So gehen Auto-Hacker vor

Die in letzter Zeit bekannt gewordenen Fälle von gehackten Fahrzeugen werfen Grundsatzfragen auf: Wie leicht ist es wirklich, ein Auto zu hacken, und wie akut ist die Bedrohungslage für die Allgemeinheit? Als einer der weltweit größten Automobilzulieferer hat sich die Robert Bosch AG gegenüber der DPA zum Thema geäußert. Martin Emele, Leiter Produktsicherheit bei der Bosch-Tochter ETAS GmbH, sieht derzeit keine akute Gefahr für die Allgemeinheit durch Automobil-Hacker: "Da steht ein sehr hoher Aufwand dahinter. Die Angriffe sind auch nicht unbedingt auf andere Fahrzeugmodelle geschweige denn andere Hersteller übertragbar."

Dennoch stellen insbesondere Remote-Hacks nicht nur eine qualitativ ganz neue Art von Fahrzeug-Hacks dar, sie schüren auch die Angst vor groß angelegten Hacker-Angriffen auf Autofahrer. Schließlich kann ein unautorisierter Fernzugriff auf Bremse, Gas oder Lenkung lebensbedrohliche Folgen haben - und zwar sowohl für den Fahrer als auch für seine Umgebung. Doch selbst wenn dieser Fall ausbleibt - in vernetzten Autos werden darüber hinaus auch jede Menge Daten gesammelt und verwertet. Wie gehen die Hacker also vor, welche Schwachstellen nutzen sie, und wie sieht die ganze Sache eigentlich im Business-Umfeld aus? Gerade Firmenwagen oder Unternehmensflotten könnten für Cyber-Kriminelle interessant sein. Wir gehen diesen - und weiteren - Fragen auf den Grund.

Knackpunkt CAN-BUS: das Herz der vernetzten Autos

In vielen früheren und aktuellen Fällen von Auto-Hacks ist ein physischer Zugang zum Fahrzeug zwingend nötig, um Zugriff auf die Systeme zu erlangen. Doch egal, ob nun per physischen oder kabellosen Zugang - der Knackpunkt im vernetzten Auto liegt im CAN-BUS-System. Dies ist das elektronische Herz des Connected Car und zuständig für die Vernetzung aller Steuergeräte im Fahrzeug. Gelingt es Angreifern, den CAN-BUS zu kapern, ist der Zugriff auf die Steuergeräte - und damit auch alle Fahrzeugfunktionen - meist nur noch eine Frage der Zeit.

Um zu diesem Punkt zu gelangen, bieten sich Angreifern diverse Ansatzpunkte. Einer liegt beim Connected Car in integrierten Mobilfunksystemen. Vor diesem Hintergrund erscheint die EU-Verordnung, die ab 2018 für alle Neufahrzeuge das SIM-basierte Notrufsystem eCall vorsieht, in einem ganz neuen Licht. Im Regelfall sind es aber die Infotainment-Systeme moderner, vernetzter Autos, die als Einfallstor für Hacker dienen. Diese Systeme bieten inzwischen immer häufiger zahlreiche kabellose Verbindungs- und Integrationsmöglichkeiten - etwa via Bluetooth oder WLAN. Diese Möglichkeiten zur externen Kommunikation können zu einem ernsthaften Problem werden, insbesondere wenn die physischen Fahrsysteme architektonisch nicht strikt von den übrigen Systemen getrennt sind.

In diesem Zusammenhang nimmt die "Hack-Arbeit" von Chris Valasek und Charlie Miller an einem Jeep Cherokee eine Sonderstellung ein. Die beiden Security-Spezialisten - die inzwischen vom Fahrdienstleister Uber rekrutiert wurden - haben einen ähnlichen Hack bereits 2013 mit verschiedenen anderen Automodellen demonstriert - damals noch mit physischem Zugang zu den Fahrzeugen. Aus diesem Grund werden die Erkenntnisse von Valasek und Miller von den damals betroffenen Autobauern - unter anderem Toyota und Ford - auch als realitätsfern abgetan, schließlich hätten reale Cyber-Kriminelle nicht die Möglichkeit, das Armaturenbrett zu demontieren, um dann ein Notebook mit dem Auto zu verkabeln. Erst als Valasek und Miller in diesem Jahr den Jeep ohne Kabelbindung erfolgreich fernsteuern können, finden sie Gehör. Natürlich dürfte letztlich auch die durch die Medienberichte entstandene Öffentlichkeit nicht unwesentlich dazu beigetragen haben.