IT-Sicherheitslücke ADAC knackt BMWs per Mobilfunk

Connected Drive soll das Einsteigen erleichtern - jedoch nicht für Hacker.

(Foto: STG)
  • Durch Zufall ist der ADAC auf eine Sicherheitslücke bei mehr als 2,2 Millionen BMWs gestoßen. Die Fahrzeuge ließen sich per Mobilfunk öffnen.
  • Das sei bereits mit verhältnismäßig einfachen Mitteln möglich gewesen.
  • BMW hat nach eigenen Angaben die Sicherheitslücke inzwischen per Software-Update geschlossen.

Technisch versierte Autodiebe hätten bis vor wenigen Wochen unter Umständen bei weltweit 2,2 Millionen BMW-Fahrzeugen via Mobilfunk die Türen öffnen können. Die Funktionen zum Entriegeln oder zum Steuern der Heizung seien bei Autos mit dem sogenannten ConnectedDrive-System über Jahre unzureichend gegen Hackerangriffe geschützt gewesen, teilte der ADAC mit. Das Problem wurde inzwischen behoben, wie eine BMW-Sprecherin sagte. Der Autoclub hatte die Sicherheitslücke zufällig bei Tests entdeckt. Betroffen waren Autos, die seit März 2010 mit dem Vernetzungssystem ConnectedDrive ausgeliefert wurden.

Technische Ausrüstung im Wert von weniger als 1000 Euro nötig

Auf die Sicherheitslücke sei der ADAC laut Sprecher Arnulf Thiemel gestoßen, als man überprüfen wollte, welche Daten die mit ConnectedDrive ausgestatteten Autos übertragen. Mit der nötigen Ausrüstung sei das Fahrzeug dann in wenigen Minuten geöffnet worden. "Der technische Aufwand, um das Auto mit diesem Wissen zu öffnen, ist überschaubar. Es ist Hardware im Wert von unter 1000 Euro nötig und eine frei verfügbare Software", sagte Thiemel. Allerdings: Für einen Autodieb dürfte das Verfahren erheblich mehr Aufwand bedeuten, als das Fahrzeug mechanisch zu öffnen. Der ADAC hatte BMW vor der Veröffentlichung bereits im Juli 2014 über seine Entdeckung informiert. So habe BMW die Sicherheit des Systems erhöhen können, "bevor überhaupt von außen aktiv Daten von Unbefugten abgerufen werden konnten oder auch nur ein Versuch dieser Art gestartet wurde", sagte die Sprecherin. Eine Fahrt in die Werkstatt sei dafür unnötig gewesen, betonte BMW. Die Anpassungen seien automatisch online erfolgt, ohne dass die Kunden etwas tun mussten.

Was BMW-Besitzer jetzt wissen müssen

BMW hat die Schwachstelle zwar nach eigenen Angaben behoben und automatisch über Funk eine Verschlüsselung aktiviert. Aber wer auf Nummer sicher gehen möchte, kann dafür im Bordcomputer-Menü "Dienste aktualisieren" wählen, erklärt ADAC-Techniker Arnulf Thiemel. Das könne auch sinnvoll sein, wenn der Wagen zum Beispiel längere Zeit in einer Tiefgarage stand, wo er keinen Empfang hatte, oder die Starterbatterie abgeklemmt war.

Was ist ConnectedDrive?

ConnectedDrive vernetzt Fahrzeuge mit BMW über ein eingebautes Mobilfunkmodul. Das ermöglicht neben Internetfunktionen die Übertragung von Servicedaten sowie die Bedienung von Funktionen wie Heizung, Türverriegelung oder Klimaanlage via Smartphone-App. Genau diese Funktionen waren betroffen, denn anders als etwa der Internetzugang war dieses System weniger geschützt. Diese Verschlüsselung habe BMW inzwischen angepasst. Nun übertragen auch diese Systeme die Daten über eine geschützte https-Verbindung, wie etwa beim Online-Banking.