Hackereingriffe – Wie sicher sind vernetzte Autos?

Die Digitalisierung macht auch beim Auto nicht Halt. Im Gegenteil: Moderne Fahrzeuge sind längst keine reinen Mittel der Fortbewegung mehr, sondern rollende Computer. Navigation in Echtzeit, automatische Notrufsysteme, Over-the-Air-Updates (OTA) und autonomes Fahren: Die Liste der digitalen Features wächst stetig.

Dafür werden die Fahrzeuge immer mehr vernetzt, sowohl untereinander (Vehicle-to-Vehicle, V2V), als auch mit Fußgänger:innen (Vehicle-to-Passenger, V2P), Infrastruktur (Vehicle-to-Infrastructure, V2I) oder dem Ladenetzwerk (Vehicle-to-Grid, V2G). Insgesamt wird diese vollumfassende Vernetzung als Vehicle-to-Everything bezeichnet, kurz: V2X.

Doch je vernetzter ein Auto ist, desto größer wird auch seine Angriffsfläche für Hacker. Daher stellt sich bei allem Nutzen auch die Frage: Wie sicher sind vernetzte Autos?

Vorteile der Vernetzung

Zunächst einmal bringt die digitale Vernetzung zahlreiche Vorteile mit sich. Besitzer:innen von Autos profitieren von mehr Effizienz, Sicherheit und Komfort. Durch Verkehrsdaten in Echtzeit können so beispielsweise Staus umfahren werden, automatische Bremsassistenten können Leben retten und per App lässt sich das Auto aus der Ferne vorheizen oder verriegeln. Außerdem müssen die Software-Updates nicht mehr in der Werkstatt durchgeführt werden, sondern werden bequem und zeitsparend online eingespielt.

Zudem sind einige Nutzungsmöglichkeit und Mobilitätsangebote, die sich zunehmend etablieren, ohne digitale Vernetzung nicht denkbar. Dazu gehören unter anderem Carsharing, wofür das Fahrzeug online sein muss, aber auch Fahrassistenzsysteme und das autonome Fahren.

Vernetzung als Schnittstelle

Zugleich sollte Mobilität natürlich nicht nur zugänglich und bequem, nachhaltig oder bezahlbar sein, sondern in erster Linie sicher. Doch mit der wachsenden Vernetzung steigt auch das Risiko von Cyberangriffen. Hackerangriffe, bei denen die Kontrolle über Privatcomputer oder Firmensoftware übernommen wird, gibt es immer wieder.

Weniger bekannt ist hingegen das Risiko von Hackerangriffen auf Autos. Klar: Wenn ein Fahrzeug über WLAN permanent online und dadurch mit dem Internet verbunden ist, entsteht eine Eingriffsstelle auf die Software. Bei drahtlosen OTA-Updates ist dieser Vorgang durchaus gewünscht. Aber auch andere drahtlose Schnittstellen, wie Bluetooth oder Mobilfunk können potenziell als Einfallstor dienen.

Beispielhaft dafür stehen die Diebstähle von zahlreichen Autos mit Keyless-Schließsystemen, bei denen das Funksignal des Schlüssels zur signifikanten Schnittstelle wurde. Grundsätzlich erkennt das Fahrzeug bei diesem System die Schlüssel bereits in der Nähe und entriegelt automatisch. Auf Knopfdruck kann das Auto dann gestartet werden, selbst wenn der Schlüssel beispielsweise immer noch in der Tasche ist. Mit entsprechenden Geräten kann die Reichweite des Keyless-Signals verlängert werden, sodass Autos gestohlen werden können, wenn man nicht in unmittelbarer Nähe ist. Sobald der Motor läuft, ist die Nähe zum Schlüssel dann nicht mehr relevant. Tests des ADAC zeigten, dass nur knapp 12 Prozent der getesteten Keyless-Fahrzeuge gegen Diebstahl mit Signalverlängerung abgesichert waren.

Hackerangriffe auf Autos – Sowas gibt es?

Die Sicherheitsrisiken bei vernetzten Fahrzeugen durch Eingriffe von Hackern auf die Software sind nicht neu. Bereits 2015, also vor inzwischen einem guten Jahrzehnt, machte ein Artikel auf der Plattform Wired Schlagzeilen:

„Obwohl ich das Armaturenbrett nicht berührt hatte, begann die Lüftung des Jeep Cherokee, kalte Luft auf höchster Stufe zu blasen und den Schweiß auf meinem Rücken durch die Sitzklimaanlage zu kühlen. Als Nächstes schaltete das Radio auf den lokalen Hip-Hop-Sender um und begann, Skee-lo in voller Lautstärke zu schmettern. Ich drehte den Drehknopf nach links und drückte den Einschaltknopf, ohne Erfolg. […] Das beunruhigendste Manöver kam, als die Bremsen des Jeeps ausfielen und ich verzweifelt versuchte, das Pedal zu betätigen, während der 2-Tonnen-SUV unkontrolliert in einen Graben rutschte.“ – Andy Greenberg, Tech-Journalist für Wired

Damit ging eine geplante Testfahrt mit dem Journalisten Andy Greenberg zu Ende, die zeigen sollte und auch eindrucksvoll zeigte, wie schnell der Jeep von außen übernommen werden konnte. Hinter dem Test steckten Charlie Miller und Chris Valasek, die zu IT-Sicherheit forschten. Infolge ihrer Forschungsergebnisse gab es einen Rückruf von 1,4 Millionen Fahrzeugen durch den US-Hersteller Chrysler.

Hersteller in der Verantwortung

Es gibt also Forschungsteams, die an der Aufdeckung entsprechender Sicherheitslücken bei Autos arbeiten. Diese werden dann an die Hersteller gemeldet, sodass umgehende Verbesserungen vorgenommen werden können. Dabei spricht man von sogenannten „Bug-Bounty-Programmen“: Die Hacker finden eine Fehlerquelle, den sogenannten bug, und werden dafür mit dem bounty belohnt, also dem Kopfgeld.

Neben dem Beispiel von Miller und Valasek konnte so auch das chinesische Forschungsteam Keen Security Lab des Großkonzerns Tencent 2016 auf ein Model S des US-Herstellers Tesla zugreifen und verschiedene Funktionen ausführen. 2023 folgte ein weiterer Hack eines Tesla Model 3 durch ein Team – innerhalb weniger Minuten.

Bug-Bounty-Programme sind allerdings nur eine Methode von vielen, wie Autohersteller in die IT-Sicherheit ihrer Fahrzeuge investieren. Um mehr Cybersicherheit zu gewährleisten und Hersteller zu mehr Maßnahmen zu verpflichten, gibt es auf Ebene der Europäischen Union seit 2024 neue Gesetze. Diese waren mitunter so streng, dass einige Hersteller bereits Modelle aus ihren Portfolien streichen mussten. Dazu gehörten der VW Up, der Transporter T6.1 sowie drei Modelle von Porsche. Eine Aufrüstung wäre zu teuer.

Sicherheit und Datenschutz

Neben – oder in Kombination mit – Hackereingriffen bestehen bei vernetzten Fahrzeugen auch Bedenken zum Thema Datenschutz. Vernetzte Autos sammeln riesige Mengen an Daten, wie zum Fahrverhalten, Standort oder persönlichen Vorlieben. Da diese auch für Unternehmen von Interesse sind und für andere Zwecke genutzt werden können, muss die Erhebung und Verwendung genau beobachtet werden.

2024 wurde so beispielsweise durch den Chaos Computer Club ein Datenleck aufgedeckt, bei dem Bewegungsdaten und Kontaktinformationen von Besitzer:innen von 800.000 Elektroautos abrufbar waren. Es handelte sich dabei um die Marken VW, Seat, Audi und Skoda.

Zusammengefasst: Wie sicher sind vernetzte Autos?

Die volle Vernetzung von Autos bringt zweifellos viele Vorteile mit sich und die Wahrscheinlichkeit, von einem so filmreifen Hackereingriff wie der Straßengraben-Jeep 2015 betroffen zu sein, ist wohl verhältnismäßig gering. Trotzdem muss die Technologie mit ebenso viel Vorsicht wie Innovationsfreude gestaltet werden.

Fortwährende Kontrollen und Verbesserungen, beispielsweise in Form von Bug-and-Bounty-Programmen, können und sollten für höchste Standards bei Sicherheit und Datenschutz sorgen, denn nur mit einem ausreichenden Maß an Sicherheit können neue, moderne Formen der Mobilität genug Akzeptanz gewinnen, um sich in der breiten Masse durchsetzen zu können.

Quellen: Wired – Hackers Remotely Kill a Jeep on the Highway / Keen Security Lab Blog – Car Hacking Research: Remote Attack Tesla Motors / Blackhat – Hacking Tesla from Wireless to CAN Bus / Golem – Keine zwei Minuten, um einen Tesla Model 3 zu hacken / ADAC – Keyless-Diebstahl: Auch neue Autos sind noch leicht zu knacken / VDI Nachrichten – Neue EU-Regeln für Cybersecurity bei Neuwagen lassen Modellpalette schrumpfen