile über x-tausende Zeilen Programmier-Code, der selbst für die jeweiligen Hersteller mittlerweile kaum mehr durchschaubar ist. Hier könnte die aus der Welt der Desktop-Computer bekannte Quasi-Kooperation von Software-Entwicklern und hobby- oder berufsmäßigen Hackern helfen: Wer eine Sicherheitslücke findet und sie dem Hersteller mitteilt, kann in vielen Fällen auf finanzielle Belohnungen hoffen. Unter den Autohersteller schreibt aktuell lediglich der kalifornische Newcomer Tesla ein sogenanntes "bug bounty" – ein Fehler-Kopfgeld - aus. Je nach Größe des Funds gibt es zwischen 25 und 10.000 Euro, plus Eintrag in die Hacker-Ruhmeshalle der Firma. Für Unternehmen wie Facebook, Microsoft oder Oracle sind solche Kopfgelder schon lange eine Selbstverständlichkeit. Auf den Kundenseiten der meisten Autohersteller findet man hingegen noch nicht einmal eine Kontaktadresse für das Übermitteln von Sicherheitslücken.

Tesla ist Vorbild bei IT-Sicherheit

Eine weitere Hilfe gegen Hackerangriffe kommt von den Hackern Miller und Valasek (mittlerweile übrigens unter öffentlichem Aufsehen vom Mobilitätsdienstleister Uber als Sicherheitsexperten rekrutiert). Deren Jeep-Hack wäre nach eigener Aussage nicht möglich gewesen, hätte das SUV über das von den beiden entwickelte Überwachungssystem verfügt. Das Intrusion Detection System soll Angriffe auf die Fahrzeug-Software erkennen und unterbinden können. Notfalls durch ein Herunterfahren von Teilsystemen.

Dauerhaft komplette Sicherheit wird es aber wohl trotzdem nicht geben, wie schon die bei konventionellen Computersystemen immer wieder auftretenden Sicherheitslücken zeigen. Wie ernst die Fahrzeugindustrie die IT-Sicherheit künftig nimmt, bleibt aber abzuwarten. Am Ende hängt das nicht zuletzt von der Sensibilisierung beim Kunden ab. Branchen-Quereinsteiger Tesla zumindest wirbt ganz offensiv mit seiner IT-Sicherheit – und die ist aktuell in vielerlei Hinsicht Vorbild für die etablierten Marken.