IT-Sicherheit von Autos "Man hat keine andere Wahl, als den Herstellern zu trauen"

Ken Munro hat das Zeug zum Autodieb oder Erpresser, doch der Hacker stellt sein Können lieber in die Dienste von Unternehmen. Die Hersteller, sagt er, hinken beim Thema IT-Sicherheit noch hinterher - mit einer Ausnahme.

Laptop auf einem Auto
Getty Images

Laptop auf einem Auto

Ein Interview von


Immer gut, wenn Interviews mit einer Feststellung des Interviewpartners statt der Frage des Reporters beginnen. Ken Munro ist jedenfalls gleich bei der Sache. Grundsätzlich habe er nichts gegen selbstfahrende Autos einzuwenden, macht der IT-Spezialist gleich zum Anfang des Gesprächs deutlich. "Aber", sagt er, "beim Thema autonome Fahrzeuge reden die Autohersteller immer von 'Möglichkeiten'. Sie meinen damit das Potenzial, tödliche Unfälle zu vermeiden. Ich denke beim Thema autonomes Fahren auch sofort an Möglichkeiten. Aber eher im Sinne von Hackerattacken."

Zur Person
  • Pen Test Partners
    Der Brite Ken Munro zählt sich zu den White-Hat-Hackern, das heißt, er klärt Unternehmen über Sicherheitslücken ihrer IT-Systme auf, anstatt sie damit zu erpressen. So zum Beispiel bei BMW oder Mitsubishi, deren Autos er knacken und fernsteuern konnte. Munro ist Mitgründer von Pen Test Partners, einer Sicherheitsfirma, die sogenannte Penetrationstests bei IT-Netzwerken und -systemen vornimmt, also deren Empfindlichkeit gegenüber Hackerangriffen untersucht.

SPIEGEL ONLINE: Warum sind denn ausgerechnet autonome Autos verwundbar?

Munro: Automatische Schließmechanismen, Reifendruckmesser und vergleichbare Systeme nutzen Funkfrequenzen. Das Infotainment-System ist über WLAN mit dem Internet verbunden. All diese Dinge sind potenzielle Einfallstore - schon heute. Für autonome Autos braucht man nun zusätzlich Sensoren: Radar, Lidar und Kameras, die miteinander kommunizieren müssen. Diese Technologien werden zu Schwachstellen, wenn sie nicht richtig geschützt sind. Jeder Hersteller will als erster ein autonomes Fahrzeug auf den Markt bringen und Vorreiter bei der Digitalisierung sein. Dabei handeln sie manchmal überstürzt und machen Fehler.

SPIEGEL ONLINE: Zum Beispiel?

Munro: Der einfachste Weg, ein Auto anzuzapfen, ist die Smartphone-App. Viele neue Fahrzeuge, die vernetzt sind, bieten eine App, über die man den Wagen öffnen oder vorheizen kann oder Ziele direkt ans Navigationssystem schickt. Wenn diese App nicht richtig geschützt ist, heißt es: Hereinspaziert.

Munro kommt direkt von der Bühne der Pariser Technologie-Konferenz Hello Tomorrow zum Interview. Dort hielt er einen Vortrag über IT-Sicherheit. Vor ihm war der Entwicklungschef eines großen Autoherstellers an der Reihe - der das Publikum für die Möglichkeiten autonomer Fahrzeuge zu begeistern versuchte.

SPIEGEL ONLINE: Gibt es Hersteller, die bei der IT-Sicherheit vorbildlich arbeiten?

Munro: Ja, Tesla zum Beispiel.

SPIEGEL ONLINE: Ausgerechnet Tesla? Erst im September 2016 hat eine chinesische Sicherheitsfirma demonstriert, wie sie sich Zugriff auf ein Model S von Tesla verschaffen konnte. Die Hacker konnten das Auto während der Fahrt per Fernbedienung abbremsen.

Munro: Das stimmt, aber Tesla hat rasch reagiert und konnte die Sicherheitslücke sofort schließen. Die schnelle Reaktion war ausgerechnet durch die Möglichkeit von "Over the Air"-Updates möglich…...

SPIEGEL ONLINE: … ...wo neue Software über eine WiFi-Internetverbindung auf dem Auto installiert wird.

Munro: Genau diese Schnittstelle hatte den Hackern zunächst als Einfallstor gedient. Aber als Tesla auf die Schwachstelle aufmerksam gemacht wurde, konnte die neue, sichere Version bei sämtlichen Modellen runtergeladen werden, ohne dass die Fahrzeuge in die Werkstatt mussten.

SPIEGEL ONLINE: Raten Sie jedem Hersteller zu solchen "Over the Air"-Updates?

Munro: Daran führt meiner Meinung nach kein Weg vorbei. Sonst hat jede aufgedeckte Schwachstelle eine Rückrufaktion zur Folge, und die sind für die Hersteller teuer und für die Kunden nervig. Software wird zu einem immer wesentlicheren Bestandteil von Fahrzeugen. Aber keine Software ist perfekt oder für immer vor Zugriffen geschützt. Gerade deshalb ist es wichtig, dass sie ständig und schnell verbessert werden kann, ohne dass die Autos dafür jedes Mal in die Werkstatt müssen.

SPIEGEL ONLINE: In Deutschland stehen Behörden solchen Updates kritisch gegenüber. Sie geben zu bedenken, dass die online heruntergeladenen Neufunktionen nicht von unabhängiger Stelle geprüft werden.

Munro: Das stimmt. Man hat keine andere Wahl, als dem Autohersteller zu trauen. Das gleiche gilt zum Beispiel auch für Banken, bei denen man über eine verschlüsselte Webseite Geld überweist. Aber in beiden Fällen kann man davon ausgehen, dass die Anbieter alles daran setzen, dass die übermittelten Funktionen zuverlässig arbeiten. Das liegt im Eigeninteresse der Hersteller.

SPIEGEL ONLINE: Reicht das wirklich aus? Tesla zum Beispiel hat seine "Autopilot"-Funktion per "Over the Air"-Update in die Model-S-Flotte geschickt. Inzwischen hat sich herausgestellt, dass diese nicht den geltenden Gesetzen entsprach. Wäre es nicht sicherer, wenn unabhängige Experten sich diese Updates anschauen würden?

Munro: In der Theorie ja, aber ich glaube nicht, dass die Behörden derzeit überhaupt dazu in der Lage sind. Es würde auch einen extremen Aufwand und hohe Kosten für sie bedeuten: Jedes Modell und jedes Steuergerät für die Bordelektronik müsste untersucht werden. Dazu fehlt es schlicht an Expertise.

SPIEGEL ONLINE: Ist den Autobesitzern klar, wie viele Schwachstellen ihr Wagen hat?

Munro: Nein. Meistens hat man doch nur den Anspruch, dass der Wagen zuverlässig anspringt. Viele Leute sind schon zu faul, sich ein sicheres Codewort für ihren Computer oder ihr Handy zu überlegen.

SPIEGEL ONLINE: Wie kann ich als Kunde dafür sorgen, dass Hersteller mehr Wert auf die Sicherung der Elektronik legen?

Munro: Sie müssen mehr Fragen stellen, wenn sie sich ein neues Auto kaufen.

SPIEGEL ONLINE: Zum Beispiel?

Munro: Wie die Sicherheitssysteme funktionieren und was getan wird, um die Gefahr eines Hacks zu verhindern. Ich würde mich außerdem erkundigen, wie der Hersteller vorgeht, wenn ein Sicherheitsleck entdeckt wird. Kann das Problem behoben werden, ohne dass ich das Auto in die Werkstatt bringen muss?

SPIEGEL ONLINE: Was ist ihr Eindruck: Sind die Hersteller in den vergangenen Jahren in Sachen IT-Sicherheit weitergekommen?

Munro: Ja, sie haben auf jeden Fall dazugelernt. Aber sie haben immer noch einen langen Prozess mit vielen Herausforderungen vor sich.

SPIEGEL ONLINE: Was ist die härteste Herausforderung?

Munro: Sie müssen die Geschwindigkeit der Verschlüsselungssysteme, die für die IT-Sicherheit nötig sind, mit den Kundenansprüchen unter einen Hut bringen. Oder wollen Sie vor dem Losfahren jedes Mal eine halbe Minute warten, bis ihr Auto alle Kodierungen durchgecheckt hat?

Mehr zum Thema


insgesamt 91 Beiträge
Alle Kommentare öffnen
Seite 1
sven2016 01.11.2016
1.
Sichere Datenübertragung per Funknetz halte ich für ein erstrebenswertes Ziel, aber in absehbarer Zeit für nicht real. Vielleicht gibt es dann spezielle Wagen für Facebook-Nutzer ("Collect GTI"). "Dem Hersteller trauen" ist auch so eine Sache. Wenn die als Beispiel genannte Bank Fehler im System hat, macht sie den Nachteil des Kunden rückgängig, und es ist gut. Im Auto kann bis dahin sonst was passiert sein. Wer will im ferngesteuerten Auto sitzen? Und die Identifizierbarkeit jedes Autos erweitert den Datenkrakenbereich auch erheblich.
huz6789 01.11.2016
2. Sinnlose Innovationen
Smartphone-App um mein Auto vorzuheizen ? Gehts noch ? Ein Haufen Firlefanz macht die Systeme überborden komplex und anfällig für alles Mögliche. Beim Auto jagt seit Jahren eine Unnsins-Entwicklung die nächste. Sie werden so immer fetter, piepen und blinken obwohl nix ist, brauchen immer mehr Sprit, werden immer anfälliger für Störungen, die mit Transport überhaupt nichts zu tun haben. Und das soll jetzt Innovation sein.
bausa 01.11.2016
3. no risk no fun
je mehr Technik vorhanden ist um so mehr geht kaputt und muss gewartet werden.Bei IT Systemen ist das nicht anders.Ich möchte Auto fahren,aber ohne technische Helferlein.Diesen ganzen anderen Schnickschnack braucht niemand.
bertram260e 01.11.2016
4. Lustige Polizeikontrollen gibt das...
...in der Zukunft: "Guten Tag, allgemeine Updatekontrolle. Wann haben Sie zuletzt aktualisiert?" Im Ernst: sowenig ein Update meines Gehirns durch Alkohol im Auto erwünscht ist, so unheimlich ist mir ein mitdenkendes Fahrzeug. Wer fährt eigentlich? Wer hat die Verantwortung? Ich oder ein unbekannter pickliger Juniorprogrammierer? Bremsen? "Das kann ich nicht tun, Dave"
wrzlbrnft 01.11.2016
5. Datenschutz
Alle reden von Datenschutz, nur die Automobil stellt uns Autos hin ohne sich um den Datenschutz zu kümmern. Keinerlei Infos welche Daten wo und wie gespeichert werden und was mit diesen Daten gemacht wird. Wo bleibt der Aufschrei der Datenschutzbeauftragten?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.