Das Experiment von Charlie Miller und Chris Valasek gilt als die Stunde null des modernen Auto-Hackings. Gemeinsam mit Andy Greenberg, einem Redakteur des amerikanischen Technologiemagazins "Wired", demonstrierten die beiden Informatiker bereits im Jahr 2015, wie anfällig die Elektronik von Autos für Angriffe von außen ist. Mithilfe eines handelsüblichen Laptops verschafften sie sich über das Infotainmentsystem Zugang zur zentralen Kontrolleinheit eines Jeep Cherokee, an dessen Steuer der Journalist Greenberg gerade einen Highway in der Nähe von St. Louis entlangfuhr. Auf Knopfdruck ließen sie aus der Distanz den Motor absterben, drehten das Radio auf volle Lautstärke und die Klimaanlage auf Maximum. Der Fahrer hatte nicht die geringste Chance, dagegen etwas zu unternehmen.
Experiment von Miller und Valasek zeigte Gefahren der Auto-Elektronik
Das mittlerweile berühmte Experiment von Miller und Valasek sollte die Autoindustrie aufrütteln und auf die Gefahren der zunehmend mit der Außenwelt vernetzten Elektronik und Software moderner Fahrzeuge hinweisen. Aufgrund des Experiments rief der Hersteller Fiat-Chrysler 1,4 Millionen Fahrzeuge zurück und ließ deren Software aktualisieren. Die geschätzten Kosten der Rückholaktion: ein dreistelliger Millionenbetrag. Dabei steckte die Vernetzung des Automobils zum Zeitpunkt des Experiments noch vergleichsweise in den Kinderschuhen. Mittlerweile umfassen Neuwagen mehr als 60 Steuergeräte und über 130 Millionen Zeilen Programmiercode. Zum Vergleich: Das Betriebssystem Windows 10 besteht gerade einmal aus 55 Millionen Zeilen Code.
Es ist so etwas wie die Schattenseite der rasanten Entwicklung: Je mehr Funktionen digitalisierte Autos bieten, je höher der Komfort für die Insassen, desto höher auch das Risiko. Vor zehn Jahren zählte das israelische Sicherheits-Start-up Upstream Security weltweit gerade einmal vier gelungene Hackerangriffe im Automobilbereich. Vor zwei Jahren waren es bereits über 100.
Das größte Sicherheitsrisiko beim Auto ist seine enorme Komplexität
"Im Vergleich dazu sind aktuelle Smartphones geradezu trivial. Und dennoch zeigt das jüngste Beispiel der gehackten Pegasus-Software, dass auch hier Sicherheit ein äußerst relativer Begriff ist", erklärt Peter Teufl, Geschäftsführer der A-SIT Plus GmbH und Experte für Automotive Security an der Technischen Universität Graz. Zwischen 2018 und 2020 hielt Teufl an der Hochschule Vorlesungen zum Thema Sicherheit im Automobilbereich, mit seinem Unternehmen ist der erfahrene Cybersecurity-Experte unter anderem auch für die Umsetzung der "Grüner Pass"-App des Gesundheitsministeriums verantwortlich. "Im Automotive-Bereich gibt es bis dato keine dominanten Software-Anbieter, wie es beispielsweise Apple oder Google im Smartphone-Bereich sind. Das hat den Nachteil, dass sicherheitsrelevante Updates nicht so einfach und vor allem nicht in der notwendigen Geschwindigkeit installiert werden können", so Sicherheitsexperte Teufl.
Eine weitere Problematik besteht darin, dass die Sicherheitsvorschriften bei Software im Automobilbereich um ein Vielfaches strenger sind als beispielsweise bei der Unterhaltungselektronik. "Einfach gesagt verzögern die bei Autos gesetzlich vorgeschriebenen Tests die Prozesse dermaßen, dass man im Wettlauf mit den potenziellen Angreifern zwangsläufig immer hinterherläuft", erklärt Peter Teufl. "Und für dieses Problem hat man bis dato auch noch keine praktikable Lösung gefunden, weder technisch noch finanziell."
Viele Angriffspunkte für Hacker
Fahrzeuge, die bereits heute das Gros des Straßenverkehrs bilden, bieten Hackern eine ganze Reihe von Angriffspunkten. Besonders beliebt ist das Überlisten von sogenannten Keyless-Systemen, mit deren Hilfe Fahrzeugbesitzer ihr Auto ohne physischen Schlüssel öffnen und absperren und sogar starten können. Wie einfach schlüssellose Verriegelungen umgangen werden können, zeigt ein Fall aus Israel vor zwei Jahren: Dort hatte eine kriminelle Bande Autos im großen Stil aufgebrochen. Die dazu notwendigen Fähigkeiten hatte sie sich über YouTube-Videos angeeignet.
Eine weitere Schwachstelle stellt das Koppeln von Smartphones mit den bordeigenen Infotainmentsystemen dar. Bereits 2016 demonstrierten Experten des Sicherheitsunternehmens McAfee, wie einfach eine Schadsoftware mithilfe eines präparierten Smartphones auf dem Infotainmentsystem eines Autos installiert werden kann. Das betreffende Fahrzeug konnte in der Folge nicht mehr gestartet werden, auf dem Info-Display erschien die Aufforderung, Bitcoin auf ein Konto zu überweisen.
Ein anderes realistisches Beispiel stammt aus Australien, wo ein Mann mit einer Art Fernsteuerung die Fahraktivitäten des SUVs seiner Ex-Freundin überwachen konnte. Nach der Trennung konnte der Stalker nachverfolgen, wohin die Betroffene mit ihrem Auto gefahren war, und drang in ihre Wohnung ein, während sie unterwegs war.
Wirklich ernst wird es bei den selbstfahrenden Autos
So unangenehm derartige Bedrohungsszenarien für Autofahrer auch sein mögen, richtig ernst wird die Lage für die Hersteller erst in ein paar Jahren, wenn die ersten selbstfahrenden Autos auf den Markt kommen. Peter Teufl: "Bisher ging es lapidar gesagt ,nur' um die Bedrohung der Privatsphäre der Fahrzeugbesitzer oder um das Risiko, dass Autos aufgebrochen werden. Doch sobald autonome Fahrsysteme gehackt werden, kann schnell die Gesundheit oder im Extremfall das Leben der Insassen bedroht sein." Im Gegensatz zur Software- und IT-Branche haben Autobauer noch kaum Erfahrung im Umgang mit Hackerangriffen. Einfach einen Virenscanner zu installieren wird jedoch mit Sicherheit nicht reichen. In seinem Positionspapier zur Automotive Security fordert deshalb der deutsche Automobilverband VDA, höchste Sicherheitsstandards zu gewährleisten und das Fahrzeug bestmöglich zu schützen. Und tatsächlich investieren Hersteller und Zulieferer bereits Milliarden in die Cybersecurity und stellen Tausende IT-Experten ein. Für Peter Teufl ist das der richtige Weg, jedoch: "Unterm Strich ist es bedeutungslos, wie viele Millionen man investiert. Am Ende des Tages ist kein IT-System absolut sicher. Viel wichtiger ist es, ein Verständnis für die verschiedenen Bedrohungsszenarien zu entwickeln und zu entscheiden, wie man technisch mit der Unsicherheit umgeht."
Neben dem finanziellen Risiko und dem potenziellen Reputationsverlust steht für die Autohersteller nicht weniger als die Zukunft des autonomen Fahrens auf dem Spiel. Denn würde es Hackern gelingen, ganze Flotten von Pkw oder Nutzfahrzeugen zu kapern, könnte das im schlimmsten Fall das Ende des Traums vom autonomen Auto bedeuten.