Hacker sind überall

Knallharter Kampf um Datensicherheit im Auto

(Bild: Elektrobit)

Fehlende Standards, veraltete Hardware, Mangel an Fachkräften: Die Informations-Systeme im Auto bieten große Einfallstore für Hacker, die es auf die Daten unter dem Blech abgesehen haben. Experten wissen, was zu tun ist, um neue Gefahren beim Fahren zu vermeiden - und warum es nicht zu völliger Sicherheit reichen wird.

Den Reisepass hat Gregor Zink schon ins Handschuhfach gesteckt und sich auf den Weihnachtsurlaub in seinem nagelneuen Audi Q7 gefreut. Leider hat ein Hacker genau so viel Freude an dem SUV des Top-Managers beim Software-Anbieter Elektrobit gefunden - und heimlich per Funk-Empfänger den Code aus dem Schlüssel Zinks ausgelesen, das Auto geöffnet und es auf Nimmerwiedersehen gen Osten entführt.

Noch ein halbes Jahr später regt sich Zink über den Klau mittels Keyless-Go-Funktion auf. Darf er auch: Schließlich ist eines der wichtigsten Produkte seiner Firma Software gegen den unbefugten Zutritt zu den Bordsystemen unserer Autos. Doch selbst die Top-Autos der 100.000-Euro-Liga sind da nicht sicher.

Im Gegenteil: "In Premium-Fahrzeugen sitzen heutzutage bereits mehr als 100 eingebettete Steuergeräte, die miteinander und mit der Außenwelt kommunizieren”, sagt Professor Christoph Krauß, Leiter der Abteilung Cyber-Physical Systems Security beim Fraunhofer Institut in Darmstadt. Der Wissenschaftler hat bei einer Diskussion in München gerade über den Kampf um die Sicherheit im vernetzten Auto berichtet. Und die steht mächtig unter Beschuss.

Hardware aus der IT-Steinzeit
Viele Hardware-Komponenten stammen vom Konstruktionsprinzip immer noch aus Zeiten, in denen es nicht einmal Internet gab. Das CAN-System etwa, quasi das elektronische Rückgrat des Fahrzeugs, hat Bosch schon in den Achtzigerjahren entwickelt. "Da waren Autos noch geschlossene Systeme”, so Krauß. Dazu komme, dass bei der Entwicklung erst einmal "Komfort zu möglichst geringen Kosten das Wichtigste ist”. Der Schlüssel sei dafür ein gutes Beispiel. Mehr Daten-Verschlüsselung würde ihn viel teurer machen - und die Batterie wäre öfter leer.

Heute gibt es aber noch reichlich neue elektronische Einfallstore ins Auto, etwa Reifendrucksensoren, Ladekabel beim Elektroauto, das Online-Multimedia-System oder der Diagnose-Stecker OBD. "An den können sie mit einem kleinen Stecker und Bluetooth-Verbindung Zugang zum Auto-Netz bekommen”, so Krauß. Seine Fraunhofer-Tester haben so per Smartphone schon Türen geöffnet und Autos lahmgelegt.

Geheimdienste und Konkurrenten greifen an
Gerade der Angriff über den Diagnosestecker OBD zeigt: Der Bösewicht, der Bremsen, Lenkung oder Gaspedal manipuliert, ist eher selten ein zottelbärtiger Internet-Wirrkopf, der aus Spaß Autos hackt. "Da sind Profis am Werk”, weiß Elektrobit-Manager Zink. Die meisten Angriffe auf Großrechner der Industrie etwa stammen von Geheimdiensten oder Konkurrenzkonzernen. Darum müsse geklotzt werden, um die Server der Autobauer noch sicherer gegen Angriffe von außen zu machen.

Denn durch deren Cloud, Integration von Internet-Diensten oder auch das ab 2018 vorgeschriebene Notrufsystem eCall wird die Vernetzung unumkehrbar. Soll sie ja auch sein, um Autofahren sicherer, bequemer und autonomer zu machen. Doch die potenziellen Daten-Manipulateure sind überall, so Experte Krauß: "Hersteller, Versicherer, App-Anbieter, Terroristen, Geheimdienste - viele wollen an die Daten aus dem Auto. Und manche haben damit sicher nichts Gutes im Sinn.”

Selbst die Besitzer sind oft auch Hacker. Sie verändern etwa durch Eingriff mittels OBD die Tachostände, schalten Software-Funktionen frei, die sie nicht bezahlt haben oder lassen per Chiptuning materialmordend die Leistung erhöhen. "Auch da müssen Hersteller mehr als bisher Sicherheitsschranken einbauen”, so Zink. Schließlich zahlt sonst letztlich der Gebrauchtwagenkäufer des manipulierten Autos die Zeche.

"… die verknoten nur Zahnräder …"
Das Problem dabei: Den Herstellern fehlen neben branchenübergreifenden Sicherheits-Standards häufig die Fachkräfte für den Kampf gegen Daten-Diebe, sagt Professor Steffen Reith. Der Leiter der Arbeitsgruppe Theoretische Informatik an der Hochschule Rhein-Main sagt: "Traditionell sind Auto-Ingenieure immer noch meist Maschinenbauer - die pumpen Flüssigkeiten herum und verknoten Zahnräder.” Vom Innenleben der "Großrechner auf Rädern” haben diese Mitarbeiter zu wenig Ahnung.

Darum sollen Zulieferer wie Elektrobit die Lücke schließen. Die Erlanger entwickeln nachträglich Sicherheits-Zugbrücken für die Datenburg im Auto. Sie schotten die montierte Hardware gegen Zugriffe ab und erfinden Standards, um die kommenden Updates per Funk sicher gegen Angriffe zu machen.

Bei allen Fortschritten - Experte Reith stellt klar: "Absoluter Schutz ist im vernetzten Auto zu teuer und schwierig.” Darum gehe es eher darum, das "Knacken so schwierig machen, dass es unattraktiv wird.” Die Erfolge solcher Strategien seien durchaus sichtbar: Noch 1994 wurden rund 105.000 Autos von deutschen Straßen gestohlen - 20 Jahre später sind es nur noch 18.000.