St. Louis

Profi-Hacker am Werk: Fahrendes Auto wird plötzlich ferngesteuert

Zwei US-Sicherheitsexperten haben ein fahrendes Auto ferngesteuert. Sie nutzten eine Sicherheitslücke im Unterhaltungssystem des Wagens, das mit dem Internet verbunden ist. Das Experiment des US-Technikmagazins Wired zeigt die Gefahren der Vernetzung, wenn Sicherheitsbewusstsein dem Technikfortschritt nicht Schritt hält.

Lesezeit: 3 Minuten
Anzeige
Mit dem Aufruf des Videos erklären Sie sich einverstanden, dass Ihre Daten an YouTube übermittelt werden und Sie die Datenschutzerklärung gelesen haben.

Von unserem Redakteur Jochen Magnus

Andy Greenberg ist mit seinem Jeep Cheerokee auf der Interstate 64 bei St. Louis im US-Bundesstaat Missouri unterwegs. Er wundert sich, dass die Klimaanlage plötzlich auf vollen Touren läuft. Dann erscheint das Foto zweier Bekannter auf dem großen Multifunktions-Bildschirm und aus den Lautsprechern des Radios dröhnt ohrenbetäubend Hiphop-Musik; Greenberg dreht am Lautstärkeregler, aber das nutzt nichts. Jetzt beginnt die Scheibenwaschanlage verrückt zu spielen, dann wird es ernst: Das Getriebe schaltet auf Leerlauf, der Jeep wird auf der Autobahn immer langsamer. Hinter ihm schiebt sich ein Schwertransporter bedrohlich dicht heran. Greenberg gibt Gas, die Drehzahl steigt, aber die Automatik bleibt stur auf neutral. Ein Albtraum?

Handy und Laptop als Tatwerkzeug

Es ist die Wirklichkeit. Hacker haben über das Internet den Geländewagen von Andy Greenberg gekapert und ferngesteuert. Die Hacker sitzen einige Kilometer entfernt auf einer gemütlichen Ledercouch, der eine hält ein Billighandy in der Hand, der andere balanciert einen Laptop auf den Knien. Damit lenken, beschleunigen und bremsen sie den Jeep. Die beiden lachen über Greenbergs beginnende Panik nach dem Bremsmanöver. Sie haben gut Lachen, denn ihr Car-Hacking-Experiment ist geglückt: Zum ersten (bekannt gewordenen) Mal wurde ein fahrendes Auto übers Internet „entführt“.

Wirklich gefährlich wurde es in diesem Fall nicht: Jeepfahrer Andy Greenberg ist ein Redakteur des US-Technologie-Magazins „Wired“ und war in das Hacking-Experiment eingeweiht. Die beiden Hacker sind ausgewiesene Computersicherheitsexperten. Charlie Miller ist ein ehemaliger NSA-Mitarbeiter und arbeitet heute als Sicherheitschef beim Internet-Kurznachrichtendienst Twitter. Chris Valasek ist Sicherheitsingenieur bei einer Beratungsfirma für Fahrzeugsicherheit.

Das Auto fährt ferngesteuert. Quelle: Wired-Video

Wired

Klimaanlage, Radio, Bildschirm, Bremsen und Lenkung … die Hacker haben alles unter Kontrolle. Quelle: Wired-Video

Wired

Sie sitzen zehn Meilen entfernt bequem im Wohnzimmer. Quelle: Wired-Video

Wired

Zum Schluss lassen die Computerexperten den Jeep sanft in einen Graben rollen – inzwischen sind sie am „Tatort“ eingetroffen.

Wired

2013 brauchten die Experten noch ein Kabel – und die Industrie winkte ab

Vor zwei Jahren schon wollten die beiden die Kfz-Branche aufrütteln, als sie vom Rücksitz eines Autos per Laptop einige Fahrzeugfunktionen steuerten. 2013 war dazu noch eine Kabelverbindung zum Diagnosestecker des Autos nötig. Deshalb wiegelte die Autoindustrie ab: Ihre Systeme seien robust, sicher. Ohne physischen Zugriff auf die Elektronik bestehe keine Gefahr. „Wir hatten nicht den Effekt erzielt, denn wir wollten“, erinnert sich Miller heute. Damals begannen die beiden darüber nachzudenken, wie man ein Auto ferngesteuert übernehmen kann.

Als Einfallstor entdeckten sie das Unterhaltungssystem des Jeeps. Es ist mit dem Internet verbunden, denn darüber können Jeepbesitzer zum Beispiel Musik oder Radio aus dem Netz hören. Miller und Valasek programmierten einen Chip des Systems um, so dass es nun Signale empfangen und an die Steuerungssoftware des Autos übermitteln konnte. So erhielten sie die Kontrolle über den Wagen.

Sicherheitslücke im Mobilfunknetz

Ein weiteres Sicherheitsleck war nötig, um gezielt ein Auto attackieren zu können. Es fand sich im Netzwerk des Mobilfunkanbieters Sprint. Hunderttausende Fahrzeuge sind in den USA darin angemeldet. Den beiden Experten gelang es, das große Netz anzuzapfen und jene Daten ausfindig zu machen, die von einem der vielen eingeloggten Autos stammten. Jetzt konnten sie deren Position und Fahrzeugtyp mit einer Googlekarte verknüpfen und die Route des Opfers bequem auf dem Laptop verfolgen. War es der „richtige“ Autotyp, irgendein Chrysler-Fahrzeug mit dem richtigen Multimediasystem des Herstellers, hätten sie den Wagen kapern und fernsteuern können. Die beiden betonen, dass es mit höherem Aufwand sogar möglich wäre, gezielt nach einem bestimmten Auto zu suchen und es zu sabotieren. Das Auto als Mordwerkzeug?

Warnung für Autobauer

Miller und Valasek sehen ihren Hack als Warnung. Sie wollen die Autobauer aufrütteln. Denn Autos enthalten immer mehr Internetfunktionen – und bieten damit mögliche Angriffsflächen. Hersteller Fiat Chrysler erklärte, dass Jeeps auf dem europäischen Markt nicht betroffen sind. Das betroffene GSM-Mobilfunk-Modul zum Internetzugang sei hier nicht verbaut. „Der Zugang geschah über eine GSM-Schnittstelle im Fahrzeug, die es nur bei Autos auf dem US-amerikanischen Markt gibt“, sagte ein Sprecher. Für Besitzer eines Jeeps in den USA habe Chrysler ein Software-Update herausgegeben. Um das durchzuführen, müssen Autofahrer ihren Wagen allerdings in die Werkstatt bringen.