Auch bei modernen Autos liefern die meisten Hersteller noch einen Schlüssel mit. Oft brauchen die Autofahrer ihn aber nicht mehr: Die meisten neuen Pkws lassen sich elektronisch öffnen, in einigen Fällen sogar starten. Inzwischen gibt es auch Handy-Apps, die das möglich machen. Nun zeigt eine Untersuchung, wie verwundbar diese Anwendungen sein können: Neun Apps von Herstellern namhafter Automarken weisen schwere Sicherheitsmängel auf, berichtete das IT-Sicherheitsunternehmen Kaspersky auf einer Konferenz in San Francisco. Das Hauptproblem: Die Hersteller würden nicht ausreichend vorsorgen.
"Es ist unverständlich, warum Autohersteller die Sicherheits-Features nicht einbauen, die etwa bei Banking-Apps längst Standard sind", sagte ein Kaspersky-Sicherheitsforscher dem Tech-Portal Futurezone. Kriminelle könnten so auf relativ einfache Weise ein Auto öffnen und sogar den Motor starten. Das Unternehmen nennt die betroffenen Hersteller wegen der Gefahr potenzieller Angriffe nicht. Sie seien aber bereits über die Schwachstellen informiert worden.
Das Hacken der Software sei möglich gewesen, weil die Programmierer Anfängerfehler bei der Datensicherheit gemacht hätten: Fast alle Apps legen die Login-Benutzernamen unverschlüsselt im System ab. Zwei Apps speichern Kaspersky zufolge zusätzlich das Passwort im Klartext ab. Darüber hinaus ließen sich alle Apps leicht mit Zusatz-Code verändern und hatten keine Warnfunktion für solche Manipulationen. Beliebt ist unter Hackern zum Beispiel eine Software, die sich über die eigentliche App legt, sobald diese gestartet wird. Das ist eine verbreitete Methode, um bei Smartphones an Login-Daten zu gelangen.
Einem ADAC-Test zufolge sind schlüssellose Zugangssysteme für Autos extrem unsicher. Das gilt beim günstigen Kleinwagen ebenso wie bei der teuren Luxuslimousine.
"Die gute Nachricht ist: Auf dem Schwarzmarkt für Hacker ist das Automobil noch kein großes Thema", sagt Ralf Benzmüller, Sicherheitsexperte bei der Software-Firma G Data. Das könnte sich jedoch ändern: Die getesteten Apps laufen allesamt auf Android-Mobiltelefonen - ein beliebtes Einfallstor für Kriminelle. Seit Google das Betriebssystem 2010 gestartet hat, ist die Zahl der Schadprogramme rasant gestiegen: Von einer vierstelligen Zahl im Jahr 2011 auf mehr als zwei Millionen im Jahr 2015.
Im Darknet gibt es mittlerweile nicht nur komplette Entwickler-Werkzeuge für solche Malware. Wer nicht selbst programmieren möchte, kann die Datenangriffe sogar als Komplettservice buchen. "Schadprogramme zu verbreiten kostet pro 1000 Installationen rund 160 Euro", weiß IT-Experte Benzmüller aus Recherchen.
Ob gestohlene Daten oder gezielte Hackerangriffe, um die Elektronik zu manipulieren: Im Darknet gibt es fast nichts, was es nicht gibt. Autohersteller haben in den vergangenen Jahren zwar viel Geld in die Sicherheit von vernetzten Funktionen investiert. Aber jede Marke versucht, die Gefahr im Alleingang zu bannen und spricht nicht öffentlich darüber.
Autohersteller haben Nachholbedarf bei IT-Sicherheit
Doch das Wegducken und Entwickeln von Insellösungen funktioniert nicht mehr. Vor allem deshalb, weil immer neue Schadprogramme auftauchen. Das ist insbesondere eine Gefahr für ältere Fahrzeuge, deren Technik nicht auf dem neuesten Stand ist. Ohne gemeinsame Standards bei der Datensicherheit ist ein vollständiger Schutz kaum zu erreichen.
Die Autohersteller hätten bei der IT-Sicherheit noch viel nachzuholen, sagt Andreas Brands, Automobilexperte bei Microsoft Digital Advisory Services: "Der Unterschied zwischen uns und den Autoherstellern ist ganz einfach: Wir machen uns keine Illusionen darüber, dass wir als Cloud-Company ständig attackiert werden und bereiten uns systematisch darauf vor." Will heißen: Die Autohersteller müssen noch viel lernen, wenn sie die Fahrzeuge wie ein Mobiltelefon vernetzen wollen.
