Bochum. Theoretisch, sagen IT-Experten aus dem Ruhrgebiet, können versierte Hacker mittlerweile fast jedes moderne Auto kapern. Und praktisch?
Erst fällt die Lüftung während der Fahrt aus, dann wird das Radio plötzlich lauter und die Scheibenwischanlage springt an. Und obwohl der Fahrer des Jeep Cherokee das Gaspedal bis ins Bodenblech durchtritt, wird sein Auto immer langsamer – und das auf einem viel befahrenen Highway in den USA. Am Ende rollt der SUV langsam in einen Graben, weil die Lenkung nicht dorthin steuert, wohin der Fahrer sie bewegt.
Technik vieler Autos ist verwundbar
Zukunftsmusik? Nein, längst passiert und auf YouTube als Video zu sehen. Die Hacker waren allerdings nicht in krimineller Mission unterwegs, sondern wollten nur zeigen, wie verwundbar die von Jeep verbaute Technik war. Fahrer war damals ein Journalist des amerikanischen „Wired“-Magazins, die Auto-Insassen waren vorher über die Cyber-Attacke informiert. „Das war ein ganz spezieller Fall“, sagt deshalb auch Carina Böttcher von der Firma ETAS, die sich unter anderem von Bochum aus mit dem Thema „Cybersicherheit von Autos“ beschäftigt. Allein die Vorbereitungen haben insgesamt mehrere Jahre gedauert „Das machen selbst gute Hacker nicht mal eben im Vorbeigehen.“
Die Gefahr aber wird nicht kleiner. „Kriminelle können die Fahrzeuge aus der Ferne steuern, die Insassen belauschen oder den Antrieb lahmlegen“, hat die EU-Agentur für Cybersicherheit (ENISA) bereits vor einiger Zeit gewarnt. Nicht nur, aber auch, weil die Möglichkeiten zunehmen, unerlaubt auf ein Auto zuzugreifen. Denn moderne PKW sind kein geschlossenes System, sondern kommunizieren über viele verschiedene Schnittstellen mit ihrer Umwelt - Internet, Bluetooth, automatische Notrufsysteme, Mirco-SD-Karten oder Diagnosebuchsen.
„Und jede Schnittstelle“, sagt ADAC-Unternehmenssprecher Michael Gebhardt, „ist ein potenzielles Einfalltor.“ Selbst eine über Funk arbeitende Reifendruckkontrolle kann theoretisch den Weg in die Autotechnik öffnen. Und jüngst gelangte ein Team von Sicherheitsexperten über das W-Lan-Netz einer Ladesäule in einen Tesla.
Wer nicht zahlt, kann sein Auto nicht starten
„Der Softwareanteil im Fahrzeug nimmt zu und damit wächst die Möglichkeit für Fehlerquellen und durch diese Fehlerquellen wachsen die Chancen für Hackerangriffe“, bestätigt Böttcher. Ziel der Hacker dürfe es in den seltensten Fällen sein, einen unliebsamen Menschen aus persönlichen Gründen mit Vollgas und blockiertem Lenkrad gegen die Wand fahren zu lassen. „Das ist ja auch kein echtes Geschäftsmodell“, sagt ADAC-Sprecher Gebhardt.
Fahrerprofile oder vom Auto gespeicherte persönliche Daten abzugreifen oder geparkte Autos unberechtigt zu öffnen und zu stehlen, ist schon eher eines. Oder einen abgestellten PKW nicht mehr starten zu lassen und erst gegen Zahlung einer Geldsumme wieder freizugeben. Erst recht, wenn man nicht einzelne Fahrer, sondern gleich den Hersteller um Millionen erpresst. Solche Massenangriffe seien „gefährlich“, räumt die Expertin ein. „Aber die Autohersteller haben Mechanismen entwickelt und umgesetzt, die solche Angriffe sehr unwahrscheinlich machen.“ Ganz ausschließen lassen sie sich aber nicht. „Theoretisch ist alles möglich.“ Manche Hacks aber seien „extrem kompliziert.“
Viele IT-Experten beruhigt das wenig. „Alles nur eine Frage der Zeit“, sagen sie. Man wolle keine Panik schüren, heißt es auch beim ADAC. „Aber in diesem Punkt muss bei den Autoherstellern mehr passieren“, fordert Michael Gebhardt. Carina Böttcher relativiert das ein wenig. „Es tut sich schon sehr viel.“ Es reiche allerdings nicht aus, nur das Auto zu sichern. Ein infizierter USB-Stick, den der Fahrer ins Entertainment-System steckt, ein mit Viren verseuchtes Handy, das er mit seinem Fahrzeug koppelt – schon kann das Auto gehackt sein. Bisher ist unklar, wer dann haftet? Der Autohersteller, der Handyanbieter oder die Entwickler der App? „Das Thema ist sehr komplex.“
Je autonomer ein Auto fährt, desto mehr Möglichkeiten haben die Hacker
Und es wird noch komplexer. Je autonomer ein Auto unterwegs ist, je weniger ein Fahrer erforderlich ist, desto intensiver kommuniziert das Fahrzeug mit der Außenwelt. Zum Beispiel mit anderen Autos, Ampeln, mit dem Internet oder mit Satelliten. „Das muss bei Sicherheitsfragen dann alles mit berücksichtigt werden.“
Auch deshalb werden die Maßnahmen gegen Cyberangriffe schon ab 7. Juli dieses Jahres gesetzlich verschärft. Nach einer EU-Richtlinie müssen alle neu zugelassenen Autos von da an über ein „Cybersecurity-Managementsystem“ verfügen, das auf Fahrzeuge im Straßenverkehr anwendbar ist. Es muss Risiken analysieren und bewerten können, kritische Punkte identifizieren sowie Maßnahmen zur Risikominimierung dokumentieren.
Hersteller nehmen erste Modelle aus dem Handel
VW hat daraufhin den Kleinwagen „Up“ und den Transporter T6.1 aus dem Programm gestrichen. „Wir müssten da sonst noch einmal eine komplett neue Elektronik-Architektur integrieren“, sagt VW-Markenchef Thomas Schäfer. „Und das wäre schlichtweg zu teuer.“
Beim ADAC glaubt man nicht, dass mit der neuen EU-Richtlinie das Ende der Fahnenstange erreicht ist. „Das wird ein ewiger Wettlauf zwischen Hackern und Herstellern“, sagt Gebhardt. Und ganz verhindern könne man Cyberangriffe auf Autos wohl nie. „Aber man kann sie so schwierig machen, dass sich der Aufwand für die Angreifer nicht mehr lohnt.“