Model S gehackt

Schwachstelle Tesla-App

Studenten in China haben bei einem Sicherheitswettbewerb die App des Teslas S ausgehebelt. IT-Experte Sebastian Schreiber sieht den US-Autobauer nicht als Einzelfall.

München. Wie akut die Gefahr eines Hackerangriffs bei vernetzten Fahrzeugen ist, musste gerade Elektroautopionier Tesla erleben. Das chinesische Sicherheitsunternehmen Qihoo 360 Technology rief den Wettbewerb "Cracking Tesla" aus und Hacker dazu auf, von außen in einen Tesla einzudringen und das Kommando zu übernehmen. Preisgeld 10.000 Dollar. Zwei chinesischen Studenten gelang es, sich kabellos in ein Model S zu hacken, Türen und Schiebedach zu öffnen, Lampen einzuschalten und zu hupen.

IT-Sicherheitsexperte Sebastian Schreiber sieht Tesla nicht als Einzelfall und gibt gleichzeitig ein wenig Entwarnung: „Mit Meldungen wie ‚Auto gehackt‘ muss man differenziert umgehen. Das bedeutet nicht gleich, dass Hacker mit einem Trick die volle Gewalt über das Auto erreichen“, sagte er der Automobilwoche. Schreiber ist professioneller Hacker und gefragter IT-Experte, auf dessen Können bereits Daimler, IBM und Hewlett-Packard vertrauten. Er macht das Hauptproblem in der Tesla-App aus, mit der sich zentrale Funktionen steuern lassen. „Der Hackangriff erfolgte wohl über die Tesla-App, und Apps bieten grundsätzlich immer eine Schwachstelle, sich in ein System von außen einzuwählen. So auch beim Auto, unabhängig davon, um welchen Autohersteller es sich handelt“, sagt er.

Passworte sollen sicherer programmiert werden

Die Funktionen, die die Studenten gewählt haben, sind beim Model S über eine App steuerbar: Darüber kann man das Auto öffnen oder schließen, lokalisieren, die Batterie überwachen, Licht und Hupe auslösen, das Schiebedach öffnen oder die Temperatur regeln. Für Schreiber ist klar: Der Hack konnte nur erfolgen, weil die App nicht ausreichend verschlüsselt ist. „Nicht das sechsstellige Passwort der App ist das eigentliche Problem, sondern die Verschlüsselung“, sagt Schreiber. „Zum einen sollte der Autohalter ein seltenes Passwort wählen. Zum anderen sicherer programmieren – wie eine EC-Karte zum Beispiel.“

Tesla ist nicht der einzige Hersteller, auf dessen Autos sich von außen zugreifen lässt. Auch BMW mit der „My BMW Remote App“ und Daimler mit „Mercedes connect me“ bieten ähnliche Services. Bei Daimler muss der Kunde den Weg über eine geschützte Internetseite gehen. Aus Sicherheitsgründen gibt es keine App. „Dementsprechend können Hacker- Angriffe, die auf das Smartphone des Fahrers abzielen, nichts ausrichten“, sagt ein Daimler- Sprecher. Auch werden die Daten, bevor sie ins Fahrzeug gelangen, von Daimler verschlüsselt und geprüft. BMW und Daimler betonen außerdem, dass in ihren Modellen Infotainment- und Fahrzeugbetriebssystem einen klar getrennten Informationsaustausch nutzen. Darum lassen sich über die App weder das Gaspedal fremdsteuern noch das Fahrzeug starten.

FÜR SIE EMPFOHLEN
Verlässlicher Verkaufsschlager nur noch als Plug-in-Hybrid
Lesen Sie auch:
Neuer Mercedes GLC
Verlässlicher Verkaufsschlager nur noch als Plug-in-Hybrid
Herausgeber Helmut Kluger
"Wie im Kommunismus!"
Automobilwoche-Chefredakteur Burkhard Riering
Hersteller und Software - Neue Denke und alte Zwänge
Lotus Eletre
Letzte Chance für Lotus
Katherina Reiche
"Eine sehr gute Ausgangsposition"