Car Connectivity
Vernetzte Autos - Risiko für Datenschutz und Sicherheit?
Schon heute stecken moderne Autos voller Computer, bald werden die Fahrzeuge untereinander Daten austauschen. Haben Hacker hier leichtes Spiel? Ein Rundumblick zu Datenschutz und Sicherheit bei vernetzten Autos.
Popstar Justin Bieber gilt nicht nur als Feierbiest, sondern auch als wilder Typ am Steuer. Als er vor ein paar Monaten morgens um vier in Miami in einem Lamborghini aufkreuzte und zusammen mit einem Ferrari fahrenden Kumpel für PS-Radau sorgte, war der Fall für die Polizei klar: Bieber wurde verhaftet, weil er ein illegales Privatrennen angezettelt haben sollte. Doch die Auswertung des GPS-Ortungssystems in Biebers Lambo ergab, dass der Teenieschwarm keine 40 Meilen pro Stunde gefahren war, bevor er gestoppt wurde - die gespeicherten Daten bewahrten ihn vor dem Führerscheinentzug.
Dieses prominente Beispiel zeigt ansatzweise, was Realität werden kann, wenn unsere Autos zu voll vernetzten Schwarmwesen werden, die, jederzeit lokalisierbar, elektronisch ihre Umgebung scannen und alle Aktivitäten des Fahrers festhalten. Die Möglichkeiten zum Datensammeln scheinen grenzenlos: Moderne Fahrzeuge sind rollende Rechenzentren mit
1,5 Kilometern Kabel und mehr als 80 Mikrocomputern, die über interne Datenkanäle die Kommunikation zwischen Motorsteuerung, Embedded CPUs und den verschiedensten Sensoren bewerkstelligen. Eine zentrale Rolle spielt der CAN-Bus (Controller Area Network), der für die Anbindung externer Netzwerkdienste per WLAN oder Bluetooth verantwortlich ist - und als mögliches Einfallstor für Hackerangriffe gilt.
Studie mit Sicherheitslücken
IT-Experten wie Manfred Broy, Professor für Informatik an der Technischen Universität München, halten die Gefahr einer derartigen Attacke aktuell noch für gering. "Die heutigen Fahrzeuginfrastrukturen sind so ausgelegt, dass es nahezu unmöglich sein dürfte, ohne physischen Eingriff am Auto eine Manipulation vorzunehmen." Künftig könne das aber ganz anders aussehen: "Wenn man die Vernetzung weitertreibt, gibt es möglicherweise eine Brücke über das Internet, die es Hackern erlaubt, an die empfindlichen Stellen heranzukommen. Dann wird es hochkritisch, weil die Nachrichten auf den Bus-Systemen nicht verschlüsselt sind."
Eine kürzlich veröffentlichte Proof-of-Concept-Studie signalisiert allerdings schon jetzt Handlungsbedarf: Experten der IT-Sicherheitsfirma Kaspersky haben die stark fragmentierten Software-Ecosysteme mehrerer Hersteller unter die Lupe genommen und einige Schwachstellen entdeckt. Vicente Diaz, Principal Senior Researcher bei Kaspersky, nennt am Beispiel des Fahrerassistenzsystems ConnectedDrive von BMW mögliche Sicherheitslücken.
"Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind", so Diaz. "Wird etwa einem Besitzer das Passwort fürs Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden; auch die Türen lassen sich ferngesteuert öffnen. Ein sorgsamer Umgang mit diesen Daten ist also entscheidend."
Außerdem müssten sich Käufer eines Neuwagens mit reichhaltiger Connectivity darüber im Klaren sein, dass es noch weitere Risiken gibt. So könnten Kriminelle etwa mit bekannten Methoden wie Phishing, Keylogging und Social Engineering die Zugangsdaten zur Website des Autoherstellers stehlen und damit unautorisiert auf Anwenderinformationen zugreifen - oder sich sogar Apps für den späteren Zugriff auf das Fahrzeug einrichten.
Wer sein Auto ferngesteuert per Smartphone-App öffnen möchte, sollte sich bewusst machen, dass er mit seinem Handy auch den Schlüssel aus der Hand gibt. Diebe können sich auf diese Weise einen Zugang zur Datenbankanwendung verschaffen und die PIN-Authentifizierung umgehen. Hinzu kommt, dass sich viele Infotainmentsysteme über Bluetooth aktualisieren lassen - mit einem einfachen USB-Stick. Die Daten auf dem portablen Speicher sind weder signiert noch verschlüsselt und enthalten zahlreiche Angaben über die Systeme im Fahrzeug. Angreifer könnten über den Stick Schadprogramme einschleusen.
Eine weitere Gefahr stellen Funktionen dar, die sich per SMS an eine mit der Bordelektronik verbundene SIM-Karte steuern lassen. Abhängig vom Grad der Verschlüsselung könnten Cyberkriminelle auf diesem Weg unautorisierte Befehle erteilen, kritisieren die Autoren der Studie. Die deutschen Autohersteller erklären jedoch unisono, dass die Datensicherheit im Fahrzeug für sie hohe Priorität genieße.
"Wir erweitern die Sicherheitsmechanismen bei der Entwicklung neuer Funktionen, um den aktuellen Stand im Datenschutz zu erfüllen und durch aktuelle technische und organisatorische Maßnahmen die zugehörige Datensicherheit zu gewährleisten", erläutert beispielsweise Audi-Technologiesprecher Tim Fronzek.
Dass die Vernunfthochzeit mit der digitalen Industrie nicht ganz reibungslos vonstatten gehen würde, hat man in den Chefetagen früh geahnt. Zu unterschiedlich sind die Innovationszyklen, zu komplex die dahinter stehenden Technik- und Vermarktungskonzepte. So beschäftigt Volkswagen nach eigenen Angaben bereits 93.00 hochqualifizierte IT-Fachleute und investiert jährlich beinahe 4 Milliarden Euro in die Informationstechnologie. "Das intelligente Auto der Zukunft kann niemand im Alleingang realisieren", ist sich Martin Winterkorn, Boss in Wolfsburg, sicher. "Beim Thema Vernetzung braucht es den Schulterschluss von Automobilindustrie und IT-Branche, von Wirtschaft, Wissenschaft und Politik. Das Auto darf nicht zur Datenkrake werden", führt Winterkorn aus.
Die Zeit ist reif für ein No-Spy-Abkommen
Doch bislang ist davon wenig zu sehen. "Die Verhandlungen über Standards laufen viel zu träge", moniert Jürgen Bönninger, Geschäftsführer der Dresdner Non-Profit-Organisation FSD, die sich mit Fahrzeugsystemdaten beschäftigt.
Dabei biete die Vernetzung den europäischen Autoherstellern die Chance, sich auf einem Innovationsfeld zu profilieren, das sonst womöglich US-Konzernen wie Google oder Apple anheimfalle. Die Unternehmensberatung Booz & Company schätzt, dass sich die weltweiten Umsätze rund um das vernetzte Auto in den nächsten Jahren fast vervierfachen werden - von 31 Milliarden (2015) auf über 113 Milliarden Euro (2020).
Für unverzichtbar halten Insider wie Bönninger aber auf jeden Fall ein Datensicherheitsgesetz fürs Auto: "Die Gesellschaft muss klare Regelungen einfordern, damit sich die Politik bewegt." Obwohl die großen Hersteller Audi, BMW, Mercedes-Benz und VW beteuern, dass sie die während der Fahrt gesammelten Daten nicht vermarkten, verlangt der Verkehrsexperte für alle künftigen Modelle ein "No-Spy-Zertifikat". Damit soll verhindert werden, "dass digitale Abdrücke der Fahrdaten oder Infos über den Fahrzeugzustand als Bewegungs- und Aktivitätsprofile abgespeichert werden".
Ein Fall aus der Praxis illustriert die Dringlichkeit dieser Forderung. Ein Mann erwarb bei einem Autohändler einen gebrauchten Roadster. Als nach kurzer Zeit das elektrische Verdeck streikte, verlangte der Käufer eine kostenlose Reparatur. Doch der Händler ließ den Kunden abblitzen: Die im Steuergerät des Sportwagens gespeicherten Daten verrieten, dass der Verdeckmechanismus während der Fahrt bei unzulässig hohem Tempo betätigt worden war. Daraufhin reichte der Käufer eine Klage ein. Ein Gerichtsurteil steht noch aus, aber die Story zeigt: Der gläserne Autofahrer ist nicht mehr fern.
Überwachung bringt Rabatt
Mancher gibt seine Daten aber auch freiwillig preis. So bietet etwa die Sparkassen-Direktversicherung einen Kfz-Tarif an, der an eine GPS-Box mit Mobilfunkchip und Beschleunigungssensoren gekoppelt ist. Die erfassten Daten werden über das Internet an Telefonica übertragen. Jeden Monat errechnet das System eine individuelle Punktzahl, die mit den gefahrenen Kilometern und Details zur Fahrweise (Geschwindigkeit, Bremsmanöver) an die Assekuranz übermittelt wird.
Als Lohn winken fünf Prozent Rabatt. Was auf den ersten Blick wie ein attraktiver Dienst am Kunden erscheint, entpuppt sich auf den zweiten als dessen Verhöhnung: Der Autofahrer hilft seiner Versicherung dabei, ihr Kostenrisiko zu senken.
Interessante Perspektiven für potenzielle Datenjäger bietet auch der Gratis-Notruf eCall, der im Jahr 2017 nach langem Hin und Her für alle Neuwagen eingeführt werden soll. Die sorgsam vernetzte Sende- und Empfangstechnik des europaweit funkenden SOS-Dienstes ermöglicht nicht nur vielversprechende Zusatzgeschäfte für Ambulanz- oder Abschleppdienste - die EU will über die Blackbox am liebsten auch Verkehrsverstöße erfassen und Raser automatisch einbremsen. Ein erfolgreicher Feldversuch in den Niederlanden bestärkt die Bürokraten aus Brüssel in ihrem Späheifer.
Voraussetzung für solche Szenarien ist allerdings das vollautonome Fahren im großen Stil, das sich Experten wie Manfred Broy von der TU München frühestens in 15 Jahren vorstellen können. Nach Einschätzung von Lars Reger, Automotive-Entwicklungschef beim Halbleiterproduzenten NXP Semiconductors, gleichen die heutigen Automobile PCs aus den späten 80er-Jahren: "Damals gab es noch keine großflächigen Virenangriffe, da die Computer nicht vernetzt waren. Je vernetzter unsere Autos werden, desto mehr Sicherheit ist nötig. Auch die digitalen Schnittstellen brauchen Schutz. Hier muss die Autoindustrie nachlegen."
