Hacker am Steuer

Schreckensvision: Hacker dringen in die Computer von Autos ein und manipulieren sie.  Illustration: Foto: Patric Sandri

Schreckensvision: Hacker dringen in die Computer von Autos ein und manipulieren sie. Illustration: Foto: Patric Sandri

Die Autos von heute sind Computer auf Rädern und geraten wie sie ins Visier von Hackern. Im Gegensatz zu einem gehackten PC geht es bei Autos um Menschenleben. Ein Sicherheitsexperte fordert, dass die Hersteller ihre Verantwortung wahrnehmen.

Von Michael Baumann

Andy Greenberg drückt auf das Bremspedal. Sein Jeep rollt einfach weiter – schliesslich kommt er im Strassengraben zum Stillstand. Sein Auto hat keinen technischen Defekt, sondern die Software wurde gehackt – nicht von Kriminellen mit böser Absicht, sondern von experimentierenden Sicherheitsexperten, sogenannten «ethischen Hackern». Greenberg ist Journalist für das US-Technikmagazin «Wired» und war vor einem Monat Teil dieses Experiments.

Solchen «ethischen Hackern» gelang es in den letzten Jahren immer wieder, die Kontrolle über wichtige Funktionen von Autos zu übernehmen. So hat 2014 ein 14-jähriger Teenager in den USA mit Elektronikbauteilen für 15 Dollar innerhalb eines einzigen Tages ein Gerät gebastelt, mit dessen Hilfe er ein Auto aus der Ferne aufschliessen und den Motor starten konnte.

Letzte Woche konnten Forscher der Universität Kalifornien in San Diego die Bremsen eines Autos betätigen oder blockieren, indem sie mit einem Handy speziell präparierte SMS-Nachrichten an ein Zubehörteil des Fahrzeugs sandten.

Im Fall von Greenberg schliesslich musste der Autokonzern Chrysler 1,4 Millionen Jeeps zurückrufen, um die Sicherheitslücke in der Auto-Software zu stopfen, die von den Hackern ausgenutzt wurde.

Diese Beispiele erfolgreicher Hacks haben zwei Dinge gemeinsam: Erstens konnten die ethischen Hacker drahtlos auf die Autos zugreifen. Sie mussten das Auto nicht durch Eingriffe in dessen Hardware manipulieren, sondern konnten – teilweise kilometerweit entfernt von zu Hause aus – über das Internet in die Software des Autos eindringen. Zweitens verschafften sie sich über eine schwach geschützte Komponente wie das Unterhaltungssystem Zugang zu mehreren kritischen Funktionen der Autos inklusive Steuerung, Gas und Bremsen.

Genau das offenbart ein grundlegendes Problem moderner «Smart Cars»: Fast alle neuen Automodelle sind gewissermassen Computer auf Rädern, die mit dem Internet vernetzt sind. Für jede Funktion gibt es eine eigene Software-Steuerung. In manchen Autos gibt es über 100 solcher Mini-Computer, die fleissig untereinander kommunizieren.

Wenn der Fahrer beispielsweise auf das Gaspedal drückt, wird dadurch nicht mehr so wie früher direkt das Benzin-Luft-Gemisch im Motor verändert. Vielmehr registriert eine für die Beschleunigung zuständige Software im Auto den Wunsch des Lenkers, schneller zu fahren, und steuert darauf die Einstellungen zur Kraftstoffverbrennung im Motor entsprechend.

Der Software diese Denkarbeit zu überlassen, sei eigentlich wünschenswert, sagt Ilia Kolochenko, CEO der Genfer Sicherheitsfirma High-Tech Bridge. Kolochenko beschäftigt zahlreiche ethische Hacker, die im Auftrag von Banken und Industrie deren Computersysteme angreifen und so auf ihre Standfestigkeit prüfen. Kolochenko findet, Software solle überall sein, «natürlich auch in Autos». Denn sie mache vieles effizienter und besser als der Mensch. Doch sobald die verschiedenen Software-Steuerungen nicht nur innerhalb des Autos untereinander vernetzt sind, sondern auch mit Diensten im Internet, werde es gefährlich: «Vernetzte Autos sind unsicher, und zwar konstruktionsbedingt», meint Kolochenko.

Der Grund dafür ist simpel: Jedes Gerät, das über drahtlose Systeme wie WLAN, Bluetooth oder Mobilfunk verbunden ist, bietet potenziell Einlass für Hacker. «Wahrscheinlich gibt es weltweit kein einziges Computersystem, das hundertprozentig dicht ist», sagt auch Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung Melani des Bundes.

Ein Auto könnte sogar noch einfacher zu hacken sein als ein herkömmlicher Computer. PCs sind über die Jahre sicherer geworden, da die von Hacker entdeckten und teils ausgenutzten Sicherheitslücken gestopft wurden. Autos hingegen wurden noch kaum attackiert.

Der Sicherheitsexperte Kolochenko vergleicht das Vernetzen der Autos ins Internet mit einem Wohnhaus, dessen Haustür plötzlich und ersatzlos entfernt wird: Dadurch wird auf einen Schlag alles im Haus anfällig für kriminelle Übergriffe. Schmuck, Geld und vertrauliche Dokumente müssen zusätzlich in einem Tresor gesichert werden und die Zimmertüren brauchen auf einmal bessere Schlösser. «Wahrscheinlich wird nicht bereits am ersten Tag ein Dieb ins Haus eindringen. Aber irgendwann kommt einer», sagt Kolochenko.

Auch bei Autos exponieren sich durch das Vernetzen mit dem Internet plötzlich Softwaresysteme, die vorher gar keinen Schutz vor Hackerangriffen benötigten, und bei der Entwicklung die Sicherheit deshalb auch nicht im Vordergrund stand. Nun haben die Autohersteller mit der Einführung der «Smart Cars» den Startschuss für eine Spirale gegenseitigen Hochrüstens zwischen sich und den Hackern gegeben: Ein Hacker nutzt eine Sicherheitslücke aus, der Hersteller schliesst sie daraufhin sofort, nur um feststellen zu müssen, dass bald schon eine nächste, bislang unentdeckte Lücke ausgenutzt wird.

Hat die Automobilindustrie das Problem erkannt? Mercedes beispielsweise sagt auf Anfrage, dass ihre Ingenieure bei den Fahrzeugen die neusten «state of the art»-Standards für den Datenschutz einsetzen. Dabei greife Mercedes auf bekannte Sicherheitsmechanismen aus der IT-Welt wie Zertifikate, Firewalls und Virenscanner zurück. Trotzdem sei man sich bewusst, dass auch «auf der anderen» Seite gearbeitet würde, und zwar daran, diese Mechanismen zu umgehen.

Der Sicherheitsexperte Kolochenko meint dazu, es sei durchaus möglich, dass Mercedes ein heute «unhackbares» Auto herstelle. Doch schon morgen könne das anders aussehen, denn «Sicherheitstechnologie altert ziemlich schnell». Anders als PCs, bei denen jeder einzelne etwas anders konfiguriert ist, sind alle Autos innerhalb eines Modells exakt gleich. Das macht es für Hacker wesentlich einfacher, ein Schadprogramm zu entwickeln, das eine grosse Zahl von Autos befällt.

Dass Hacker vernetzte Autos als Ziel für ihre Angriffe aussuchen werden, steht ausser Frage. Denn die wichtigste Motivation für Hacker sei nicht unbedingt Ruhm, sagt Melani-Sicherheitsexperte Klaus, sondern schlicht und einfach: Geld.

Dieses lasse sich beim Hack von Autos durchaus verdienen. Häufig zirkulieren nämlich Schadprogramme, die eine neue Sicherheitslücke ausnutzen, monatelang im Untergrund, bevor sie von den Softwareherstellern entdeckt und korrigiert werden. «Ein solcher Hack lässt sich problemlos für hunderttausend Franken verkaufen», sagt Kolochenko dazu. Abnehmer dafür gebe es im Untergrund viele. Beispielsweise kriminelle Organisationen, die Geld vom Hersteller erpressen wollen.

Doch im Gegensatz zu Angriffen auf Laptops oder Websites geht es beim Hack von Autos nicht um den Verlust von Daten, sondern – im schlimmsten Fall – von Menschenleben. Sind die durch die Internetverbindung der Autos erreichten Funktionen dieses Risiko wirklich wert? Die Autohersteller müssten hier ihre gesellschaftliche Verantwortung besser wahrnehmen, sagt Kolochenko. «Es ist unethisch, den Leuten vernetzte Autos zu verkaufen.»

Die Hersteller müssten die Leute wenigstens beim Kauf über das Risiko eines Hackerangriffs informieren. So hätten die Käufer die Wahl, ob sie einen «Smart Car» oder ein nicht mit dem Internet vernetztes Fahrzeug wählen. Kolochenko selbst fährt ein Auto, das nicht vernetzt ist. Das sei keine Frage der Technik, sondern des gesunden Menschenverstands, meint er.

Mehr Themen finden Sie in der gedruckten Ausgabe oder über E-Paper

Artboard 1