FuPa Freisteller Logo

Sicherheitslücken im Auto auf der Spur

Von: Thorsten Karbach
Letzte Aktualisierung:
10429015.jpg
Forschungsprojekt an der FH Aachen: Thomas Käfer (von links) ist mit dem Projekt ISiA mit Marko Schuba, Student Stefan Gockel und Frank Hartung auf der Suche nach IT-Sicherheitslücken am Auto.
10433182.jpg
Audi ließ im Januar einen Wagen autonom rund 9000 Kilometer aus dem Silicon Valley nach Las Vegas fahren. Das hochgerüstete Auto des Modells A7 mit dem Spitznamen „Jack“ hatte die Technik-Messe CES als Ziel. Zudem präsentierte Audi das Konzeptmodell Prologue, das nicht nur automatisch fahren, sondern auch Wissen über sine Umwelt lernen kann.
9195200.jpg
Daimler hat auf der Technik-Messe CES in Las Vegas seine Vision eines selbstfahrenden Autos vorgestellt. Das von Konzernchef Dieter Zetsche präsentierte Fahrzeug mit der Bezeichnung F015 hat eine futuristische Form und einen Innenraum mit drehbaren Vordersitzen. Der silberne Mercedes-Prototyp fuhr auf die Bühne nach einer Tour durch die Wüste und die Glückspielstadt.
10433165.jpg
Auch der US-Autoriese Ford hat die Entwicklung selbstfahrender Fahrzeuge in Angriff genommen. Mit dem Manager Randy Visintalner, der seit fast drei Jahrzehnten bei Ford ist, wurde ein Projektchef ernannt. Ziel seine eine marktreife Technik für autonom fahrende Autos. Zunächst sollen binnen fünf Jahren Fahrassistenz-Systeme über die gesamte Modellpalette eingeführt werden.

Würselen/Aachen. Wenn an Thomas Käfers Auto das Öl gewechselt werden muss, dann wird Käfer automatisch vom Automobilhersteller angeschrieben. Sein Wagen hat eine eigene Mobilfunkschnittstelle, die permanent Fahrzeugdaten Richtung Hersteller übermittelt – darunter anstehende Wartungsarbeiten wie zum Beispiel der nächste Ölwechsel.

Schnell und reibungslos wird er in so einem Fall informiert – alles läuft wie geschmiert. „So etwas macht Sinn“, sagt Käfer. Doch er weiß auch: die zunehmende Digitalisierung des Automobils birgt Gefahren.

Autos müssen nicht mehr mit dem Dietrich aufgebrochen werden, neuere Modelle können bereits und zukünftige ganz sicher gehackt werden wie jeder herkömmliche Computer. Das ist dann sozusagen Autodiebstahl 2.0. Idealerweise wird dieser mittels Voraberkennung aller erdenklichen Sicherheitslücken ausgeschlossen. Und genau das ist Käfers Metier: Er ist einer der ersten Kfz-Forensiker in Deutschland.

Käfer kommt aus der klassischen IT-Branche. Seit 25 Jahren ist er in diesem Business unterwegs, Geschäftsführer der Würselener Firma Käfer EDV Systeme GmbH und seit zwölf Jahren Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung. Vor ein paar Jahren erreichten ihn die ersten Anfragen aus dem Kfz-Sektor.

„Haarsträubende Lücken“

Es ging um Steuergeräte, die nicht funktioniert haben sollen, oder um mangelhafte Navigationsgeräte, die in Autos verbaut waren. Es wurden mehr. Für den eigentlichen Kfz-Sachverständigen ist es schwer, Antworten zu finden, wenn es um IT-Fragen geht. Vor drei Jahren – im Alter von 46 Jahren – hat Käfer sich dann an der Hochschule Albstadt/Sigmaringen eingeschrieben und einen berufsbegleitenden Masterstudiengang Digitale Forensik belegt. Seitdem beschäftigen ihn die digitalen Sicherheitslücken der Autos mehr und mehr.

„Wir sind die guten Hacker“, sagt Käfer und meint die IT-Forensiker. Im Prinzip agiert er genauso wie die bösen Buben. Er versucht, Sicherheitslücken an den vielen Schnittstellen eines Autos zu finden. Doch mit dem Wissen, wie sich ein Automobil manipulieren oder gar stehlen lässt, verfasst er Berichte und informiert die Branche. Was er dabei bisher entdeckt hat? „Haarsträubende Sicherheitslücken“, sagt Käfer.

Die FH Aachen forscht

Wenn Autos mittels einer App bedient werden können, dann ist das erstmal technischer Fortschritt, der Komfort verspricht. Die großen deutschen Hersteller wie BMW, Audi und Mercedes haben solche Systeme. Das Auto lässt sich ohne Schlüssel öffnen, die Klimaanlage auf dem Weg zum Auto bereits bedienen – in der Sommerhitze gewiss ein prima Service. Das Elektroauto Tesla lässt sich mit dem Smartphone sogar starten. Das Problem ist: Wenn Hacker das Smartphone des Fahrers manipulieren, dann haben sie auch gleich Zugriff auf das Automobil. Insbesondere das Thema Passwörter spielt dabei eine große Rolle, wenn diese nicht ausreichend gesichert gespeichert werden, dann sei dies ein gefundenes Fressen für Hacker, erklärt Käfer. Einen 50-seitigen Fehlerbericht mit Sicherheitslücken und Angriffsflächen als Auszug aus seiner derzeit laufenden Forschungsarbeit „Car-Forensics“ hat Käfer allein in einem Fall an den betreffenden Hersteller verschickt. Das wurde auch an der Fachhochschule (FH) Aachen erkannt: beim Forschungsprojekt ISiA IT-Sicherheit in Automobilen. Vier Professoren aus verschiedenen Disziplinen arbeiten hier seit 2013 zusammen, hinzu kommen Partner aus der Industrie wie eben die Käfer EDV Systeme GmbH.

Thomas Käfer hat an der FH Aachen sein Erststudium abgeschlossen. Ausgangspunkt für dieses Projekt war die Einrichtung des Studiengangs Fahrzeugelektronik. An einem dieser informellen Abende, wie es sie an Hochschulen gibt, kamen Fahrzeugelektroniker und IT-Experten ins Gespräch. Irgendwann drehte sich (fast) alles um die entscheidende Frage: Wenn ein Smartphone Ziel eines Hackerangriffs wird, kann dann ein ganzes Auto manipuliert werden? Allgemeiner Tenor: Es kann!

ISiA ist wie Thomas Käfer den Gefahren auf der Spur. Allerdings ist das Tempo, mit dem neue Entwicklungen in die Autos kommen, enorm. Die Digitalisierung ist eine Art Wettrennen der Hersteller, und im Windschatten sind nun auch die Hacker unterwegs – die bösen, aber eben auch die guten. „Bei der Schnelllebigkeit des IT-Sektors müssen wir sehr schnell und kreativ sein“, berichtet FH-Professor Marko Schuba.

Ein weiteres Problem: „Noch fehlt das nötige Bewusstsein in der Branche“, erklärt FH-Professor Frank Hartung (beide vom Fachbereich Elektrotechnik und Informationstechnik). Sicherheitslücken sind für Automobilhersteller eben in mehrerer Hinsicht schädlich – auch oder gerade für Ruf und Verkaufszahlen. Entsprechend dezent wird das Thema in der Öffentlichkeit behandelt.

Fahrzeuge sollen sich aber vernetzen – und das in Ausmaßen, die die Wahrnehmung fast übersteigen. Autonomes Fahren baut auf der Vernetzung von Autos untereinander, aber auch mit ihrer Umgebung auf. Anders ist es nicht denkbar. Sie müssen nicht nur mit den Menschen, sondern auch mit der umliegenden Infrastruktur kommunizieren. Das wird nicht alles, aber doch vieles im Straßenverkehr verändern: Bei einem Unfall stellt sich nicht mehr die Frage, welcher Fahrer schuld war, sondern ob der Fahrer oder das Auto den Unfall verursacht hat – oder gar ein Dritter von außen. Wer hatte zum Zeitpunkt des Unfalls die Steuerung inne?

Digitale Kfz-Forensik wird sich dieser Frage stellen. Und letztlich auch die Rechtsprechung. Wenn ein Auto am Ende selbstständig aufgrund eines Systemfehlers im Graben landet, dann wären Prozesse zwischen Halter und Hersteller denkbar. Überhaupt wird die rechtliche Bewertung von Unfällen schwieriger. Es gibt zwar schon Stauassistenten in der Oberklasse, die das Auto automatisiert mitfahren lassen, doch muss der Fahrer in der Regel eine Hand am Lenkrad haben, sonst macht sich das System bemerkbar. Die Rechtsprechung ist dazu ohnehin eindeutig: Der Fahrer ist verantwortlich!

Hinterlassene Spuren

Wenn Autos – wie Audi, Mercedes oder auch Google es aktuell testen – aber komplett autonom unterwegs sein können, dann muss auch die Schuldfrage bei Unfällen neu geregelt werden – und nachvollziehbar sein, ob Mensch oder Maschine am Ende verantwortlich waren. Computer können abstürzen und beim autonomen Fahren kann der Mensch in solchen Fällen nicht unbedingt direkt eingreifen – er könnte wie in der Mercedes-Studie mit dem Rücken zur Straße sitzen. Und wer ist Schuld, wenn kein Mensch an Bord ist? „Ein Auto hinterlässt digitale Spuren“, sagt Käfer. Autos, die autonom fahren können, bräuchten aber auch einen Datenschreiber, der die Fahrten dokumentiert. „Unbedingt“, fordert Käfer. Und: Es braucht Experten, die diesen lesen können.

Die ersten Versuche, er hat sie am eigenen Auto vollführt. „Ich hatte null Ahnung von Automobiltechnik, aber von IT“, sagt er. An dem Tag, an dem er sein Auto mit seinem Smartphone öffnen konnte, wusste er: Dieses Thema wird die Branche noch sehr viel mehr beschäftigen – mit Sicherheit.

Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert