Volkswagen-Konzern: Gefährliche Sicherheitslücke in Autoschlüsseln

Volkswagen kämpft mit einer Sicherheitslücke bei Autoschlüsseln (Foto: dpa)

Autos von Volkswagen, Audi, Bentley und Porsche haben eine gravierende Sicherheitslücke: Computerexperten konnten Mikrochips knacken, mit denen die Fahrzeuge gestartet werden. Das könnte allerdings auch Dieben die Arbeit erleichtern. Millionen Autos sind gefährdet.

Für alle Beteiligten steht erkennbar viel auf dem Spiel. Die eine Seite, das ist der deutsche Volkswagenkonzern, sieht Millionen Fahrzeuge der hauseigenen Marken bis hin zu Modellen von Audi, Bentley und Porsche gefährdet. Die andere Seite, das sind Computerwissenschaftler der Universität Birmingham, sieht die Freiheit der Wissenschaft in Gefahr. Dass die Sache ernst ist, merkt man an der Verschwiegenheit, mit der beide Parteien reagieren, sobald das Thema angesprochen wird.

Was ist geschehen? Fakt ist: Der Volkswagenkonzern hat mit einer einstweiligen Verfügung erwirkt, dass eine akademische Publikation britischer und niederländischer Computerwissenschaftler bis auf Weiteres nicht veröffentlicht werden darf. In dieser Arbeit werden Schwachstellen eines Mikrochips aufgedeckt, der in Millionen Fahrzeugen - beziehungsweise in den zugehörigen Schlüsseln - eingebaut ist, und die Nutzung der betroffenen Autos ermöglicht.

Gravierende Sicherheitslücke

Die Sicherheitslücke ist offenbar gravierend. Hartmut Hoffmann, Techniksprecher von VW, sieht jedenfalls "Millionen Bestandsfahrzeuge" gefährdet. Die Formeln in der gerichtlich untersagten Publikation könnten "geneigten Dieben ein Werkzeug an die Hand geben". Wo der fragliche Chip genau steckt, will er nicht sagen, die Angelegenheit sei "hochsensibel". Um die Sicherheitslücke auszunutzen, muss ein potenzieller Dieb jedoch kurzzeitig in den Besitz des Schlüssels kommen, was aber insbesondere bei Mietwagen und Firmenfuhrparks leicht möglich ist.

Ein vom Computerexperten Flavio Garcia aus Birmingham sowie zwei niederländischen Kollegen entdeckter Algorithmus ist offenbar in der Lage, die Software auf dem sogenannten Megamos-Chip zu umgehen oder gar zu ersetzen. Jedenfalls lässt sich die Sicherheitslücke nicht einfach mit einer verbesserten Kryptographie-Software schließen, sondern greift den Chip unmittelbar an.

Garcia selbst will zu der Angelegenheit derzeit nichts sagen. Seine Universität bedauert das Gerichtsurteil, "welches die akademische Freiheit und das Interesse der Öffentlichkeit nicht wahrt". Britischen Zeitungsberichten zufolge hat Garcia den Hersteller des Chips bereits im vergangenen Jahr über die Schwachstelle informiert, um Nachbesserungen zu ermöglichen.