Die Auto-Hacker: Wenn Malware die Bremsen sabotiert
Von Robin Lange am 17. Mai 2010 1 Kommentar
Wissenschaftler manipulieren die Bordcomputer von Fahrzeugen, schalten Motor und Bremsen aus:
Konkrete Gefahr oder akademischer Beweis für eine Sicherheitslücke?
Moderne Fahrzeuge verfügen über vernetzte Prozessoren, die funktional wichtige Systeme überwachen und steuern. Forscher von US-Universitäten stellen morgen auf einer Sicherheitskonferenz in Oakland eine Untersuchung (PDF) vor, die die Sicherheit in Frage stellt und den Fahrzeugherstellern weitgehende Achtlosigkeit vorwirft.
Sie beschreiben, wie sie über den Diagnoseport auf sicherheitsrelevante Systeme zugreifen und anstelle des Fahrers Motor, Bremsen und Anzeigen übernehmen können – beispielsweise die Tachoanzeige manipulieren und die Bremsen deaktivieren. Sie führten ihre Versuche mit relativ aktuellen Fahrzeugen des Baujahrs 2009 durch. Die Hersteller wollten sie nicht beim Namen nennen, schlossen aber aus ihren Versuchen, dass ähnliche Manipulationen bei so gut wie jedem neuen Modell möglich sind: „Wir glauben, dass die identifizierten Risiken aus der Architektur des modernen Fahrzeugs entstehen und nicht nur einfach durch Entwicklungen einzelner Hersteller.“
Sie verzichteten auf eine zu präzise Beschreibung ihres Vorgehens, um die Sicherheitslücken nicht konkret offenzulegen. Nach ihren Angaben gelang es ihnen aber sogar, per Funkverbindung auf ein vorbeifahrendes Fahrzeug zuzugreifen und auf die Bremsen einzuwirken. Sie warnen davor, die Fahrzeugindustrie wiederhole die Sicherheitsfehler der Computerbranche:
„Wir zeigen die Fähigkeit auf, eine Vielzahl von Fahrzeugfunktionen in gegenteiliger Weise zu steuern und die Eingaben des Fahrers vollständig abzukoppeln – dazu gehört, die Bremsfunktion zu unterbinden, nur einzelne Räder zu bremsen, den Motor auszuschalten und mehr.“
Die Forscher benötigten allerdings zuerst unmittelbaren Zugang zum Fahrzeug, um ihre Manipulationen mit Malware und dem für Fahrzeuge gebräuchlichen Analysewerkzeug Carshark vorzunehmen („car network analyser and packet injection utility“). Ken Tindell, ein Sicherheitsexperte aus der Autobranche, sieht ihre Ergebnisse skeptisch:
„Es ist in hohem Maße theoretisch, weil die Herausforderungen für das Hacken eines Autos sehr viel höher sind als beim Hacken eines Banksystems. Ich kann nicht sehen, dass sich jemand diese Mühe machen würde.“
Abbildung: University of Washington / University of California San Diego
„Ich kann nicht sehen, dass sich jemand diese Mühe machen würde“
Sehr blauäugig… Geheimdienste können so schnell mal jemanden unbemerkt (keine durchgeschnittenen Bremsleitungen vorhanden) um die Ecke bringen – das Vorhandensein des nötigen Fachpersonals vorrausgesetzt.