1, 2, 3, meins...

Sie kommen fast immer nachts. Mit Spezialwerkzeug und ein wenig Muskelkraft ist die Fahrertür ruckzuck aufgestemmt. Am nächsten Tag klafft eine freie Parklücke, wo zuvor friedlich der Porsche Cayenne abgestellt wurde. Autoklau ist eine Sache von wenigen Minuten – bislang. Heute kommen die Diebe mit einem Smartphone und Notebook schneller zum Zuge, mit einem Tastendruck schaltet sich die Alarmanlage aus, die Wegfahrsperre ist entriegelt, die Autotür oder das Schiebedach lässt sich öffnen und der Motor starten. Ein Kinderspiel für die Autoklauer 4.0.

Unmöglich? Unwahrscheinlich? Nicht im geringsten! Was möglich ist, zeigte ein Forscherteam des Keen Security Lab im letzten September. Ausgerüstet mit einem Laptop ließ die Pseudo-Hackertruppe bei einem Elektromodell Tesla S den Kofferraum bei voller Fahrt aufspringen. Anschließend brachten sie das Auto mit scharfem Abbremsen zum Stehen.

Für die Forscher war der Tesla keine einfache Aufgabe, denn die Autos des Elektrobauers gelten als besonders vor Cyberangriffen  gesichert. Das Forscherteam hatte jedoch Zeit und experimentierte monatelang mit verschiedenen Methoden. Auch wenn der Angriff nur simuliert war, zeigt er doch, wie wichtig das Thema IT-Sicherheit für Autohersteller und Fahrer inzwischen geworden ist. Es lässt sich leicht ausrechnen, welche Dimension das Thema künftig einnehmen wird, wenn immer mehr Autos digitalisiert werden.

Autoknacken leicht gemacht Selbst die besonders vor Cyberangriffen gesicherten E-Autos von Tesla ließen sich per Laptop hacken. Das gelang einem Forscherteam des Keen Security Lab im vergangenen September. (© 2017 Keen Security Lab )

Ferngesteuertes Eindringen durch Hacker

Remote Hacking, also der ferngesteuerte Zugriff auf Fahrzeuge, gehört zu den spektakulärsten Formen des Autodiebstahls. Der Angriff der IT-Experten Charlie Miller und Chris Valasek auf einen Jeep Cherokee belegt eindrucksvoll, was die Hacker heute schon können. Miller und Valsek gelang es, alle Fahrfunktionen des SUV aus der Ferne zu steuern (siehe dazu auch das Video am Artikel-Ende). Der Zugriff auf den Jeep gelang ihnen übrigens über das Infotainment-System.

Autohacking Cherokee Per ferngesteuertem Zugriff ("Remote Hacking") konnten die IT-Experten Charlie Miller und Chris Valasek einen Jeep Cherokee aus der Ferne steuern. (© 2017 Cherokee)

Alles andere als Zufall: Hacker suchen stets die schwächste Stelle für ihren Angriff. Von dort aus dringen sie in andere Bereiche des Fahrzeugs vor. Mit fortschreitender Digitalisierung und  zunehmender Vernetzung der Fahrzeuge steigt die Anfälligkeit der Systeme. Zugleich wird es immer schwieriger, die Autoelektronik vor Angriffen von Außen zu schützen.

„Eine 100 Prozent sichere Lösung gibt es nicht – weder bei Smartphones noch bei Autos“

Das sagt Dirk Hoheisel, Geschäftsführer bei der Bosch GmbH in Gerlingen bei Stuttgart und zuständig für den Geschäftsbereich Mobility Solutions. „Beim Auto betreiben wir sehr viel Aufwand, um Missbrauch so weit wie möglich auszuschließen.“

Die Autohersteller und deren Zulieferer sind alarmiert. Längst gilt die stetige Weiterentwicklung von Sicherheitssystemen als Hygienefaktor beim Verkauf. „Die Autobauer haben dazugelernt“, bestätigt Ken Munro, Mitbegründer der IT-Seurity-Firma Pen Test Partner. „Dennoch haben sie noch einen langen Weg mit vielen Herausforderungen vor sich.“

Cybergefahr für Autos ist Realität

Auch die Fahrer unterschätzen die neue Cybergefahr durch Hacker. Wie wichtig ein wirkungsvolles IT-Sicherheitsnetz im Auto ist, verraten die in Fahrzeugen vorhandenen privaten Daten: Fahrziele, Routen und Adressen, aber auch Daten von Kreditkarten oder EC-Karten sind im System hinterlegt. Das weckt Begehrlichkeiten bei Hackern, die Daten per Spyware zu stehlen, um sie weiter zu verkaufen. Besonders interessant könnten Firmenfahrzeuge werden, die oft als rollende Büros eingesetzt werden und so zusätzlich noch Geschäftsdaten liefern.

Keyless-Schließsysteme Wie einfach sogenannte Schlüssellose Schließsysteme ("Keyless") zu knacken sind, zeigt diese Grafik des ADAC. (© 2017 ADAC)

Sicherheitsexperten wie David Kennedy, CEO von TrustedSec befürchtet, dass Cyberkriminelle in Zukunft viel mehr Schaden anrichten könnten. Ein Szenario: Die Autoknacker von Morgen könnten das Datensystem im Auto mit Ransomware infizieren. Mit der Malware würden die Fahrzeuge lahmgelegt, um Lösegeld für die Weiterfahrt zu erpressen. Vor allem die autonom fahrenden Autos der nahen Zukunft hält der Sicherheitsexperte für potentielle Ziele von Ransomware-Attacken.

Autos mit Komfort-Schließsystem sind leichte Beute

Interview mit Dr. Reinhard Kolke, Leiter des ADAC Technikzentrums zu den Fragen: Wie funktionieren Keyless-Schließsysteme genau? Wie kann mein Wagen gestohlen werden? Wie kann ich mich schützen, wenn ich ein Auto mit dieser Systematik habe?

Audio-Datei des Interviews hier anhören

Hacking per Scanner-Boxen

Dass Hightech-Diebe Autos auch ohne Internet-Zugang heute schon ohne Spuren knacken können, ist in Fachkreisen längst bekannt. Mit Hilfe sogenannter Scanner-Boxen stehlen Kriminelle Fahrzeuge mit Keyless-Go-Systemen. Der Scanner erfasst die Daten des elektronischen Originalschlüssels und leitet sie an ein Empfangsgerät in der Nähe des Fahrzeugs weiter. Da das Auto "denkt", der echte Schlüssel sei in der Nähe, gibt es sämtliche Funktionen des Keyless-Go-Systems frei. So lässt sich das Fahrzeug durch Hacker öffnen, die Alarmanlage deaktivieren und der Motor starten. Lediglich der Neustart des Autos klappt ohne den Originalschlüssel nicht.

Sicherheitsexperte David Kennedy von TrustedSec rät allen Autoherstellern, ihre Sicherheitsüberprüfungen zu erweitern. Ergänzend zu Crashtests und TüV sollte auch die Cybersicherheit bei Fahrzeugen standardmässig überprüft werden.

Video: Der Hack des Cherokee