Moderne Autos fahren eine ganze Batterie an Rechnern spazieren. Amerikanische Forscher zeigen, wie man diese so sabotieren kann, dass der Fahrer keine Kontrolle mehr über sein Fahrzeug hat.
Eine Kollaboration der University of California in San Diego und der University of Washington veröffentlichte Mitte Mai ein Paper, das grundsätzliche Sicherheitsprobleme der Auto-internen Netzwerke und Steuergeräte anprangert. Sie blockierten die Bremsen einzelner Räder, stellten während der Fahrt den Motor ab, drehten die Heizung oder das Radio auf, spielten dieses nervige Gurtanlegengebimmel in voller Lautstärke, ließen die Scheibenwaschanlage verrückt spielen und schalteten innen wie außen die Lichter aus. Diese Arbeit ist eine wichtige und periodisch wiederkehrende Tätigkeit, eine Kritik am Automobilbau mit Praxisargumenten. Es ist außerdem eine undankbare Tätigkeit, weil statistisch gesehen niemand Computer versteht — am allerwenigsten die termingehetzten Medien, die aus den verführerischen Zutaten des Berichts prompt einen exquisiten Quatsch mit Soße kochten. Egal, was Sie in der letzten Zeit im Fernsehen gesehen oder irgendwo gelesen haben: Es besteht keine relevante Gefahr, dass jemand über Funk vom Straßenrand aus Ihre Bremsen blockiert. Der Bericht (nachlesbar unter www.autosec.org) erinnert dennoch daran, dass die Elektronik aktueller Autos ein enormes Missbrauchspotenzial birgt.
Zunächst mal: Was haben die Forscher getan, damit sie schlagzeilenkonform über Funk einen fahrenden Wagen beeinflussen konnten? Die Antwort liegt ziemlich genau bei klassischer Sabotage. Sie haben sich physikalisch Zugang zu diesem Auto verschafft und dort zusätzliche Geräte angeschlossen. Das mit dem Zugang war ziemlich einfach, denn sie hatten das Auto gekauft. Welches Auto es war, wollen sie nicht verraten, wen es interessiert, wird das 2009er-Fabrikat schnell anhand der Bilder im Bericht identifizieren können. Das mit den zusätzlichen Geräten war ebenfalls einfach, denn die bestanden aus einem Laptop und einigen Kabeln. Den Laptop verbanden sie über den Diagnosestecker (nennt sich akronym OBD-II) mit dem Netzwerksystem des Autos (OBD-II verbindet mit dem sogenannten CAN-Bus). Der Laptop empfing über seine eingebaute WLAN-Antenne Befehle von einem zweiten Laptop in einem Begleitfahrzeug. Mit diesem Test erprobten die Forscher, ob ihre Erkenntnisse vom aufgebockten Auto auch in echter Fahrt auf einem leeren Flugfeld noch galten (die Antwort lautete in den meisten Fällen „Ja“). Doch so interessant ihre Versuche auch sind: Wenn jemand einen ferngesteuerten Rechner in Ihr Auto einbauen kann, dann kann er auch eine ferngesteuerte Bombe einbauen. Interessant ist nur, wie unzulänglich die Sicherheitsvorkehrungen gegen Sabotage auf dem Bus tatsächlich sind. Die amerikanischen Bastler hatten sich auf lange Sitzungen mit dem Oszilloskop eingestellt, fanden jedoch überall sehr einfache Zugangslücken.
Dazu sollte man wissen, dass der CAN-Bus (CAN steht für „Controller Area Network“) aus den Achtzigern stammt, als noch nicht für jeden absehbar war, dass heute Gurtwarner bimmeln oder Kinder auf dem Rücksitz DVDs anschauen. CAN ist robust konstruiert, einfach und nach heutigen Maßstäben nicht sonderlich schnell. Zugangskontrollen waren damals in sehr geringem Umfang vorgesehen, denn jede solche Kontrolle behindert den Zugang, macht das System komplexer und damit fehleranfälliger. In aktuellen Autos gibt es ein paar mehr Kontrollen, zum Beispiel in Form eines Frage-Antwort-Spiels (Challenge/Response). Fordert ein Gerät von einem anderen wichtige Dinge wie zum Beispiel eine Reprogrammierung seiner Funktionen, stellt das geforderte Gerät eine Frage und erwartet die richtige Antwort. Weil beide Geräte Computer sind, sind Frage wie Antwort einfach Zahlen (Computer sind so), und weil CAN einfach aufgebaut ist, hält sich die Größe der Zahl in Grenzen. Im Test gab es 65.536 mögliche Antworten — eine 16 Bit breite Zahl also und nicht besonders viel, wenn man einfach einen Computer jede Antwort probieren lässt und derweil Kaffee trinken geht. Die Anzahl der falschen Antworten war nicht begrenzt, es gab nur eine Pause von zehn Sekunden, bevor man eine neue Antwort probieren konnte. In unter acht Tagen hat man also alle richtigen Antworten für ein bestimmtes Auto herausgefunden. Das ist auch mit ein Grund, warum Chiptuner kaum ein Problem mit solchen Hürden haben, warum man den Tachorückdrehern nicht beikommt.
Immerhin überhaupt eine Hürde, könnte man jetzt sagen, aber das wies sich in der Praxis des Experiments als falsch heraus. Denn obwohl die beschriebenen Sicherheitstechniken empfohlen, ja: in den Standards der Hersteller vorgesehen sind, konnten die Forscher oft einfach eigentlich gesperrte Funktionen nutzen, ohne sich über das Frage-Antwort-Spiel zu authorisieren. Ebenso sehen Fahrzeugentwicklungsrichtlinien so aus, dass bestimmte Funktionen in Fahrt nicht zur Verfügung stehen, weil ihre Benutzung dann potenziell gefährlich ist. Zum Beispiel soll man die Motorsteuerung in Fahrt nicht neu bespielen können (Programmiermodus), weil dabei der Motor ausgeht. Im Experiment konnten die Tester die Motorsteuerung jedoch während der Fahrt in den Programmiermodus schicken, der Motor ging aus. Ohne hier in langweilige Details zu gehen: Die Tester fanden noch mehrere solche kritische Stellen, an denen eine wichtige Richtlinie nicht beachtet wurde, was es ihnen so einfach machte. Das liegt dann nicht mehr an Schwächen von CAN, das ist schlicht Schlamperei. CAN wird uns trotz neuer Autonetzwerksysteme wie Flexray noch eine Weile begleiten. In den USA ist es sogar gesetzlich vorgeschrieben, damit die Polizei ihre OBD-II-Lesegeräte für Ermittlungen verwenden kann.
Für Schlamperei gibt es denselben Grund wie für die grundsätzlich schwachen Sicherheitsmechanismen: Geld nämlich. In einem Interview zu diesem Thema (gut, eigenltich war das Interview zu einem anderen, verwandten Thema) erklärte der Zulieferer Bosch mir kürzlich, dass sie kaum Sicherheitsbarrieren entwickeln, weil sie kein Fahrzeughersteller bestellt. Warum auch? Würden Sie tausend Euro mehr für Ihren nächsten Wagen zahlen, aus Gründen, die Ihnen kein Händler richtig erklären kann? Sicherheit verkauft sich nur, wenn es nachvollziehbare Angst als Druckmittel gibt. Ein weiterer Grund: es ist im Interesse aller ehrlichen Beteiligten, dass ein Auto so offen wie möglich ist, denn nur dann kann eine Werkstatt schnell Fehler beheben, der ADAC noch vor Ort helfen und der Tuner den Wagen auch elektronisch optimieren. Strengere Sicherheit macht es nicht zuerst Kriminellen, sondern zunächst einmal all den ehrlichen Leuten schwerer.
Wie das Problem in Zukunft behandelt wird, hängt von vielen Faktoren ab. Wenn der erste Saboteur einen Weg gefunden hat, über die Funkschließanlage vom Wegesrand die Bremsen zu beeinflussen, wird das Geschrei groß sein. Man könnte das Problem jetzt schon präventiv angehen, aber „präventiv“ ist gegen alles, wofür die soziale Markwirtschaft steht. Es wird nicht passieren. Im Hinblick auf aktuell laufende Entwicklungen bei den Herstellern kann einem da schon mulmig zumute werden. So arbeiten alle großen Autobauer etwa an Car-to-Car-Netzwerken, um damit intelligente Orientierungshilfen für Fahrzeug wie Fahrer zu geben. Jedes Auto teilt dabei seinem unmittelbaren Umfeld mit, wie schnell es wo fährt und vielleicht, wo es hinwill (Blinker). Das soll (wie immer) die Verkehrssicherheit erhöhen, kann jedoch auch als Mittel zur Optimierung des Verkehrsflusses dienen, zum Beispiel an Ampelkreuzungen. Kollege Thomas Delekat erwartet schon fest, dass die Regierung diese Netzwerke überdies benutzen wird, um Tempolimits technisch zu erzwingen, dass Schilder also einen Sender haben werden, der die verlangten 50 km/h der Motorelektronik über den Kopf des Fahrers hinweg einfach diktiert. Diese Netzwerke sind in ihrer Umsetzung an sich schon schwierig. Ich kann mich erinnern, wie ein stolzer deutscher Hersteller sein System bei einem Besuch vorführte, wobei es prompt zu eben dem Crash kam, der eigentlich verhindert werden sollte. Und jetzt stellen wir uns dazu einen gerissenen Virenprogrammierer vor, der die zukünftigen Schlampereien (mit denen Sie fest rechnen sollten) geschickt ausnutzt…
Über mögliche Auswege aus dem Dilemma streiten sich Experten. Effektive Verschlüsselungstechniken sind wie gesagt teuer und niemand will sie bezahlen. Wobei man dabei nicht alle Hoffnung verlieren muss, denn wenn ein gesetzlicher Druck da ist, klappt sowas auf einmal doch. Bei BMW gibt es als Sonderausstattung der großen Limousinen ein Nachtsichtgerät mit automatischer Personenerkennung. Dieses Gerät fällt unter US-Gesetze, die fordern, dass es ausgebaut nicht mehr funktionieren darf, damit Terroristen keinen Raketenwerfer drantackern. BMW und seine Zulieferer genügen dem Gesetz durch eine starke Verschlüsselung nebst entsprechender Authentifikation. Vielleicht gibt es also irgendwann eine gesetzliche Vorschrift, sowas durchgängig zu verbauen, selbst wenn dann der gute alte Autoschrauber noch ratloser dasteht, als das heute schon der Fall ist. Wer sich vor den Gefahren der KFZ-Informationstechnologie schützen möchte, muss künftig möglichst einfach konstruierte Fahrzeuge kaufen. Motorräder, Roller oder gleich ganz zeitgeistig Oldtimer. Letztere sind zwar weniger zuverlässig als moderne Autos, versagen jedoch wenigstens aus Gründen, die normale Menschen noch verstehen.
[…] devices is child‘s play for a PC. The codes are just 16 bits long and it‘s possible to run through (German language link) all possible codes fairly quickly. This is reported to be the reason why […]
[…] devices is child‘s play for a PC. The codes are just 16 bits long and it‘s possible to run through (German language link) all possible codes fairly quickly. This is reported to be the reason why […]