Star-Hacker: Eure Systeme sind nicht sicher

LasVegas.Im August geben sich in Las Vegas die Hacker die Klinke in die Hand. Zu erst steht für sie die Hackerkonferenz Black Hat auf dem Programm, nach sechs Tagen dann startet in einem Nachbarhotel die DefCon, auch eine Hackerkonferenz, wo sich die Experten aus aller Welt über Sicherheitslücken in sämtlichen Softwarearchitekturen austauschen.

Ein großes Thema für die Netzwerk-Hacker ist die Sicherheit von Autos. Chris Valasek und Charlie Miller sind die Stars unter den Auto-Hackern. Jahr für Jahr demonstrieren sie, wie sie vermeintlich sichere Software-Architektur von Autos knacken können - und bringen wie in diesem Jahr den Konzern Fiat Chrysler in die missliche Lage, 1,4 Millionen Jeep Cherokee für ein neues Software-Update zurück zu rufen. Valasek und Miller hatten es geschafft, über Funk während der Fahrt Bremsen, Geschwindigkeit, Klimaanlage und das Radio eines Jeep Cherokees zu steuern. Auf der DefCon wollen sie näher auf die Sicherheitslücken eingehen.

2013 zeigten die beiden, wie man über ein angeschlossenes Notebook die Bremsen bei einem Auto abschalten oder sie während der Fahrt auslösen kann. Ebenso konnten sie den Lenkverstärker lahmlegen und die Anzeigen durcheinander bringen. Dass sie beliebig oft die Hupe bedienen konnten, erscheint dagegen als harmlose Spielerei.

Nach seiner Fernsteuerung des Jeep Cherokee wendet sich nun Valasek an die Autohersteller. Auf der BlackHat sagte er, die Hersteller müssen noch stärker an der Sicherheit ihrer vernetzten Fahrzeuge arbeiten als sie es eh schon tun.

"Autohersteller sagen, ihre Wagen werden sicherer und sie arbeiten härter", sagte Chris Valasek am Rande der BlackHat dem Las Vegas Review Journal. "Aber aus der Sicht derjenigen, die sich mit Daten und Software auskennen, macht ihr es nicht gut."

Und weiter sagt er in Richtung der Autobauer: "Hört auf zu sagen, dass eure Geräte nicht hackbar sind. Das ist lächerlich."

Valasek ist Direktor für Fahrzeugsicherheitsforschung bei der Beratungsfirma IOActive und arbeitete knapp ein Jahr mit Twitters Sicherheitsingenieur Charlie Miller daran, den Jeep zu hacken.

Neben Valasek und Miller hat auch Samy Kamkar seine Hacking-Künste unter Beweis gestellt und sich Zutritt zum Infotainmentsystem eines Chevrolet Volt verschafft. Über die Handy-App, mit der die Fahrer von GM-Fahrzeugen ihr Infotainmentsystem OnStar steuern, ist er in die Bordelektronik eingedrungen und hat den Motor gestartet.

Dass Autohersteller ihre Systeme besser absichern müssen - der Meinung ist auch Jens Hinrichsen vom niederländischen Chip-Hersteller NXP: "Die typischen Auto-Netzwerke sind wie ein Haus, in dem man einfach von Zimmer zu Zimmer laufen kann", sagte er zu Bloomberg.

Hacker könnten vom Navigationssystem oder Unterhaltungselementen tiefer in sensible Bereiche von Autos vordringen, wenn diese nicht gut voneinander abgeschottet sind. Er rät deshalb zu einer strikten Trennung unterschiedlicher Bereiche. "Autobauer müssen Sicherheit vor Angriffen mit einbauen, so dass es an jedem Zimmer einSchloss gibt. Und man braucht besondere Schlösser für besonders wichtige Räume." Dann könne IT-Sicherheit auch gewährleistet werden.

Autohersteller Tesla war 2014 Ziel von Hackerangriffen. Teslas Image lebt davon, dass im Auto wohl mehr Elektronik als Mechanik verbaut ist – darum war der Anreiz wohl auch größer, einmal einen Tesla fernzusteuern. Tesla-Boss Elon Musk wollte aber nicht Opfer der Hacker werden, die 2014 auf der DefCon über die Lücken im Tesla debattieren. Lieber gab er ein eigenes Model S zum Hack frei. Die 20 bis 30 besten Hacker, die Sicherheitslücken fanden, konnten sich über ein Jobangebot des Auto-Pioniers aus dem Silicon Valley freuen.