Kann mein Auto gehackt werden?

Ob es möglich ist, Ihr Auto zu hacken oder nicht, hängt fast ausschließlich davon ab, welches Auto Sie fahren. Ich fahre zum Beispiel einen Honda Accord aus dem Jahr 1998, und ich bin mir ziemlich sicher, dass es fast unmöglich ist, sein Computersystem zu kompromittieren. Sicher, es gibt wahrscheinlich genug Wege, den Computer im Honda Accord One (so nenne ich mein Auto) zu hacken, egal um welchen Computer es sich handelt. Doch ein Angreifer müsste direkten Zugriff darauf haben. Deshalb ist er ungefähr so gefährdet wie ein Ford Model T vom Anfang des 20. Jahrhunderts.

Allerdings fahren viele von Ihnen wahrscheinlich ein neueres Auto als ich, mit allen möglichen coolen, direkt eingebauten Funktionen wie Navigation und Kollisionserkennung. Die meisten dieser Funktionen – wenn nicht sogar alle – werden von eingebauten Betriebssystemen oder industriellen Kontrollmaschinen überwacht, und wir stehen erst am Anfang der Entwicklung von computerisierten Automobilen.

Vor ein paar Jahren hat Vicente Diaz, einer der Senior Security Researcher bei Kaspersky Lab, einen Artikel über die potenziellen Effekt von Computern und mobilen Technologien in Autos geschrieben. Damals kamen Autos mit einer ganzen Menge elektronischer Kontrollelemente (ECUs – Electronic Control Units) aus den Fabriken. Und im Grunde ist so ein ECU nichts anderes als ein Computer, der ein Gerät, einen Prozess oder eine Reihe von Komponenten in Ihrem Auto steuert.

Diaz formulierte seine Bedenken hinsichtlich der Flut verschiedener, proprietärer Technologien, die für die verschiedenen Anforderungen in Fahrzeugen eingebaut werden – ohne echte Standards unter den einzelnen Herstellern. Jeder Autohersteller hat sein eigenes Betriebssystem und jedes dieser Systeme kann eine Vielzahl bekannter und unbekannter Sicherheitslücken enthalten. Die Frage ist, wie ECU-Schwachstellen die von ihnen gesteuerten Systeme sowie andere Computer und Sensoren, mit denen sie zusammenarbeiten, beeinflussen können, wenn die Sicherheitslücken mit Exploits ausgenutzt werden.

Die andere Frage ist natürlich, wie diese Sicherheitslücken per Exploit ausggenutzt werden können. Wie schon gesagt, gab es eine Zeit, in der solche Exploits den pysikalischen Zugriff auf das Auto benötigten. Das ändert sich allerdings gerade. Zielgerichtete und plattformübergreifende Attacken aus der Ferne sowie unbeabsichtigte Infektionen werden immer möglicher, da die Autohersteller neue Möglichkeiten suchen, Internetzugang und die Interaktion mit mobilen Geräten in die Fahrzeuge einzubauen.

Das Potenzial für Überwachung, Cyberspionage sowie Ortung ist in solchen Netzwerk-Autos offensichtlich sehr hoch, allerdings nicht viel höher als das Potenzial solcher Angriffe für den Computer in Ihrer Hosentasche. Diaz weist darauf hin, dass Autodiebstahl zum Problem bei computerisierten Autos werden könnte, da ein Angreifer die ECU eines Autos kompromittieren und ihm die Anweisung zum Aufsperren des Autos und zum Starten des Motors geben könnte.

Doch was Sie wahrscheinlich am meisten interessiert, ist, ob Ihr Auto gehackt und die komplette Kontrolle darüber übernommen werden kann. Nun, es gibt eine oft zitierte Untersuchung der Universitäten von Wisconsin und San Diego, bei der einer Handvoll Forscher genau das gelang. Sie wollten herausfinden, was sie alles machen konnten, nachdem ein Autosystem kompromittiert worden war, anstatt die Möglichkeiten zum Kompromittieren eines solchen Systems zu erklären. Sie entdeckten eine Menge Komponenten, die sie aus der Ferne manipulieren konnten. Die Forscher schafften es auch, nach einem von ihnen verursachten Unfall alle Spuren ihrer Tätigkeiten zu löschen. Das war vor fast drei Jahren.

Es gab keine Möglichkeit, die von den Forschern aus der Ferne durch die von ihnen manipulierten ECUs kontrollierten Komponenten des Autos manuell zu beeinflussen. Darum sehen wir uns zunächst genau diese Komponenten an, die NICHT manuell beeinflusst werden konnten:

Die Forscher konnten die Scheibenwischer einschalten, den Kofferraum öffnen, die Schaltsperre aufheben (und damit das Auto aus dem Parkmodus freischalten), die Hupe dauerhaft einschalten, alle zusätzlichen Lampen ausschalten, die Fenster- und Türverriegelungen deaktivieren, die Scheibenwaschanlage dauerhaft einschalten sowie die Tonhöhe der Hupe, die Helligkeit der Innenbeleuchtung, die Helligkeit der Bedienelemente und die Bremslichter beeinflussen. Zudem konnten sie kurzzeitig die Umdrehungszahl des Motors erhöhen, den Anlasser schleifen lassen (Sie kennen dieses Geräusch, wenn Sie vergessen haben, dass das Auto bereits läuft und versuchen, es anzulassen) und die Umdrehungen eines Motors im Leerlauf erhöhen. Am schlimmsten ist, dass sie auch die Bremsen lösen oder jede einzelne Bremse auslösen konnten. Weniger schlimm, aber auf jeden Fall nervig, ist, dass auch Möglichkeiten gefunden wurden, das Radio, das Informations-Display sowie die Alarmanlage zu manipulieren. Zudem war es den Wissenschaftlern möglich, die Geschwindigkeitsanzeige zu verändern und den Motor zu starten oder abzuwürgen. Noch einmal zur Erinnerung: Das sind die Funktionen, die nicht manuell beeinflusst werden konnten.

Kommen wir zu den Komponenten, die manuell beeinflusst werden können, wobei ich nicht sicher bin, wie einfach das geht. Die Forscher konnten das Schloss-Relais (Auf- und Zusperren der Türen) aktivieren, die Scheinwerfer und die Scheibenwischer ausschalten, die Kurbelwelle in Gang bringen, sowie die Servolenkung, die Zylinder und die Bremsen deaktivieren. Der Grund, dass einige dieser Funktionen manuell sowohl beeinflusst als auch nicht beeinflusst werden können, ist, dass einige dieser Komponenten von verschiedenen Computern im Auto geregelt werden. Mit anderen Worten (ohne zu technisch zu werden): Die Schlösser werden gleichzeitig vom Fahrerinformationszentrum als auch dem Fahrzeugkontrollmodul (dem Computer, der Funktionen wie etwa die Beleuchtung steuert) kontrolliert.

Wie Sie sehen, gibt es da einige beängstigende Dinge, die ein Angreifer tun kann, um Ihr Auto zu hacken. Wobei man aber auch erwähnen muss, dass die Forscher zwei brandneue Autos gekauft und die Experimente in einem Labor durchgeführt haben. Sie hatten direkten Zugriff auf die Fahrzeuge und das Ziel des Experiments war nicht, die Autos zu kompromittieren, sondern herauszufinden, was man mit einem bereits kompromittierten Auto anstellen kann.

Es gibt leider nicht viel, das Sie tun können, um sich hier zu schützen. Außer immer dran zu bleiben und aktuelle Updates, die der Hersteller für die On-Board-Systeme (ECUs) Ihres Autos veröffentlicht, installieren zu lassen. Beachten Sie auch Rückrufaktionen, die mit diesen Systemen zu tun haben und bringen Sie das Auto eingermaßen regelmäßig zum Kundendienst. Und Sie können sich ziemlich sicher sein, dass die Kosten für die Entwicklung eines Auto-Exploits wahrscheinlich recht hoch sind. Sicherheitslücken und Exploits fallen nicht einfach so vom Himmel. Angreifer werfen nicht einfach Nudeln an die Wand und warten ab, ob welche daran kleben bleiben. Sicherheitslücken zu finden und Mittel zu entwickeln, diese auszunutzen, benötigt Testumgebungen, viele Versuche und ausgiebige Experimente.