Forscher aus Deutschland und Großbritannien haben nach Recherchen von NDR, WDR und Süddeutscher Zeitung eine erhebliche Sicherheitslücke in den Funkfernbedienungen von Autoherstellern entdeckt. Demnach könnten Kriminelle den Code im Funksignal des Autoschlüssels knacken, sobald aus der Ferne die Taste zum Öffnen des Wagens betätigt wird. Schätzungsweise 100 Millionen Autos von 15 Herstellern sind betroffen, auch aktuelle Modelle von 2016.
Burkhard Böttcher forscht beim ADAC zum Thema Sicherheit von Schließ- und Keyless-Go-Systemen. Er erzählt im Interview, wie sich Autofahrer schützen können, wie aufwändig das Knacken des Codes ist und welche ausgeklügelten Verfahren Autoknacker heute anwenden.
Herr Böttcher, welche Technik nutzen Kriminelle, um die Sicherheitslücke auszunutzen?
Um den Code des Schlüssels, der an das Auto gesendet wird, aufzunehmen, zu knacken und auch zu speichern, braucht man sehr umfangreiches Equipment. Normalsterbliche können das nicht einfach nachbauen. Die Kosten halte ich jedoch für nicht sehr hoch. Das ist sicherlich für einige hundert Euro realisierbar. Aber trotzdem muss das ein absoluter Daten- und Funkspezialist machen. Ganz sicher nicht jemand, der nur ein paar Dioden und Transistoren einlöten kann. Das funktioniert dann nicht.
Arbeiten Kriminelle jetzt schon damit?
Das ist absolut denkbar. Es gibt ja auch Leute, die Bluetooth- oder Wlan-Netzwerke hacken. Das ist eigentlich das gleiche Verfahren. Aber durch eine ECE-Norm, die 2011 eingeführt wurde, und dadurch, dass die Hersteller reagiert haben, ist die Sicherheitslücke der älteren Autos nicht mehr weiter verfolgt worden. In der Regel werden ja auch nur neue oder fast neue Fahrzeuge geklaut. Autos, die fünf oder zehn Jahre alt sind, will ja kein Mensch haben.
Aber es geht nicht nur um Autodiebstahl, sondern auch um Aufbrüche, um Wertsachen zu klauen.
Richtig. Deshalb sagt der ADAC generell: Lassen Sie keine Wertsachen im Auto! Denn wenn man nicht den Schlüssel hackt, dann schlägt man eben die Scheibe ein.
Wie kann man sich denn als Autofahrer schützen?
Das Verfahren ist ja so, dass irgendjemand das Funksignal aufschnappt, während jemand die Taste am Schlüssel drückt. Wenn man sie nicht drückt, sondern mechanisch aufsperrt, dann ist das nicht möglich. Man muss den Schlüssel also ins Schloss stecken und umdrehen - wie früher. Die Funkschlüssel haben ja teilweise eine Sendereichweite von mehreren hundert Metern. Das heißt, sie kriegen auch nicht mit, wenn einer das Signal abfängt.
Die Sicherheitslücke besteht ja deshalb, weil zum Beispiel VW nur ganz wenige Masterpasswörter verwendet hat, um seine Funkschlüssel abzusichern.
Das Problem wird sein, dass VW seine Schlüssel wohl unsauber programmiert hat. Aus unserer Sicht ist es ein ganz großes Risiko, mit Masterpasswörtern zu arbeiten, noch dazu mit so wenigen. In großen Firmen wird es selbst in den IT-Abteilungen niemanden geben, der mit einem Passwort alle Computer öffnen kann.
Die Sicherheitsforscher werfen vor allem dem VW-Konzern Versäumnisse beim Absichern seiner Schlüssel-Fernbedienungen vor. Sehen auch Sie bei Volkswagen besonders großen Nachholbedarf?
Die Liste zeigt, dass in den Fahrzeugen überall das gleiche System verbaut wurde und VW vermutlich nur minimalen Aufwand betrieben hat, um es abzusichern. Der Hintergrund ist natürlich finanzieller Natur. Wenn ein Autobauer mehr Aufwand in Entwicklung oder Herstellung hineinsteckt, muss er seine Produkte teurer verkaufen oder weniger Gewinn in Kauf nehmen. Die eigentliche Stärke des VW-Konzerns wird hier zu großen Schwäche: Nämlich Baukasten entwickeln und möglichst viele Baugruppen in allen möglichen Fahrzeugen verwenden. Das schlägt hier voll zu.
Das heißt, ein Versäumnis in der Entwicklung wirkt sich dann nicht nur in einer, sondern in vielen Baureihen aus?
Richtig. Wie beim Dieselskandal auch. Da waren ja auch alle Marken von Audi über VW und Seat bis hin zu Skoda betroffen, weil die alle diese Motoren drin hatten.