Sicherheitslücken: Viele Autos lassen sich aus der Ferne öffnen und steuern

Stand: 06.01.2023, 16:36 Uhr

Ein IT-Sicherheitsexperte aus den USA hat bei diversen Autoherstellern sensible Sicherheitslecks entdeckt und offengelegt. Darüber können sich Angreifer nicht nur Daten besorgen, sondern im Einzelfall sogar Kontrolle über die PKW verschaffen. WDR-Digitalexperte Jörg Schieb über die Hintergründe.

Von Jörg Schieb

In modernen Autos sorgen Computer nicht nur für ein angenehmes Entertainment-Programm, berechnen Fahrtrouten und präsentieren jede Menge Daten über das Fahrverhalten, sondern steuern diverse Motoren - vom Fahrersitz bis zur Klimaanlage. Außerdem werten sie Daten von Sensoren aus und sorgen für einen reibungslosen Ablauf und Fahrkomfort.

Software ist für Autohersteller immer wichtiger: In Elektroautos sowieso, aber auch in allen anderen. Ein Grund, wieso Autohersteller mittlerweile auf der Digitalmesse "Consumer Electronics Show“ (CES) vertreten sind.

Zunehmende Digitalisierung ist ein Sicherheitsproblem

In modernen Autos regelt und steuert Software so ziemlich alles – das macht sogar eine Fernsteuerung denkbar.

So praktisch und angenehm das alles sein kann: Die Digitalisierung der Autos birgt auch reichlich Risiken. Der IT-Sicherheitsexperte Sam Curry hat in den vergangenen Wochen mit seinem Team die Systeme diverser Autohersteller unter die Lupe genommen – darunter BMW, Mercedes Benz, Ford, Ferrari, Porsche und Toyota –, und bei fast allen erhebliche Sicherheitslecks entdeckt.

Angefangen hat alles damit, dass sich Curry – quasi aus Spaß – in die Apps von E-Scootern gehackt und massenweise Beleuchtung der umstrittenen Roller aktiviert hat. Weil das so einfach gelang, fragt sich Curry, wie es um die Sicherheit der prinzipiell genauso arbeitenden PKW bestellt ist.

Sicherheitslücken: Vereinzelt komplette Fernsteuerung möglich

Internet Schnittstellen für den Datenaustausch von diversen Autoherstellern sind unzureichend geschützt.

Das Ergebnis: Curry und sein Team konnten bei mehreren Automarken die komplette Kontrolle übernehmen. Modelle von unter anderem Kia, Honda, Hyundai und Nissan ließen sich per gehackter Fernsteuerung entriegeln und der Motor starten. Auch ein Abschalten eines aktiven Motors war möglich.

Dazu ist nach Angaben der US-Forscher lediglich die Fahrzeug-Identifikationsnummer (FIN) notwendig, die anschließend in einer HTTP-Anfrage (wie beim Surfen im Netz per Browser) an den offiziellen Endpoint der Schnittstelle (API) des Herstellers zu schicken. Bei vielen Modellen lässt sich diese Nummer durch die Windschutzscheibe ablesen.

Die Attacken gehen auf Schwachstellen in der SiriusXM-Plattform zurück, die weltweit bei rund zwölf Millionen vernetzten Autos zum Einsatz kommen soll.

Unsicher: Standort- und Nutzerdaten abgerufen

Den Sicherheitsexperten ist es gelungen, in das interne Händler-Netzwerk von BMW zu gelangen und dort Daten abzugreifen.

Bei BMW und Rolls Royce war eine solche Fernsteuerung zwar nicht möglich, trotzdem konnten sich die Experten bedenklich viele Daten über die Fahrzeughalter besorgen. Eine Sicherheitslücke ermöglichte Curry und seinen Mitstreitern, sich alle BMW-Nutzerkonten anzeigen zu lassen. Sie konnten sich auch Zugriff auf das interne Händlerportal verschaffen.

Bei Merces-Benz konnten sich die IT-Experten Zugang zu internen Chats und Dokumentationen verschaffen, unter anderem auch zu dem System "Mercedes Me“ – die offizielle App, mit der Kunden ihr Fahrzeug öffnen, klimatisieren oder auch überwachen können. Bei Porsche ist es gelungen, den jeweils aktuellen Standort abzurufen und Befehle ans Fahrzeug zu senden.

Aufgrund diverser Schwachstellen in den IT-Systemen konnten sich die Experten über vergleichsweise simple Anfragen Zugang zu Accounts von BMW-Mitarbeitern verschaffen, diese übernehmen und sich so Zugriff verschaffen. In Web-Portalen von Mercedes und Rolls-Royce hingegen konnten die Forscher sogar eigenen Programmcode ausführen – und hatten Zugriff auf zahlreiche interne Tools, die weiteren Zugriff ermöglichten.

Unsicher: Standort- und Nutzerdaten abgerufen

Sicherheitsforscher Curry hat alle Autohersteller mit seinen Erkenntnissen versorgt, damit diese die Sicherheitslücken schließen können. Ob das zumindest teilweise bereits geschehen ist, geht aus dem Bericht der Sicherheitsforscher nicht explizit hervor.

Über den Autor

Jörg Schieb, WDR-Digitalexperte.

WDR-Digitalexperte Jörg Schieb

Jörg Schieb, Jahrgang 1964, ist WDR-Digitalexperte und Autor von 130 Fachbüchern und Ratgebern. Er beschäftigt sich seit vielen Jahren mit der Digitalisierung und deren Auswirkungen auf unseren Alltag.

Weitere Themen

Smartphone mit Whatsapp Kanal WDR aktuell

WDR aktuell Whatsapp-Kanal abonnieren - so geht's

WDR aktuell gibt’s auch bei Whatsapp. Täglich frische News für NRW und Insights aus dem Newsroom. So abonniert ihr den Kanal und seid den ganzen Tag über informiert.  |  mehr

App-Symbol: WDR aktuell

Die App WDR aktuell begleitet Sie durch den Tag

Sie möchten eine App, die Sie so durch den Tag in NRW begleitet, dass Sie jederzeit mitreden können? Die App WDR aktuell bietet Ihnen dafür immer die passenden Nachrichten.  |  mehr

Mehr Nachrichten

0630 - der News-Podcast, Podcastcover

0630 - der News-Podcast

Welche Nachrichten sind heute wichtig? Was musst du wissen, um mitreden zu können? Wir haben die Themen des Tages im Blick und stehen ziemlich früh auf, um sie dir zum Frühstück, im Bad oder auf dem Weg zur Arbeit zu servieren. Kompakt in um die 20 Minuten. Um 06:30 Uhr sortieren dir Caro, Matthis, Lisa, Robert, Minh Thu, Flo oder Jan den Tag. Sie erklären und diskutieren, damit du danach weißt, was heute los ist. Du willst uns was sagen? Schreib eine Mail an 0630@wdr.de. Oder schick uns eine (Sprach-)Nachricht an 0151 15071635.  |  audio

Podcastcover nah dran

nah dran - die Geschichte hinter der Nachricht

audio

Logo ImPuls

ImPuls - die Kolumne

Hier gibt's Kolumnentexte, an denen Sie sich reiben können. Wir sind keine Wahrheitsaposteln, sondern Diskussionskatalysatoren. Lassen Sie uns in den Austausch gehen.  |  mehr

Landtag Düsseldorf mit Fernsehturm

Mehr aus der Landespolitik

Auf der Landespolitikseite finden Sie WDR-Berichte, Videos und Audios zu den wichtigen, aktuellen landespolitischen Themen.  |  mehr

Schriftzug: "Lokalzeit"

Geschichten aus der Region

Lokalzeit.de steht für die Menschen, die unser vielfältiges NRW mit ihren inspirierenden Ideen prägen. Aus dem Rheinland, Ruhrgebiet oder Westfalen.  |  mehr

Symbolbild: Schaltkreise, Umriss eines Gehirns und die Buchstaben KI

Künstliche Intelligenz

Künstliche Intelligenz (KI) ist zu einem integralen Bestandteil unseres täglichen Lebens geworden. Wieviel disruptive Energie, wieviel Innovationskraft in ihr steckt, lässt sich noch nicht erahnen. Hier wird das Thema aus verschiedenen Perspektiven beleuchtet.  |  mehr

Darstellung: zum Seitenanfang