Er könne weltweit die Motoren zahlloser Autos stoppen, sofern sie weniger als 20 km/h fahren, erklärte jüngst ein Hacker gegenüber dem Online-Magazin Motherboard. Zuvor hatte er die KFZ-Apps iTrack und ProTrack geknackt. Beide Apps werden auch von Unternehmen zum Management von Fahrzeugflotten eingesetzt.
Mehrere Zehntausend Benutzerkonten offenbarten dem findigen Hacker ganz nebenbei persönliche und KFZ-Daten. Im Fokus seines Angriffs standen jedoch die fernsteuernden Eingriffe in die KFZ-Elektronik, die er zusammenfassend so beschrieb: „Ich kann weltweit den Verkehr beeinflussen“.
Digitaler KFZ-Diebstahl
Ende August haben zwei Diebe in London in nur wenigen Sekunden einen 100.000 Euro teuren Tesla gestohlen. Mit im Darknet erworbener Technik für lediglich 100 Euro knackten sie das schlüssellose Türsystem mittels einer Relay-Attacke. Hierbei können mit kleinen Geräten Signale von entfernt lagernden Autoschlüsseln aufgefangen und beispielsweise zu einem 100 Meter entfernten KFZ übertragen werden. Bei diesem Angriff hält sich in der Regel ein Täter mit einer solchen Box in der Nähe des Autos auf, während ein Komplize mit einer Gegenstelle zum Beispiel ein Haus nach dem Schlüssel abscannt.
Wenn er das Signal des Schlüssels geortet hat, wird es an die Box in der Nähe des Autos übertragen, das daraufhin geöffnet wird. Der Automobilclub ADAC hat dazu eine Untersuchung vorgenommen: Über 300 Fahrzeuge verschiedener Marken und Modelle mit Keyless-Systemen, also Funkschlüsseln, wurden analysiert. Davon konnten die meisten Fahrzeuge mit der Relay-Methode geöffnet und anschließend weggefahren werden.
Angegriffen wird alles, was digital ist, selbst Reifensensoren werden gehackt: Gauner senden falsche Reifendruckwerte an die Bordelektronik, die daraufhin das Auto stoppt, vornehmlich an einer entlegenen Stelle. Anschließend werden die Fahrer ausgetrickst oder überfallen und die Autos gestohlen.
Angriffe auf Autos über die Cloud
In den nächsten Jahren wird die Zahl der voll vernetzten Fahrzeuge stark zunehmen, bis 2025 dürfte jeder Neuwagen weltweit einen Internetzugang haben, schätzen Experten. Voll vernetzt bedeutet, dass Autos nicht nur untereinander, sondern auch mit ihrer Umgebung wie beispielsweise Ampeln kommunizieren können. Dabei werden immer mehr Funktionen in die Cloud ausgelagert. Mit den Cloud-Systemen entstehen jedoch im Hintergrund ganz andere Angriffsflächen.
Schon jetzt baut jedes in Europa neu zugelassene Auto automatisch eine Verbindung zum Notrufsystem E-Call auf und damit nicht nur eine Verbindung zum Netz, sondern auch zu Cloud-Rechnern.
Bei den neu entstehenden Angriffsmöglichkeiten gerät auch die Verkehrsinfrastruktur in den Fokus, wie folgendes Beispiel zeigt.
Eine Gruppe israelischer Sicherheitsforscher entwickelte einen Angriff, um mit gefälschten Verkehrszeichen Fahrzeugsensoren auszutricksen, wie sie zum Beispiel bei Fahrassistenzsystemen eingesetzt werden. Eine Drohne projiziert dazu das Bild eines Verkehrszeichens an eine Wand, das von den Kameras des Assistenzsystems wahrgenommen und interpretiert wird. Die Wissenschaftler konnten auf diese Weise das Fahrzeug dazu bringen, falsche Geschwindigkeitsbegrenzungen zu akzeptieren, wie sie in einem Video eindrucksvoll zeigen. In ihrem Untersuchungsbericht beschreiben sie zugleich Möglichkeiten zur Behebung dieser Probleme, beispielsweise durch QR-Codes auf Verkehrszeichen.
Datenschutz als weiteres Problem
Ganz andere Konflikte entstehen für Fahrer, Fahrzeugbesitzer und Beifahrer durch die großen Datenmengen, die in vernetzten Autos anfallen. Laut der Unternehmensberatung McKinseyberatung McKinsey sammeln diese Autos im Fahrbetrieb pro Stunde rund 25 GB an Daten. Die reichen von den Fahrgewohnheiten bis zum Gewicht der Insassen.
Darüber hinaus erfassen die Fahrzeugsysteme auch Gewichtszunahmen oder die Anzahl der Kinder und sogar Finanzinformationen, schreiben die Berater. Wem diese Daten gehören, wer darauf zugreifen darf und wie sie verarbeitet werden, läge jedoch in einer Grauzone, warnt McKinsey. Vielfach versuchen die Verkäufer und Hersteller, in den Verträgen einen Eigentumsanspruch durchzusetzen, doch das sehen Datenschützer äußerst kritisch.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg