Autos im Visier von Hackern

Text: Dino Nodari
Fotos: Keystone ATS

Sie lässt Autos tanzen, aus Parkhäusern fallen oder bringt sie zum Explodieren. Aus der Ferne hat die Cyberterroristin die Kontrolle über die Fahrzeuge übernommen. Was im Actionfilm «Fast & Furious 8» von 2017 noch auf den maximalen Actioneffekt ausgelegt eine fiktive Übertreibung darstellte, scheint 2025 nicht mehr so sehr aus der Luft gegriffen. Wie Walter J. Unger, der langjährige Chef der Cyberabwehr des öster­reichischen Bundesheeres, im Magazin «Auto Touring» erklärt, wurde in Öster­reich schon versucht, Gespräche von hochrangigen Politikern in Fahrzeugen abzuhören oder zu tracken, wo sich die­se Fahrzeuge und Personen befinden. Für Unger ist klar, dass die Gefahr real ist. Und auch die amerikanische Bundespolizei FBI hat in den vergangenen Jahren wiederholt vor Angriffen gewarnt, die Schwachstellen in den Computersystemen der Automobilindustrie ausnützen und diese kompromittieren können.

Bereits 2015 ist es zwei Forschern gelungen, in einen auf der Autobahn fahrenden Jeep Cherokee einzudringen und die Kontrolle zu übernehmen. Erst wurden Klimaanlage und Musik voll aufgedreht und dann sprühte die Waschanlage ohne Unterbruch. Den Hackern ist es aber auch gelungen, die Steuerung zu übernehmen und den Wagen zu bremsen. Im vergangenen Jahrzehnt kam es nach dem spektakulären Jeep-Hack noch zu vielen weiteren aufsehenerregenden Angriffen etwa auf Kia, Volkswagen, BMW oder Tesla. Alle diese Angriffe haben eines gemeinsam: Sie wurden möglich, weil digitale Schnittstellen, etwa im Infotainment-System, der fest eingebauten SIM-Karte, Bluetooth-Verbindungen oder die Remote-App, des Autos nicht ausreichend ge­sichert waren. Diese verwundbaren Schnittstellen finden sich in Verbren­nern wie auch in Elektrofahrzeugen. Letztere sind dafür an Ladestationen, wo viele Daten zwischen Benutzer, Hersteller, Bank und Energieversorger ausgetauscht werden, zusätzlich gefährdet.
Wie der deutsche Automobilclub ADAC im vergangenen Jahr publik machte, gibt es noch eine weitere weitverbreitete Sicherheitslücke bei den als Keyless, Keyless Go oder Keyless Entry bekannten Komfortschlüsseln, die heute teilweise auch schon in der Serienausstattung inbegriffen sind. Bei diesen Systemen muss der Schlüssel nicht aus der Tasche gekramt werden, das Auto erkennt den Schlüssel durch ein Signal und öffnet oder schliesst das Auto. ­Autodiebe können dieses Signal verlängern und die Kontrolle übernehmen. Für ­diesen Hack braucht es also nicht einmal gestohlene Zugangsdaten. Die Tests des ADAC bei über 700 Fahrzeugen zeigten, dass fast alle Fahrzeuge mit dieser ­Methode problemlos geöffnet werden konnten. Nur zehn Prozent der überprüften Autos liessen sich nicht austricksen.

Durch die zunehmende Vernetzung und Automatisierung der Fahrzeuge, die nebst all ihren Vorteilen eben auch auf Systeme angewiesen sind, die miteinander kommunizieren, bieten sich dadurch auch vielfältige Angriffspunkte. So geht VicOne, ein Anbieter für Cybersicherheitslösungen, in seinem kürzlich erschienenen Automotive Cyber­security Report 2025 davon aus, dass die Anzahl und die Qualität der Cyberangriffe zunehmen werden. Allein im vergangenen Jahr wurden, gemäss dem ­Report, insgesamt 215 Cyber­security-­Vorfälle in der Automobilbranche re­gistriert. Cloud- und Backend-Sicher­heits­lücken waren die häufigsten Angriffsschwachstellen und betrafen in der Regel Ransomware-Angriffe, Datenverletzungen und Social-Engineering- oder Phishing-Angriffe. Fahrzeug­entführungen, Schwachstellen in der Lieferkette und Angriffe auf schlüssellose Zugangssysteme betrafen meist ­Onboard-Systeme und «Over the Air (OTA)»-Sicherheitslücken.
Die alarmierenden Hacks klingen ­allesamt beunruhigend, die allermeisten davon wurden jedoch von sogenannten White-Hat-Hackern durchgeführt. Diese Hacker wollen keinen Schaden anrichten, sie arbeiten oft für oder sogar im Auftrag der Automobil­industrie, um Schwachstellen aufzudecken. Werden solche gefunden, haben die Hersteller vor einer Publikation der Angriffe die Möglichkeit, Updates durchzuführen und das Einfallstor zu schliessen. Die Angriffe zeigen aber, dass es technisch durchaus möglich ist, aus der Ferne in Autos einzudringen, Daten abzugreifen und auch die Kontrolle zu übernehmen.

Das Schweizer Bundesamt für Cybersicherheit gibt auf Anfrage an, dass bisher nur selten Schwachstellen oder Hacks im Bereich von Fahrzeugen gemeldet wurden. Man habe sich im begrenzten Rahmen aber auch schon mit Schwachstellen beim Laden von Elektrofahrzeugen auseinandergesetzt. Bei der Kan­tons­polizei Zürich sind bisher noch keine Fälle von gehackten Autos bekannt. Während die Sicherheit der Schnittstellen in den Aufgabenbereich der Hersteller fällt, können Autofahrer durchaus etwas für die eigene Sicher­heit tun. Das betrifft vor allem die Zugangsdaten zu verschiedenen Services und Apps. Wer hier verschiedene und lange Passwörter nutzt, einen Passwortmanager sowie, wenn möglich, eine Zwei-Faktor-Authentifizierung aktiviert, kann sich zumindest in begrenztem Rahmen gegen Angriffe wehren.