Hackerangriffe auf vernetzte Autos

Auto-Hacks 2015: Remote-Gefahr

24.09.2015 von Florian Maier
In der jüngeren Vergangenheit sind zahlreiche Fälle von gehackten Autos an die Öffentlichkeit gelangt. Wir haben die aufsehenerregendsten Auto-Hacks des Jahres für Sie zusammengefasst.

Ein kurzer Fingertipp auf das Smartphone genügt, schon öffnet sich jedes beliebige Auto, schalten Ampeln wie von Zauberhand auf Rot, platzen Asphaltdecken auf und blockieren Straßensperren den Verkehr. Was rund sechs Millionen Gamer 2014 im Open-World-Action-Spektakel "Watch Dogs" als Hacker "Aiden Pearce" erlebt haben, könnte jederzeit auch in der realen Welt passieren. Zumindest haben die Macher größten Wert auf Authentizität gelegt und zu diesem Zweck bei der Entwicklungsarbeit mit den Kaspersky Labs kooperiert. Wäre "Watch Dogs" ein oder zwei Jahre später erschienen, wäre die Integration eines Remote-Hacks für Autos obligatorisch gewesen. Denn in den letzten Wochen und Monaten häufen sich die Medienberichte über automobile Sicherheitslücken und gehackte Fahrzeuge.

Die fortschreitende Vernetzung und Digitalisierung der Mobilität bietet nicht nur neue Chancen, sondern auch neue Gefahren. In diesem Jahr wurden bereits zahlreiche Auto-Hacks bekannt.
Foto: Dejan Dundjerski - shutterstock.com

Offene BMWs & ein ferngesteuerter Jeep

Den Anfang macht im Jahr 2015 BMW: Der ADAC deckt eine massive Sicherheitslücke innerhalb des "Connected Drive"-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeuginneren verschaffen können. Das Problem wird schließlich per Software-Update behoben - weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.

Enormes Medienecho verursacht im Mai der Remote-Hack eines Jeep Cherokee - bei voller Fahrt. Die beiden Sicherheitsforscher Chris Valasek und Charlie Miller forschen bereits seit 2013 im Bereich Auto-Hacking. In einem Experiment mit einem Journalisten der US-Tech-Site "Wired" gelingt es den beiden, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor - kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.

Diese Autos wurden 2015 gehackt
Auto-Hacks 2015
Das Jahr 2015 ist das Jahr der Auto-Hacks. In den ersten acht Monaten des Jahres werden gleich sechs gravierende IT-Security-Schwachstellen in Fahrzeugen verschiedener Hersteller bekannt. Wir haben die aufsehenerregendsten - wissenschaftlich motivierten - Hackerangriffe auf Connected Cars für Sie in unserer Bildergalerie zusammengefasst.
BMW "ConnectedDrive"
Der ADAC deckt Anfang des Jahres eine massive Sicherheitslücke innerhalb des BMW „Connected Drive“-Systems auf, über die sich Angreifer via Mobilfunknetz Zugang zum Fahrzeug verschaffen können. Das Problem wird schließlich per Software-Update behoben – weltweit sind über zwei Millionen Fahrzeuge quer durch alle Konzern-Marken und -Baureihen betroffen.
Jeep Cherokee
Enormes Medienecho verursacht im Mai 2015 der Remote-Hack eines Jeep Cherokee – bei voller Fahrt. Den Sicherheitsforschern Chris Valasek und Charlie Miller gelingt es, einen Jeep Cherokee über Funk fremdzusteuern. Das Infotainment-System im Fahrzeug dient den Security-Experten als Einfallstor – kurz darauf sind sie in der Lage, sämtliche Fahrfunktionen des SUV fremd zu steuern. Der Fiat-Chrysler-Konzern muss in der Folge in den USA circa 1,4 Millionen Fahrzeuge zu einem Software-Update in die Werkstätten rufen.
General Motors "OnStar"
Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System „OnStar“ auszunutzen. Das System ermöglicht den Auto-Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe eines Toolkits fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. So kann er nicht nur den Aufenthaltsort des Fahrzeugs bestimmen, sondern es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten.
Corvette-SMS-Hack
Die Sicherheitsforscher Karl Koscher und Ian Foster gelangen über manipulierte SMS-Nachrichten in das CAN-BUS-System einer Corvette. Als Zugangspunkt dient ihnen ein Telematik-System eines Kfz-Versicherers. So erhalten sie Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Das Telematik-System des US-Versicherers Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Security-Löcher inzwischen gestopft.
Der VW-Motorola-Hack
Bis zum August 2015 versucht der Volkswagen-Konzern - offensichtlich aus Angst vor Reputationsschäden - die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Als Zugangspunkt dient den Forschern das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details auf der Usenix-Konferenz 2015 öffentlich gemacht.
Tesla Model S
Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztendlich finden die beiden tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war – unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als „relativ sicher“ und „gut durchdacht“.

Infotainment-Schmach & SMS-Sportwagen

Kurze Zeit später die nächste Sicherheitslücke: Hacker Samy Kamkar gelingt es, eine Schwachstelle im General-Motors-Infotainment-System "OnStar" auszunutzen. Das System kommt in verschiedenen Marken und Modellen des Konzerns zum Einsatz und ermöglicht den Besitzern, ihr Fahrzeug per Smartphone zu öffnen und zu schließen. Mit Hilfe seines Toolkits "OwnStar" fängt Kamkar die Kommunikation zwischen Smartphone und Automobil ab. In der Folge ist er nicht nur in der Lage, den Aufenthaltsort des Fahrzeugs zu bestimmen, sondern kann es auch nach Lust und Laune öffnen und schließen sowie den Motor aus der Ferne starten. Laut Kamkar soll "OwnStar" auch bei Fahrzeugen der Marken BMW, Mercedes-Benz und Chrysler funktionieren.

In einem weiteren Car-Hacking-Fall gelingt es den Sicherheitsforschern Karl Koscher und Ian Foster, mit manipulierten SMS-Nachrichten in das CAN-BUS-System einer Corvette vorzudringen. Als Zugangspunkt dient ihnen das im Fahrzeug installierte Telematik-System eines Kfz-Versicherers. So erhalten die Forscher Zugriff auf essentielle Fahrsicherheits-Komponenten wie Bremsen, Gas und Lenkung. Wie Stefan Savage, Leiter des Projekts an der University of California in San Diego, gegenüber "Wired" berichtet, seien bei der Umsetzung des Hacks zahlreiche Sicherheitslücken im Telematik-System des Versicherers zu Tage getreten. Die Devices bieten demnach multiple Möglichkeiten, um einen Remote-Zugang herzustellen. Das betroffene Telematik-System des US-Versicherungs-Startups Metromile kommt in den USA unter anderem auch beim Fahrdienstleister Uber zum Einsatz. Metromile zufolge sind die Sicherheitslöcher inzwischen gestopft.

Das Connected Car des Jahres 2015 & die besten Car-IT-Lösungen
"Auto Connect Trophy 2015"
Rund 12.500 Leser der Fachzeitschriften "Auto Zeitung" und "Connect" haben die besten Car-IT- und Connectivity-Lösungen gewählt - und das Connected Car des Jahres 2015. Hier kommen die Gewinner!
Bestes Bedien- und Anzeigekonzept
In dieser Kategorie siegt Audi mit seinem "MMI Touch"-Interface im gerade ganz frischen Luxus-SUV Q7. Die Möglichkeit zur Bedienung mittels Sprachsteuerung und das große Touchpad, das auf Tippen und auf handschriftliche Zeichen reagiert, haben knapp 39 Prozent der Leser von "Auto Zeitung" und "Connect" überzeugt. Auf den Plätzen folgen die Lösungen von BMW und Mercedes.
Beste Sprachsteuerung
Auch in der Kategorie Sprachsteuerung heißt der Sieger Audi. Die - beispielsweise im aktuellen Audi TT Coupé erhältliche - "MMI"-Sprachsteuerung erkennt und verarbeitet natürlich gesprochene Sätze. Das hat 38 Prozent der Leser überzeugt. Auf den Plätzen zwei und drei folgen die Lösungen von BMW und Mercedes.
Beste Business-Lösung / Infodienst
Geht es um die beste Business-Lösung, beziehungsweise den besten Infodienst, hat BMW die Nase vorn. Der "Concierge-Service" des Münchner Autobauers überzeugt mit Features wie Hotelbuchung, Übersetzungshilfe und Sekretariats-Dienst stolze 55 Prozent der Leser. Volvos Cloud-Dienste und Opels "OnStar"-Lösung belegen die Plätze zwei und drei.
Bestes Audio-Soundsystem
Fast 49 Prozent der "Auto Connect Trophy"-Teilnehmer entschieden sich für das "3D"-Soundsystem aus dem Hause Bang & Olufsen, das zum Beispiel für den aktuellen Audi Q7 erhältlich ist. Die Klangqualität und eine leichte Bedienung sind für die Teilnehmer die Qualitätsmerkmale des B&O-Soundsystems. Platz zwei belegt das Bose-Soundsystem, das in Fahrzeugen von Mazda zu finden ist, Rang drei belegen die Audio-Lösungen von Burmeister, die in Mercedes-Fahrzeugen zu finden sind.
Bestes Nachrüst-Radio
Klingt analog, ist es aber nicht: das Blaupunkt DAB+-System "Cape Town 945" auf Android-Basis ist für 25 Prozent der Leser das beste Digitalradio zum Nachrüsten. Damit kann Blaupunkt die Konkurrenzprodukte von Pioneer und Becker auf die Plätze verweisen.
Beste Smartphone-Integrationslösung
Audis "Phone Box" und ihre Möglichkeit zum induktiven Laden und kabelloser Datenübertragung ist die beste Smartphone-Integrationslösung 2015 - meinen 37 Prozent der Umfrageteilnehmer. Die Mercedes "Komfort-Telefonie" und die Volkswagen "Koppelbox" belegen die Plätze zwei und drei.
Bestes Funknetz
"Erdrutsch"-Sieg für die Deutsche Telekom in der Kategorie "Bestes Funknetz": 57 Prozent der Teilnehmer sind der Ansicht, dass das Netz der Telekom dank LTE-Ausbau und stabiler Verbindungsqualität nicht zu schlagen ist. Die Wettbewerber Vodafone und O2 belegen die Plätze zwei und drei.
Bester In-Car-Hotspot
Kein Connected Car ohne Hotspot. Den besten ins Auto integrierten WLAN-Hotspot bietet nach Meinung von 38 Prozent der Leser Audi - auch dank eines einfachen Zugangs für bis zu acht Personen gleichzeitig. BMW und Mercedes haben auch in dieser Kategorie das Nachsehen.
Bestes Navigationssystem
Audis "Virtual Cockpit" (zum Beispiel erhältlich im aktuellen Audi TT und Q7) überzeugt knapp 38 Prozent der Umfrageteilnehmer und ist damit das beste (werksseitig integrierte) Navigationssystem - noch vor BMWs "Navi Professional" und dem "Comand"-System von Mercedes.
Bestes Nachrüst-Navigationssystem
Bei den Navi-Lösungen zum Nachrüsten siegt Navigations-Urgestein TomTom mit dem "Go 5100". Verkehrsinfos in Echtzeit und eine integrierte SIM-Karte überzeugen 45 Prozent der Leser. Garmins "Nüvi 67 LMT" landet auf Rang zwei, das Becker "Professional.6 LMU" rangiert auf dem dritten Platz.
Beste Stauwarnung in Echtzeit
Google Maps bietet die beste Echtzeit-Stauwarnung - sagen 30 Prozent der "auto Zeitung"- und "Connect"-Leser. Die Lösungen HD Traffic und Staufunk TMC pro belegen Platz zwei und drei.
Beste App fürs Auto
Die "Clever-tanken"-App ist für 49 Prozent der Umfrageteilnehmer die beste Auto-Applikation des Jahres 2015. Sie hilft, die günstigste Tankgelegenheit in der Umgebung zu identifizieren. Die ADAC "Auslandshelfer-App" landet auf Platz zwei, die Fahrzeug-Such-App "Find My Car" auf dem dritten Rang.
Beste App der Autohersteller
Die beste Hersteller-App bietet nach Meinung von nahezu 32 Prozent der Leser Audi mit seiner "Konfigurator"-App, die Kunden auch unterwegs das Audi-Neufahrzeug der Wahl en detail zusammenstellen lässt. BMWs "MyRemote"-App, mit deren Hilfe sich Fahrzeugfunktion per Smartphone aus der Ferne steuern lassen, landet auf dem zweiten Rang. Die "Guides"-App von Mercedes bietet eine elektronische Bedienungsanleitung für so gut wie jedes Daimler-Fahrzeug, muss sich jedoch mit Rang drei begnügen.
Beste Musik-App
Geht es um Musik-Streaming im Auto, setzen knapp 47 Prozent der Teilnehmer auf den Streaming-Dienst von Spotify. Napster und Deezer sind dagegen nur zweite, beziehungsweise dritte Wahl.
Beste Navigations-App
Google Maps ist nach Ansicht der Umfrageteilnehmer auch bei den Navi-Apps Spitze. 32 Prozent setzen auf den Google-Dienst und geben ihm damit den Vorzug vor Lösungen von TomTom und Navigon.
Beste Carsharing-App
Der von Daimler und Europcar ins Leben gerufene Carsharing-Dienst "Car2go" ist für 41 Prozent der Leser die Nummer eins unter den Carsharing-Apps. BMWs "DriveNow" und die App des Carsharing-Verbunds Stadtmobil komplettieren das Podium dieser Kategorie.
Bester Sicherheitsassistent
Audis Abbiege-Assistent (ebenfalls für den neuen Q7 zu haben) überzeugt 25 Prozent der Leser. Das Sicherheits-Feature überwacht beim Linksabbiegen den Gegenverkehr und leitet - falls nötig - eine Bremsung ein. Audi sichert sich in dieser Kategorie den Sieg vor dem "Assist-Paket Plus" aus dem Hause Daimler und der "Multikollisionsverhinderung" der Konzern-Mutter Volkswagen.
Beste Fahrerunterstützung Stau
Sieg-Kategorie Nummer neun für Audi: Der "Stop&Go-Stauassistent", der den Fahrer durch Bremsen, Gas geben und Lenken unterstützt, ist die beste Stau-Lösung in den Augen von 46 Prozent der Teilnehmer. Mercedes ("Stop&Go-Pilot") und BMW ("Driving Assistent Plus") haben erneut das Nachsehen.
Connected Car des Jahres 2015
Dieser Sieg ist das Tüpfelchen auf dem I für den Audi-Triumph bei der "Auto Connect Trophy 2015": Der in diesem Jahr in zweiter Generation erschienene SUV Q7 ist das Connected Car des Jahres - zumindest meinen das 41 Prozent der Leser. Audis LTE-fähige Wuchtbrumme verweist damit die Mercedes S-Klasse und den BMW i3 auf die Ränge zwei und drei.

VW-Blamage & Hack-A-Tesla

Bis zum August 2015 versucht der Volkswagen-Konzern, die Veröffentlichung von technischen Details zu einem Hack zu verhindern, der Wissenschaftlern der Universitäten Nijmegen und Birmingham bereits 2012 gelungen ist. Die Argumentation der Wolfsburger: Eine Veröffentlichung technischer Details würde nicht nur dem Konzern schaden, sondern könne von Autodieben auch als Anleitung missbraucht werden. Diese Argumentationskette verdeutlicht die Haltung (und Ängste) vieler Autobauer, wenn es um Transparenz beim Thema IT-Security in Fahrzeugen geht - doch dazu an anderer Stelle mehr. Als Zugangspunkt dient den Forschern in diesem Fall das Transponder-System einer Wegfahrsperre von Zulieferer Motorola. Nachdem sich Volkswagen außergerichtlich mit den Forschern einigt, werden die technischen Details zur Schwachstelle zunächst in Schriftform online veröffentlicht und anschließend auf der Usenix-Konferenz 2015 öffentlich gemacht.

Der jüngste Auto-Hack-Fall in diesem Jahr betrifft das Tesla Model S. Die Security-Spezialisten Kevin Mahaffey und Marc Rogers wollen beweisen, dass auch Teslas Elektro-Limousine nicht unhackbar ist. Letztlich finden die beiden Spezialisten tatsächlich einen Weg, Kontrolle über das Model S zu erlangen. Auf der Defcon-Konferenz 2015 präsentieren sie ihre Erkenntnisse. Fazit: Auch wenn der Hack des Tesla nur unter immensem Aufwand und über einen physischen Zugang zu den Systemen möglich war - unhackbar ist auch dieses Auto nicht. Immerhin erweist sich die Architektur der Tesla-Systeme laut Mahaffey und Rogers als "relativ sicher" und "gut durchdacht". Den US-Elektropionieren kommt übrigens auch in Sachen IT-Sicherheit eine Sonderstellung unter den Autobauern zu: Tesla ist derzeit der einzige Fahrzeug-Hersteller, der die IT-Security-"Watch Dogs" für sich zu nutzen weiß und ihnen für die Aufdeckung von Sicherheitslücken eine Belohnung von bis zu 10.000 Dollar bietet.

Sie wollen mehr Infos zum Thema IT-Security bei Connected Cars? Wir klären Sie darüber auf, welche Angriffspunkte Hacker im Auto nutzen und welche IT-Sicherheitslösungen künftig zum Einsatz kommen könnten.