Moderne Autos sind wie Smartphones, denn es steckt immer mehr IT-Technologie und Software in unseren Autos, verbunden mit dem Internet. Hacker haben es in den USA geschafft, die vollständige Kontrolle über einen Jeep Cherokee zu übernehmen. Sie konnten den Wagen nahezu komplett fernsteuern – ohne das Auto jemals berührt zu haben. Nächste Woche wollen die Experten auf einer Hackerkonferenz zeigen, wie das geht. Nicht der erste, aber vielleicht der bislang spektakulärste Hackangriff auf ein Auto.  Wie soll das weitergehen?

Klingt ja irgendwie hollywoodreif, die Aktion – wie realistisch ist das denn, ist das mit jedem Auto machbar?
Die Sache ist leider sehr realistisch, schließlich handelt es sich um ein handelsübliches Fahrzeug. Das Problem ist: Immer mehr Hightech in den Autos, vor allem auch Systeme mit Internetanbindungen, um klar, Komfort zu bieten: Onlinekarten, Navigation, aktuelle Daten und Infos, aber auch Musik, Entertainment und Co. Genau diese Systeme sind aber angreifbar, wie das aktuelle Beispiel zeigt, weil die Info-Systeme und die Systeme des Autos nicht gut genug getrennt sind. Grundsätzlich ist so etwas in jedem Auto vorstellbar, das moderne digitale Technik einsetzt.

benz_ces

.
Der Fahrer konnte nicht eingreifen, als die Hacker die Kontrolle übernommen haben – aber wie ist es dann um selbstfahrende Autos bestellt? Eine noch größere Gefahr?
Definitiv sind selbstfahrende Autos noch eher angreifbar, denn hier gibt es noch mehr Technik, die alles steuert und kontrolliert. Während ein echter Autofahrer noch die Handbremse ziehen oder in die Lenkung eingreifen kann, ist das bei selbstfahrenden Autos natürlich nicht der Fall. Man möchte sich nicht vorstellen, was passiert, wenn Hacker solche autonomen Autos angreifen und sie fernsteuern. Man muss es für möglich halten.

Was muss jetzt passieren, kann man sich schützen?
Sich selbst zu schützen ist schwierig. Es sei denn, man kauft nur Autos, die keinerlei Onlinezugang haben. Die Autohersteller müssen aus ihrem Dornröschenschlaf aufwachen. Sie müssen strenge und strikte Tests und Kontrollen für diese Art von Systemen einführen.

Es könnte auch hilfreich sein, wenn die Politik reagiert. Sie könnte solche Tests vorschreiben, sie könnte auch die Autohersteller haftbar machen für jeden Schaden, der durch fehlerhafte Elektronik entsteht – das würde dann quasi die Hersteller zwingen, sich intensiver darum zu kümmern, dass alles sicher ist.

Nun ist das Problem ja nicht auf Autos beschränkt. Immer mehr Geräte werden vernetzt – haben wir das Risiko nun überall?
Richtig, das Internet der Dinge ist längst Wirklichkeit. Feuermelder, Heizungsanlagen, Lichtschalter, Kaffeemaschinen, alles Mögliche ist heute mit dem Internet verbunden. Über das Thema Sicherheit macht man sich da viel zu wenige Gedanken. Und für den Konsumenten ist es unmöglich zu sehen, ob und wie sicher ein Gerät ist, ob es gegen Hackattacken geschützt ist.

Cherokee

Im Grund genommen bräuchte es eine Art Gütesiegel, damit man erkennen kann, welcher Schaden theoretisch angerichtet werden kann und mit welchem Aufwand das Gerät vor Angriffen von außen geschützt wird. Das müssten die Hersteller durch Tests nachweisen. Natürlich hat man bei einem Auto ein anderes Sicherheitsbedürfnis als bei einer Saftpresse.

Die Hintergründe

IT-Experten ist es gelungen, ein handelsübliches Auto zu hacken. Ganz ohne Kabel. Die auf IT-Sicherheit spezialisierten Fachleute haben eine Schwachstelle im Infotainment-System des Autos ausgenutzt und den Jeep Cherokee danach aus der Ferne gesteuert.

Der (in diesem konkreten Fall eingeweihte) Fahrer konnte rein gar nichts dagegen unternehmen. Die Hacker hatten aus der Ferne die Kontrolle über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage und Scheibenwischer. Wird der Rückwärtsgang eingelegt, soll sich sogar das Lenkrad fernsteuern lassen. Eine Szene wie aus einem Kinofilm – aber eben Realität.

Autoindustrie aufrütteln

Den Jeep haben „gute“ Hacker gehackt: Sie wollen die Autoindustrie wachrütteln. Sie wollen demonstrieren, wie gigantisch die Sicherheitslecks sind, die in vielen Fahrzeugen klaffen – und welche enormen Risiken damit verbunden sind. Allerdings rütteln sie damit nicht in erster Linie die Autoindustrie auf, sondern verunsichern zig Millionen Autofahrer, die fortan bei jedem Ruckeln im Auto befürchten müssen – und befürchten werden -, es könnte sich um einen Hackangriff handeln. So wie bei jedem ungewöhnlichen Verhalten im Rechner reflexartig ein Virus oder Wurm verantwortlich gemacht wird.

Dass es tatsächlich möglich ist, über ein Infotainment-System in die Kontrollebene eines Fahrzeugs zu gelangen, ist beängstigend. Eigentlich sollten diese Systeme komplett voneinander abgeschirmt sein, nichts miteinander verbinden. Doch die Realität sieht offensichtlich anders aus – und das ist beschämend für die Autohersteller, die gerne mit Sicherheit werben.

superhacker

Über ein Infosystem gehackt

Möglich wurde der konkrete Hack, weil das Infotainment-System in den USA über den Mobilfunkanbieter Sprint online geht. Wie das genau funktioniert, demonstrieren die Experten auf der Blackhat-Konferenz, die ab 1. August in Las Vegas stattfindet. Da dürften Autobauer aus der ganzen Welt anreisen und die Ohren spitzen. Denn alle setzen derzeit auf digitale Systeme, alle bauen immer intelligentere Systeme in ihre Fahrzeuge ein, oft auch mit Android-Betriebssystem, um Fahrer und Beifahrern ein Höchstmaß an Komfort und auch Onlinezugang bieten zu können. Doch das Risiko ist groß, wie man sieht.

Unter diesem Aspekt erscheinen auch selbstfahrende Autos, an denen nicht nur Google, sondern auch die meisten Autohersteller arbeiten, in einem ganz anderen Licht. Denn bei selbstfahrenden Autos kann niemand mehr eingreifen. Hier ist der Grad der Technisierung systembedingt noch höher – entsprechend größer ist auch das Risiko, Ziel von Hackangriffen zu werden.

Auch die Politik muss nun aktiv werden. Da sie wohl kaum die IT-Systeme auf Sicherheit wird überprüfen lassen wollen, hilft nur eins, um die Sicherheit zu erhöhen: Der Gesetzgeber sollte eine Haftung einführen. Passiert etwas, weil ein System nicht funktioniert, weil es kompromittiert werden kann – muss der Hersteller haften. Vollumfänglich. Dann würde auch strenger kontrolliert. Mit Sicherheit.