Carsten Eilers Selbstständig

Eigentlich hilft in Sachen Car-IT nur eines: nachprüfbare Software für die Auto-IT – etwas, das die Hersteller bisher scheinbar um jeden Preis gemieden haben.

Wenn es um IT geht, ist nur eines sicher: Dass sie unsicher ist. Nicht immer, aber fast immer. Und das auch, wenn sie in Autos steckt. Seit einigen Jahren zeigen die Forscher auf den Sicherheitskonferenzen immer wieder neue Angriffe; zusätzlich wurden in 2016 auch neue Tools vorgestellt.

Die Autos sind noch nicht miteinander vernetzt und lassen sich schon aus der Ferne übernehmen – wie soll das erst werden, wenn sie regulär miteinander kommunizieren? In den USA ist das zum Beispiel bereits geplant, um Unfälle zu reduzieren. Ich fürchte ja, das wird die Unfallzahlen eher nach oben treiben, denn wenn dann die IT eines Autos übernommen wurde oder auch einfach nur von sich aus spinnt, kann sie auch gleich alle in der Umgebung mit falschen Informationen füttern. Das kann dann schnell zu allgemeinem Chaos führen. Es reicht ja, wenn die vernetzten Fahrzeuge einfach stoppen und danach nicht mehr weiterfahren. Wenn genug davon im Weg rumstehen, kommen auch die nicht vernetzten Fahrzeuge nicht mehr weit. Was passiert, wenn die vernetzten Fahrzeuge z. B. an einer Ampelkreuzung ohne ersichtlichen Grund trotz grüner Ampel eine Vollbremsung machen, möchte ich mir gar nicht weiter ausmalen. Doch die miteinander vernetzten Autos sind noch nicht akut, betrachten wir also besser den aktuellen Stand der Forschung.

Charlie Miller und Chris Valasek: Same procedure as every year

Charlie Miller und Chris Valasek haben schon zweimal auf der DEF CON bzw. Black Hat gezeigt, wie einfach es ist, die IT eines Autos und damit auch das komplette Auto zu übernehmen. Im August 2013 mussten sie dazu noch auf dem Rücksitz des Wagens sitzen und ihr Notebook über ein Kabel mit dem CAN-Bus des Autos verbinden. Die beiden hatten danach aber z. B. die Kontrolle über die Bremsen, die sie nach Belieben ausschalten oder auslösen konnten. Auch die Einparkhilfe ließ sich nach Belieben manipulieren. Versuchen Sie doch mal einzuparken, wenn der Wagen in die andere Richtung will, oder die Spur zu halten, wenn der Wagen lieber in den Gegenverkehr oder Graben fahren möchte! Das ist zwar möglich, erfordert aber mehr Kraftaufwand als üblich. Wenn man nicht damit rechnet, dass der Wagen plötzlich woanders hin fahren will als er soll, kann das schon ganz schön schiefgehen.

Also ich möchte in so einem Wagen nicht sitzen. Der Reporter Andy Greenberg ist das Risiko 2013 eingegangen und hat eine Runde mit Miller und Valasek im Wagen gedreht. Oder die mit ihm – je nachdem, wie man das sieht. Im Juli 2015 hatten die beiden ihre Angriffe dann soweit verbessert, dass sie nun drahtlos aus der Ferne möglich waren. Das Einfallstor für ihren Angriff war Uconnect, ein mit dem Internet verbundenes Feature des Entertainment-Systems des angegriffenen Jeep Cherokee. Danach ging es über das Entertainment-System weiter, dessen Firmware durch eine manipulierte Version ersetzt wurde und dann über den CAN-Bus die Kontrolle über den Wagen übernahm. In diesem saß bei einer Demonstration übrigens wieder Andy Greenberg, während Miller und Valasek zu Hause auf dem Sofa saßen und den Wagen steuerten. Fiat Chrysler musste daraufhin außer den Jeeps eine Reihe weiterer betroffener Modelle nachbessern, was einen Rückruf erforderlich machte. Man sollte also meinen, sie hätten ihre Lektion gelernt. Dass dem nicht ganz so ist, haben Miller und Valasek auf der Black Hat USA 2016 gezeigt.

Den vollständigen Artikel lesen Sie in der Ausgabe:

Entwickler Magazin 2.17 - "Der Widerspenstigen Zähmung"

Alle Infos zum Heft
579764716Car-IT – so angreifbar wie nie
X
- Gib Deinen Standort ein -
- or -