Hacker-Angriff aufs Auto Bremsenversagen via Bluetooth

Hacker können Autos leicht außer Kontrolle bringen. Zwei US-Experten untersuchten nun beliebte Fahrzeugmodelle auf ihre Sicherheit. Das Ergebnis fiel erschreckend aus. Mit einer Ausnahme - die kam aus Deutschland.

Jeep

Von


Mit zunehmender Vernetzung der Fahrzeugtechnik ergeben sich für Auto-Hacker ganz neue Einfallstore. Jetzt haben die amerikanischen Auto-Hacker Charlie Miller und Chris Valasek Sicherheitslücken aufgedeckt, die sie durch öffentlich zugängliche Handbücher und Reparaturanleitungen ausgemacht hatten. Das Besondere dabei: Hacker könnten über Funksysteme wie Bluetooth oder Reifendruckkontrolle das Fahrzeug aus der Ferne angreifen.

Ohne Kabel Zugriff auf die Fahrzeugelektronik

Erst vergangenes Jahr hatten Miller und Valasek die Kontrolle über Lenkrad und Bremsen beim Ford Escape und Toyota Prius erlangt. Auch anderen Hackern ist das bereits gelungen. Allerdings brauchten sie dazu noch einen Laptop, der mit dem Fahrzeug verbunden war.

Auf der diesjährigen Black-Hat-Sicherheitskonferenz in Las Vegas, eine der größten und bedeutendsten ihrer Art, haben die beiden Auto-Sicherheitsexperten ihre Ergebnisse vorgestellt. Letztlich ist eine Art Handbuch entstanden, das die vernetzten Komponenten verschiedener Fahrzeugtypen bewertet und einschätzt. Anders als 2013 handelt es sich hierbei jedoch um eine rein theoretische Analyse, keine tatsächlich erfolgten Hacks.

Die Autohacker-Expertin des Chaos Computer Clubs (CCC) aus den USA, Christie Dudley hat sich die Ergebnisse für SPIEGEL ONLINE angesehen und hält sie für glaubwürdig. Auch wenn beispielsweise der BMW i8 darin fälschlicherweise als i12 bezeichnet wird.

Drei Fahrzeuge besonders leicht angreifbar

Die beiden Forscher identifizierten drei Fahrzeuge als "leicht zu hacken": Infiniti Q50, Jeep Cherokee sowie Cadillac Escalade - alle diese Fahrzeuge sind auch in Deutschland erhältlich. Der Toyota Prius der Modelljähre 2010 und 2014 schneidet ebenfalls schlecht ab.

Wie angreifbar die untersuchten Fahrzeuge sind, zeigt die Fotogalerie.

Drei Faktoren spielten für die Bewertung eine Rolle:

  • Angriffsfläche: Mögliche Angriffsflächen liefern Funkverbindungen wie Bluetooth, Wi-Fi, Mobilfunknetz, schlüsselloses Einstiegs- und Reifendrucksysteme. Jede dieser Funkverbindungen kann von Hackern als mögliche Schwachstelle genutzt werden, um Zutritt zum Netzwerk des Autos zu bekommen.

  • Netzwerk-Architektur: Im nächsten Schritt galt es herauszufinden, wie weit die Funkverbindungen Hackern ermöglichen, durch die Hintertür auf kritischere Systeme wie Lenkrad oder Bremsen zuzugreifen.

  • Gefahr durch Assistenzsysteme: Als drittes bewerteten Miller und Valasek die Gefahr, die von gehackten Assistenzsystemen ausgeht, sie sprechen von "cyber physical". Solche Assistenten für autonomes Bremsen, Parken oder Spurhalten können über gefälschte digitale Befehle überlistet werden und das Auto so außer Kontrolle bringen. Leichter wird es für Hacker, wenn all diese Systeme miteinander kommunizieren.

Besonders anfällig ist den Forschern zufolge das Modell Q50 der Nissan-Luxusmarke Infiniti mit seinen Funk-Systemen und einer besonderen Smartphone-Infiniti-App, die als Schnittstelle zwischen Fahrer und Auto fungiert. Auch Tesla bietet eine App für Fahrer an, die erst kürzlich Ziel eines Hacker-Angriffs wurde. "Es ist sehr großartig, dass die all diese Funktionen haben", sagt einer der Forscher gegenüber dem Technologiemagazin Wired. "Aber es ist ein wenig beängstigend, dass sie alle miteinander kommunizieren können", so Miller.

Kehrseite des mobilen Internetzugangs

Positiv schnitt der Audi A8 ab. Er sei ein löbliches Beispiel. Eine entsprechende Schnittstelle blockiere Befehle aus den Funknetzen, die an Lenkung oder Bremsen gingen. Und letztlich werde so verhindert, dass jemand aus der Ferne die Kontrolle über das Fahrzeug erlangt.

Die Gefahr steigt aber durch den Einzug des Internets in die Autos. Zunehmend werden handelsübliche Browser in den Fahrzeugen installiert, mit dem Insassen von unterwegs surfen können. Doch gerade bei Browsern seien Hacks fast alltäglich. Angreifer könnten so Zugriff auf die internen Steuerbefehle des Autos erhalten.

Die Untersuchung von Miller und Valasek zeigt, wie real die Bedrohung tatsächlich wird. So wurden einige Fahrzeugmodelle wie der Toyota Prius in verschiedenen Modelljahren untersucht - mit dem Ergebnis einer zunehmenden Angreifbarkeit.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 59 Beiträge
Alle Kommentare öffnen
Seite 1
romanpg 11.08.2014
1.
die Bezeichnung BMW i12 ist nicht falsch. Das ist die interne Baureihenbezeichnung, wie z.B. beim aktuellen 3er F30
war:head 11.08.2014
2.
Ohne jetzt die Autoindustrie verteidigen zu wollen, aber eine Risikobewertung anhand der vorhandenen Interfaces sagt so ziemlich gar nichts über die Angreifbarkeit eines Autos aus. Das ist in etwa so als ob man die Sicherheit eines Hauses an der Anzahl der Türen und Fenster bemisst. Wichtig ist, wie einfach es ist, in der Praxis über diese Schnittstellen tatsächliche Angriffe zu fahren. Wobei mMn kein Zweifel besteht, dass eine Menge Autos rumfahren, wo dies problemlos möglich ist. Insofern doch beruhigend, dass das meinige alt genug ist, um ohne Vernetzungen auszukommen.
Dr.Fuzzi 11.08.2014
3. Och Joh!
Damit muß offensichtlich leben, wer meint, den neuesten und oftmals unnützen Schnickschnack unbedingt haben zu müssen. Damit meine ich übrigens auch Fahrzeuge mit mehr Kraft, wie Kreti und Pleti mittels Gaspedal, Bremse und Lenkung beherrschen können und daher bereits herstellerseitig fast vollständig elektronisch "einreguliert" werden - völlig absurd. Ich bin immer noch sehr zufrieden mit meinen zwischen 20 und 40 Jahre alten Fahrzeugen, denen selbst ein mobiler EMP-Generator meist eher wenig anhaben könnte, auch wenn diese inzwischen im Schnitt rund 1 - 1,5 Litern unter dem heute üblichen Verbrauchschnitt liegen. Bluetooth bzw. Internet sind gar nicht existent und auch völlig unnötig.
muttisbester 11.08.2014
4.
wobei die Elektronik eigentlich von den Zulieferern kommt. Und die (deutschen) Zulieferer haben ihre Testsysteme und sämtliche Bordelektronik richtig gut gesichert. Alles "verdongelt" und verrammelt. Aus Angst vor Industriespionage. Und sicher auch aus Angst vor Hackerangriffen. Es wird mir auch ein Rätsel bleiben, warum heute noch immer alles über das Internet oder ein anderes Netzwerk zugänglich sein muss.
drsmart 11.08.2014
5.
Wird dann noch lustiger, wenn im Rahmen der Industrie 4.0 die ganze Industrie-Produktion am Netz hängt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.