Würselen/Aachen: Sicherheitslücken im Auto auf der Spur

Würselen/Aachen: Sicherheitslücken im Auto auf der Spur

Wenn an Thomas Käfers Auto das Öl gewechselt werden muss, dann wird Käfer automatisch vom Automobilhersteller angeschrieben. Sein Wagen hat eine eigene Mobilfunkschnittstelle, die permanent Fahrzeugdaten Richtung Hersteller übermittelt — darunter anstehende Wartungsarbeiten wie zum Beispiel der nächste Ölwechsel.

Schnell und reibungslos wird er in so einem Fall informiert — alles läuft wie geschmiert. „So etwas macht Sinn“, sagt Käfer. Doch er weiß auch: die zunehmende Digitalisierung des Automobils birgt Gefahren.

HANDOUT - Ein mit zahlreichen Sensoren ausgerüsteter Audi A7 fährt am 04.01.2015 auf einer Straße in Kalifornien. Der deutsche Autobauer Audi setzt bei der Technik-Messe CES in Las Vegas einen Meilenstein für selbstfahrende Autos. Das mit zahlreichen Sensoren aufgerüstetes Fahrzeug mit dem Spitznamen „Jack“ fährt in zwei Tagen die knapp 900 Kilometer lange Strecke vom Entwicklungslabor im kalifornischen Silicon Valley zur Messestadt Las Vegas. ACHTUNG: Nur zur redaktionellen Verwendung im Zusammenhang mit der aktuellen Berichterstattung und nur bei Nennung: Foto: Jim Fets/Audi AG/dpa

Autos müssen nicht mehr mit dem Dietrich aufgebrochen werden, neuere Modelle können bereits und zukünftige ganz sicher gehackt werden wie jeder herkömmliche Computer. Das ist dann sozusagen Autodiebstahl 2.0. Idealerweise wird dieser mittels Voraberkennung aller erdenklichen Sicherheitslücken ausgeschlossen. Und genau das ist Käfers Metier: Er ist einer der ersten Kfz-Forensiker in Deutschland.

Zum Themendienst-Bericht vom 6. Januar 2015: Die Mercedes-Studie F 015 wurde konsequent für das autonome Fahren konzipiert - alle Mitfahrer können sich gegenübersitzen, wenn der Autopilot das Steuer übernimmt. (ACHTUNG - HANDOUT - Nur zur redaktionellen Verwendung im Zusammenhang mit dem genannten Text und nur bei vollständiger Nennung der Quelle. Die Veröffentlichung ist für dpa-Themendienst-Bezieher honorarfrei.) Foto: Daimler

Käfer kommt aus der klassischen IT-Branche. Seit 25 Jahren ist er in diesem Business unterwegs, Geschäftsführer der Würselener Firma Käfer EDV Systeme GmbH und seit zwölf Jahren Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung. Vor ein paar Jahren erreichten ihn die ersten Anfragen aus dem Kfz-Sektor.

HANDOUT - Das Ford Fusion Hybrid automated research vehicle wird von Ford zur Erforschung von Technologien für autonomes Fahren verwendet (undatiertes Handout). Der US-Autokonzern Ford rückt enger mit dem Silicon Valley zusammen. Neben der konkreten Entwicklung selbstfahrender Autos will der Brachenriese auch verstärkt den 3D-Druck einsetzen und lässt seine Kunden ihre Autos weitervermieten. Foto: Ford/dpa (zu dpa "Ford packt Entwicklung selbstfahrender Autos an" vom 24.06.2015 - ACHTUNG: Nur zur redaktionellen Verwendung im Zusammenhang mit dem genannten Text und nur bei vollständiger Nennung der Quelle Foto: Ford/dpa

„Haarsträubende Lücken“

Es ging um Steuergeräte, die nicht funktioniert haben sollen, oder um mangelhafte Navigationsgeräte, die in Autos verbaut waren. Es wurden mehr. Für den eigentlichen Kfz-Sachverständigen ist es schwer, Antworten zu finden, wenn es um IT-Fragen geht. Vor drei Jahren — im Alter von 46 Jahren — hat Käfer sich dann an der Hochschule Albstadt/Sigmaringen eingeschrieben und einen berufsbegleitenden Masterstudiengang Digitale Forensik belegt. Seitdem beschäftigen ihn die digitalen Sicherheitslücken der Autos mehr und mehr.

„Wir sind die guten Hacker“, sagt Käfer und meint die IT-Forensiker. Im Prinzip agiert er genauso wie die bösen Buben. Er versucht, Sicherheitslücken an den vielen Schnittstellen eines Autos zu finden. Doch mit dem Wissen, wie sich ein Automobil manipulieren oder gar stehlen lässt, verfasst er Berichte und informiert die Branche. Was er dabei bisher entdeckt hat? „Haarsträubende Sicherheitslücken“, sagt Käfer.

Die FH Aachen forscht

Wenn Autos mittels einer App bedient werden können, dann ist das erstmal technischer Fortschritt, der Komfort verspricht. Die großen deutschen Hersteller wie BMW, Audi und Mercedes haben solche Systeme. Das Auto lässt sich ohne Schlüssel öffnen, die Klimaanlage auf dem Weg zum Auto bereits bedienen — in der Sommerhitze gewiss ein prima Service. Das Elektroauto Tesla lässt sich mit dem Smartphone sogar starten. Das Problem ist: Wenn Hacker das Smartphone des Fahrers manipulieren, dann haben sie auch gleich Zugriff auf das Automobil. Insbesondere das Thema Passwörter spielt dabei eine große Rolle, wenn diese nicht ausreichend gesichert gespeichert werden, dann sei dies ein gefundenes Fressen für Hacker, erklärt Käfer. Einen 50-seitigen Fehlerbericht mit Sicherheitslücken und Angriffsflächen als Auszug aus seiner derzeit laufenden Forschungsarbeit „Car-Forensics“ hat Käfer allein in einem Fall an den betreffenden Hersteller verschickt. Das wurde auch an der Fachhochschule (FH) Aachen erkannt: beim Forschungsprojekt ISiA IT-Sicherheit in Automobilen. Vier Professoren aus verschiedenen Disziplinen arbeiten hier seit 2013 zusammen, hinzu kommen Partner aus der Industrie wie eben die Käfer EDV Systeme GmbH.

Thomas Käfer hat an der FH Aachen sein Erststudium abgeschlossen. Ausgangspunkt für dieses Projekt war die Einrichtung des Studiengangs Fahrzeugelektronik. An einem dieser informellen Abende, wie es sie an Hochschulen gibt, kamen Fahrzeugelektroniker und IT-Experten ins Gespräch. Irgendwann drehte sich (fast) alles um die entscheidende Frage: Wenn ein Smartphone Ziel eines Hackerangriffs wird, kann dann ein ganzes Auto manipuliert werden? Allgemeiner Tenor: Es kann!

ISiA ist wie Thomas Käfer den Gefahren auf der Spur. Allerdings ist das Tempo, mit dem neue Entwicklungen in die Autos kommen, enorm. Die Digitalisierung ist eine Art Wettrennen der Hersteller, und im Windschatten sind nun auch die Hacker unterwegs — die bösen, aber eben auch die guten. „Bei der Schnelllebigkeit des IT-Sektors müssen wir sehr schnell und kreativ sein“, berichtet FH-Professor Marko Schuba.

Ein weiteres Problem: „Noch fehlt das nötige Bewusstsein in der Branche“, erklärt FH-Professor Frank Hartung (beide vom Fachbereich Elektrotechnik und Informationstechnik). Sicherheitslücken sind für Automobilhersteller eben in mehrerer Hinsicht schädlich — auch oder gerade für Ruf und Verkaufszahlen. Entsprechend dezent wird das Thema in der Öffentlichkeit behandelt.

Fahrzeuge sollen sich aber vernetzen — und das in Ausmaßen, die die Wahrnehmung fast übersteigen. Autonomes Fahren baut auf der Vernetzung von Autos untereinander, aber auch mit ihrer Umgebung auf. Anders ist es nicht denkbar. Sie müssen nicht nur mit den Menschen, sondern auch mit der umliegenden Infrastruktur kommunizieren. Das wird nicht alles, aber doch vieles im Straßenverkehr verändern: Bei einem Unfall stellt sich nicht mehr die Frage, welcher Fahrer schuld war, sondern ob der Fahrer oder das Auto den Unfall verursacht hat — oder gar ein Dritter von außen. Wer hatte zum Zeitpunkt des Unfalls die Steuerung inne?

Digitale Kfz-Forensik wird sich dieser Frage stellen. Und letztlich auch die Rechtsprechung. Wenn ein Auto am Ende selbstständig aufgrund eines Systemfehlers im Graben landet, dann wären Prozesse zwischen Halter und Hersteller denkbar. Überhaupt wird die rechtliche Bewertung von Unfällen schwieriger. Es gibt zwar schon Stauassistenten in der Oberklasse, die das Auto automatisiert mitfahren lassen, doch muss der Fahrer in der Regel eine Hand am Lenkrad haben, sonst macht sich das System bemerkbar. Die Rechtsprechung ist dazu ohnehin eindeutig: Der Fahrer ist verantwortlich!

Hinterlassene Spuren

Wenn Autos — wie Audi, Mercedes oder auch Google es aktuell testen — aber komplett autonom unterwegs sein können, dann muss auch die Schuldfrage bei Unfällen neu geregelt werden — und nachvollziehbar sein, ob Mensch oder Maschine am Ende verantwortlich waren. Computer können abstürzen und beim autonomen Fahren kann der Mensch in solchen Fällen nicht unbedingt direkt eingreifen — er könnte wie in der Mercedes-Studie mit dem Rücken zur Straße sitzen. Und wer ist Schuld, wenn kein Mensch an Bord ist? „Ein Auto hinterlässt digitale Spuren“, sagt Käfer. Autos, die autonom fahren können, bräuchten aber auch einen Datenschreiber, der die Fahrten dokumentiert. „Unbedingt“, fordert Käfer. Und: Es braucht Experten, die diesen lesen können.

Die ersten Versuche, er hat sie am eigenen Auto vollführt. „Ich hatte null Ahnung von Automobiltechnik, aber von IT“, sagt er. An dem Tag, an dem er sein Auto mit seinem Smartphone öffnen konnte, wusste er: Dieses Thema wird die Branche noch sehr viel mehr beschäftigen — mit Sicherheit.

Mehr von Aachener Zeitung