Einen Tesla Model X aus der Ferne übernehmen: Das haben chinesische Sicherheitsforscher der Firma Keen Security Lab getan, die das in einem spektakulären Video der ganzen Welt gezeigt haben. Sie konnten die Steuerung der Lichter übernehmen, so dass diese im Takt der Musik der verbauten Stereoanlage blinkten. Auch die ikonischen Flügeltüren des Fahrzeugs und der Kofferraum ließen sich per Smartphone kontrollieren und nach Belieben öffnen und schließen. Viel gefährlicher war es aber, dass die Hacker die Bremsen aus der Ferne betätigen konnten, während das Auto gefahren ist. Es war nicht der erste Tesla-Hack der Forscher.
Tesla stellt Update bereit
Die Sicherheitsforscher des Keen Security Lab, das zur Mutterfirma Tencent gehört, haben die gefährlichen Sicherheitsschwachstellen bereits im Juni an den Autokonzern Tesla gemeldet. Tesla hat zwei Wochen später ein Software-Update bereit gestellt, mit dem die kritischen Lücken geschlossen wurden. Die Forscher empfehlen Tesla-Besitzern nachzusehen, ob ihr Fahrzeug mit der neuesten Software-Version 8.1 ausgestattet ist und es gegebenenfalls manuell upzudaten. Den Zeitpunkt des Updates kann man bei Tesla via Touchscreen selbst bestimmen.
Computer auf Rädern
Dieses Szenario hört sich ähnlich an wie das, was man bereits von Computern kennt. Ein Update behebt aktuelle Sicherheitsprobleme und schützt vor Angreifern. Das vernetzte Auto von heute ist auch nichts anderes mehr als ein großer Computer, in dem Menschen sitzen.
Sicherheitslücken bei Fiat Chrysler
Dass auch die Techniksysteme von Autos manipulierbar sind, wurde im Sommer vor zwei Jahren zum ersten Mal erfolgreich von Sicherheitsforschern demonstriert. Charlie Miller und Chris Valasek haben damals gezeigt, wie sie einen Jeep Cherokee von Fiat Chrysler während der Fahrt übernommen haben. Sie haben dabei das Radio eingeschaltet sowie die Front-Scheibenwischer. Außerdem konnten sie ebenfalls die Bremsen aus der Ferne betätigen.
1,4 Millionen Fahrzeuge betroffen
Der Autohersteller Chrysler hatte daraufhin 1,4 Millionen Wagen zurückgerufen. Denn das Update zum Schließen der Lücke konnte damals nur per USB-Stick eingespielt werden. Betroffen waren neben dem Jeep auch weitere Modelle der Marken Dodge und Ram aus den Jahren 2013 bis 2015.
„Damals ist man noch davon ausgegangen, dass Autos keine manipulierbaren Computer sind, sondern verlässlich handeln“, sagt Jaro Krieger-Lamina vom Institut für Technikfolgenabschätzung (ITA) gegenüber der futurezone. Das Institut hat in seinem Forschungsbericht zu dem Thema folgende Handlungsempfehlung herausgegeben: „Schon bei der Entwicklung muss größtmöglicher Wert auf die Sicherheit gelegt werden.“ „Es darf nicht sein, dass Sicherheit vernachlässigt wird und man am Schluss ein Auto hat, das jeder Halbbegabte im Vorbeifahren übernehmen kann. Hier geht es schließlich nicht um Spielzeugautos, sondern um Menschenleben“, ergänzt Krieger-Lamina.
Hacker decken Lücken auf
Viele Autohersteller arbeiten deswegen mit Sicherheitsforschern zusammen. Diese suchen Schwachstellen in Fahrzeugen, die dann von den Herstellern geschlossen werden. Auch Tencent bietet solche Services an und hat laut Berichten schon öfters für Tesla gearbeitet. Die Forscher des Keen Security Lab betonen, dass Tesla keinesfalls der einzige Hersteller sei, dessen Autos manipuliert werden können.
Die Fiat-Chrysler-Hacker Charlie Miller und Chris Valasek wurden nach ihrer Jeep-Übernahme vom Fahrdienstvermittler Uber angeheuert. Jetzt sind beide bei der Sparte von General Motors gelandet, die selbstfahrende Autos entwickelt. Denn darin steckt noch mehr Technik als bisher. „Auto-Hersteller begreifen schon langsam, was auf sie zukommt“, erklärt Kevin Tigh von der Sicherheitsfirma Bugcrowd.
Kein OTA-Update möglich
Nicht alle Update-Probleme lassen sich auf die Art und Weise wie bei Tesla lösen. Ein alter Bug, der auch schon in iPhones Probleme bereitet hat, macht nun etwa manchen älteren Modellen von Nissan Leaf, Infiniti, Ford und BMW zu schaffen. Laut dem US-Cert kann die Sicherheitslücke, die von drei Forschern auf der DefCon vorgeführt wurde, von Angreifern aus der Ferne dazu ausgenutzt werden, um das Infotainment-System dieser Fahrzeuge zu deaktivieren.
In Sicherheit investieren
Nissan und Infiniti haben an die Händler kommuniziert, dass sie ihren Kunden eine kostenlose 2G-TCU-Deaktivierung anbieten sollen. Ford hat bereits seit 2016 ein Kunden-Programm im Angebot, um 2G-Modems zu deaktivieren. Dazu müssen die Auto-Besitzer freilich jeweils zum Händler fahren. Selbst wenn das Problem nicht die kritische Fahrzeug-Elektronik betrifft, auch ein sich plötzlich von selbst aktivierendes Bild am Touchscreen könnte Autofahrer entsprechend ablenken, um einen Unfall zu verursachen. „Sicherheit ist etwas, wo Hersteller ruhig etwas mehr investieren sollten“, sagt Krieger-Lamina.
Dieser Artikel erschien zuerst auf futurezone.at.