Funkfernbedienungen:Sicherheitslücke bei 100 Millionen Autos

Funkfernbedienungen: Hier lauert die Gefahr: Funk-Schlüssel verschiedener VW-Modelle sind ein Einfallstor für Angreifer.

Hier lauert die Gefahr: Funk-Schlüssel verschiedener VW-Modelle sind ein Einfallstor für Angreifer.

(Foto: Collage SZ.de)
  • Forscher aus Deutschland und Großbritannien haben eine erhebliche Sicherheitslücke in den Funkfernbedienungen von Autoherstellern ausgemacht.
  • Nach Schätzung der Forscher betrifft die Sicherheitslücke weltweit etwa 100 Millionen Fahrzeuge.
  • Aus Ermittlerkreisen ist zu hören, dass gegen einen mutmaßlichen Autodieb bereits ermittelt wird, der beschriebene Verfahren oder ein vergleichbares in Deutschland eingesetzt haben soll.

Von Svea Eckert, Hans Leyendecker und Jan Lukas Strozyk

Ein Supermarkt in Bochum, später Nachmittag. Der Parkplatz füllt sich, viele gehen noch mal rasch einkaufen. In der Mitte des Platzes steht Timo Kasper mit einem selbstentwickelten Funksender. Kasper fängt die Signale der verriegelten Autos auf.

Wenn die Kunden zurückkommen, drückt er auf einen der Knöpfe; die Autos öffnen sich und blinken. Reporter halten Mikrofone hin. "Ich bin voll baff, krass. Wenn jeder so ein Teil hätte, könnte ja jeder mein Auto aufmachen" sagt ein VW-Fahrer. "Schäbiges Gefühl. Man fühlt sich unsicher", sagte eine Frau, die vor ihrem geöffneten Passat steht.

Was soll man sonst schon sagen? Was da abläuft, ist quasi ein wissenschaftlicher Test. Forscher aus Deutschland und Großbritannien haben nach Recherchen von NDR, WDR und Süddeutscher Zeitung eine erhebliche Sicherheitslücke in den Funkfernbedienungen von Autoherstellern ausgemacht.

Insgesamt konnten die Wissenschaftler bei Modellen von fünfzehn Herstellern die Funkfunktion, also jene Funktion, mit der Autofahrer ihre Fahrzeuge aus der Ferne verschließen und öffnen können, überwinden. Nach Schätzung der Forscher betrifft die Sicherheitslücke weltweit rund 100 Millionen Fahrzeuge.

Besonders betroffen sind Modelle von Volkswagen, den Töchtern Audi, Seat und Škoda, deren Verschlüsselung die Forscher beliebig knacken und reproduzieren konnten. Die Lücke betrifft nahezu alle VW-Modelle ab dem Baujahr 1995.

Man kenne das Problem, teilt Volkswagen auf Anfrage mit: Die "wissenschaftliche Arbeit" von Kasper und Kollegen zeige, so der Wolfsburger Konzern, "dass die Sicherheitssysteme der bis zu 15 Jahren alten Fahrzeuge nicht das gleiche Sicherheitsniveau aufweisen wie beispielsweise unsere aktuellen Fahrzeuge" wie der "aktuelle Golf, Tiguan, Touran, Passat etc.". Die "aktuellen Fahrzeuggenerationen" seien von dem geschilderten Problem "nicht betroffen!".

Übersetzt heißt das: Die nicht mehr ganz frischen Modelle haben das von Kasper und Kollegen erkannte Problem. Das Ausrufezeichen müsste also eigentlich ein Fragezeichen sein. Ist es denn richtig, dass jeder, der kein brandneues Auto hat, ein bisschen gefährlich lebt?

Die Frage des Rechercheverbundes, was die VW AG jetzt den Besitzern der "betroffenen Modelle konkret" rate, hat VW nicht beantwortet. Rückrufaktion? Briefe an die Kundschaft? Man weiß nicht. Aber ist das überhaupt für Gauner, Kriminelle, Autodiebe verwertbar, was die Wissenschaftler herausgefunden haben? Die Forscher hätten sich "die Aufgabe gestellt, Sicherheitstechnologien wie die Wegfahrsperre und Funkfernbedienung auf systematische Schwächen zu analysieren, ungeachtet der praktischen Anwendbarkeit", teilt der Konzern mit.

Übersetzt heißt das: Die Erkenntnisse der Sicherheitsforscher, die am Mittwoch auf der Usenix-Konferenz im texanischen Austin eine Forschungsarbeit über das Thema präsentierten, seien halt auch Wissenschaftsstoff. Nicht praktisch. Nichts für Kriminelle.

Nichts für Kriminelle? Die Wirklichkeit ist wohl ein bisschen anders

Da ist die Wirklichkeit wohl ein bisschen anders. In Ermittlerkreisen ist zu hören, dass gegen einen mutmaßlichen Autodieb bereits ermittelt wird, der das von Kasper und seinen Kollegen beschriebene Verfahren oder ein vergleichbares in Deutschland eingesetzt haben soll. Offiziell wollte sich keine Polizeidienststelle dazu äußern.

Ein komplizierter Stoff, bei dem man zunächst vielleicht die Technik erklären muss: Um ein Fahrzeug per Funk zu öffnen, sendet der Autoschlüssel auf Knopfdruck ein geheimes Signal an den Wagen - dort wird es entschlüsselt. Der Befehl, also "Türen öffnen" oder "Kofferraum öffnen", wird ausgeführt. Auch wird die Alarmanlage mit dem neuen Verfahren deaktiviert.

Den Forschern ist es bei den betroffenen Volkswagen-Fahrzeugen gelungen, das kryptografische Geheimnis von Chips zu extrahieren. Damit konnten sie die Funkfunktion eines Schlüssels beliebig reproduzieren. Dazu genügt es, das verschlüsselte Signal des Autoschlüssels ein einziges Mal aufzufangen.

Kriminelle könnten das Auto mit dem kopierten Passwort per Knopfdruck öffnen, Gegenstände daraus stehlen und es sogar wieder verschließen. Für den Besitzer ist dieser Einbruch kaum nachvollziehbar. Das Öffnen hinterlässt weder Spuren am Auto noch in den Protokollen der Steuerelektronik. Die dafür nötige Hardware kostet weniger als einhundert Euro und passt in einen Rucksack.

Auch könnte man über einen längeren Zeitraum den Funkverkehr eines Parkplatzes oder einer Tiefgarage mitschneiden und dann gleich mehrere Autos auf einmal öffnen. Bereits aus älteren Forschungsarbeiten ist zudem bekannt, dass sich die Funksignale von Autoschlüsseln mit entsprechenden Antennen um mehrere Hundert Meter verlängern lassen.

Die Sicherheitslücke geht auf einen Design-Fehler bei Volkswagen zurück. Nach Aussage der Forscher ist das System zur Verschlüsselung, auf das Volkswagen baut, im Prinzip sicher. Das Problem besteht aber darin, dass der Konzern in den vergangenen 20 Jahren nur etwa eine Handvoll unterschiedliche Master-Passwörter in seine Schlüssel einprogrammiert hat - jedes für sich genommen mutmaßlich in Millionen Autoschlüssel. Die Master-Passwörter konnten die Forscher knacken, indem sie alte Autoschlüssel aufgebrochen und die Chips untersucht haben.

Sicherheitslücken auch bei Alfa Romeo, Citroën, Ford und Co.

Nach kryptografischen Standards, so die Sicherheitsforscher, hätte der Konzern in jeden Autoschlüssel ein eigenes Passwort einspeichern müssen, um das Verfahren ausreichend abzusichern.

In einem zweiten Teil der Untersuchungen beschäftigten sich die Sicherheitsforscher mit einem Chip des Herstellers NXP aus den Niederlanden. Dessen Verschlüsselungstechnik "Hitag2-System" setzen zahlreiche Hersteller ein. Die Forscher konnten Sicherheitslücken bei Modellen von Alfa Romeo, Citroën, Dacia, Fiat, Ford, Lancia, Mitsubishi, Nissan, Opel, Peugeot und Renault feststellen.

Die Überwindung der NXP-Chips ist nach Angaben der Forscher deutlich schwieriger als bei Volkswagen. Ein Krimineller muss mindestens vier unterschiedliche Funksignale des Originalschlüssels abfangen, um weiterzukommen. Der Hersteller NXP erklärte auf Anfrage von NDR, WDR und SZ, man wisse bereits seit 2009, dass das Verfahren unsicher sei. "Damals hat NXP allen Kunden empfohlen, entsprechende Gegenmaßnahmen einzuleiten und die Hitag2-Systeme auszutauschen", sagt ein Sprecher. Warum aber dennoch einige Hersteller die gleichen Chips auch in ihren 2016er-Modellen noch einbauen, ist unklar. Hersteller wurden mit dieser Frage konfrontiert. Nissan antwortete allgemein: Man nehme die Sicherheit ernst. Opel erklärte, das Szenario sei unbedenklich, weil zu kompliziert für eine Anwendung im Alltag. Die Antworten der anderen Marken blieben aus.

Auch wenn die Verfahren für Volkswagen und die anderen Hersteller sehr unterschiedlich sind, das Stopfen der jeweiligen Sicherheitslücke gestaltet sich in beiden Fällen schwierig. Die betroffenen Chips sind in den Schlüsseln fest verbaut. Selbst wenn man die Steuergeräte der Autos mit einem Software-Update auf ein neues Verschlüsselungsverfahren umstellen könnte, müsste man immer noch alle Schlüssel tauschen. Die Frage, wie Fahrer der betroffenen Fahrzeuge konkret reagieren sollen, hat keiner der Hersteller beantwortet. Timo Kasper rät: "Sicher lässt sich das Kopieren des Funksignals nur vermeiden, wenn man das Auto manuell mit dem Schlüssel aufschließt und auf die Funkfernbedienung komplett verzichtet."

13 der 20 am häufigsten gestohlenen Autos sind betroffen

Ein bisschen so wie früher. Aber einst, auch das ist wahr, ließen sich Autos viel schneller und leichter aufbrechen als heute. Da reichte, insbesondere bei den Modellen Golf I und Golf II, ein Sägeblatt oder ein Kleiderbügel, um in das Auto zu gelangen. Vor 23 Jahren wurden nach der Statistik der deutschen Versicherungswirtschaft (GDV) noch rund 105 000 Fahrzeuge in Deutschland gestohlen. Heute sind es nach Zählung des GDV nur noch rund 18 000. Bei dieser Zählung geht es um die kaskoversicherten Autos. Nach der Statistik des Bundeskriminalamts wurde 2015 in rund 330 000 Autos eingebrochen.

Die Diebe sind mittlerweile viel professioneller als früher und technisch sehr versiert. Für Modelle, deren Sicherheitslücken bekannt sind, vertreiben die Gauner im Internet vielerlei Gerätschaften, um die Wegfahrsperren zu überwinden und Schlüssel nachzumachen. Für einige Tausend Euro gibt es eine Startausrüstung. Bislang ist das Problem, unauffällig und ohne Alarm in das Fahrzeug zu gelangen.

Es gebe Banden mit Fachmännern für spezielle Aufgaben, sagt ein fachkundiger Ermittler. Da gebe es einen Spezialisten, der für das Aufmachen zuständig sei, ein zweiter überwinde die Wegfahrsperre und ein dritter bringe den Wagen ins Ausland. Geschnappt werde meist nur der Fahrer - und der kenne die Methoden der anderen nicht.

Und wenn etwa Audi, BMW oder Mercedes mit neuen Luxuswagen auf den Markt kämen, gehörten osteuropäische Banden zu den ersten Bestellern: "Die kaufen die Autos und fahren sie in eine Lagerhalle irgendwo in Rumänien oder Bulgarien, wo sie von Computerspezialisten und Mechanikern komplett zerlegt werden. Nur auf der Suche nach einer Sicherheitslücke oder einen Weg, unauffällig in das Auto zu kommen."

Der Gesamtverband der deutschen Versicherer hat in einer Studie aus dem Jahr 2014 die zwanzig am häufigsten gestohlenen Fahrzeugmarken ermittelt. Demnach sind 13 davon von den Ergebnissen der Sicherheitsforscher betroffen. Volkswagen ist mit Abstand die am häufigsten gestohlene Marke, gefolgt von Audi und BMW.

Wird die neu entdeckte Sicherheitslücke zu Konsequenzen bei den Herstellern führen? Die deutsch-britischen Sicherheitsforscher haben im November 2015 Volkswagen mit ihren ersten Erkenntnissen konfrontiert. Der Autobauer reagierte prompt und entsandte zu Beginn dieses Jahres Ingenieure zu Kasper, um sich die Ergebnisse zeigen zu lassen.

Die Zusammenarbeit sei zunächst "kooperativ und freundlich" gewesen, erinnert sich Kasper. Doch dann seien wichtige Fragen nicht mehr beantwortet worden. VW habe sie hängen lassen. Warum, das versteht Kasper nicht.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: