Der Chaos Communication Congress (32c3) richtet sich in seinem diesjährigen Motto gegen «gated communities», geschlossene Räume wie etwa das Betriebssystem eines Computers.
Blick in die VW-Steuerungssoftware
Gleich am ersten der vier Kongresstage nimmt ein Hacker die Steuerungssoftware eines VW-Dieselmotors auseinander – und zeigt, wie dabei höhere Stickoxid-Emissionen als möglich in Kauf genommen werden. «Wir sind Hacker, und wir kennen den Code, und im Code liegt die Wahrheit», sagt Felix Domke zu Beginn seiner Präsentation im Hamburger Kongresszentrum.
Nachdem er in diesem Jahr vom Abgasskandal bei Volkswagen gehört hatte, wollte er selbst wissen, was es mit der Software auf sich hat – zumal sein eigenes Auto zu den betroffenen Fahrzeugen gehörte. Er nahm sich die «Engine Electronic Control Unit» (Engine ECU) des Motors vor, eine Anfertigung des Herstellers Bosch, die von Automobilherstellern an ihre jeweiligen Bedürfnisse angepasst werden kann.
Juristisch heikel
Mit einer speziellen Software gelang es Domke, die Software zu dekompilieren, also aus den nur für Maschinen lesbaren Anweisungen die Codezeilen herauszufischen. Ein juristisch heikles Unterfangen, weil die Software-Hersteller dies in ihren Lizenzbedingungen meist untersagen. Er habe sich aber beraten lassen, dass er in diesem Fall nichts riskiere, da es sich um sein persönliches Fahrzeug handle, sagt der Software-Experte.
Schon beim ersten Blick befand Domke: «Eine sehr interessante Art, Software zu schreiben.» Noch stutziger wurde er dann, als er sich das Verfahren zur Reduzierung der Stickoxid-Emissionen näher anschaute. Die dafür verwendete Harnstofflösung mit dem Markennamen AdBlue wird von der Software gesteuert in den Abgasstrang eingespritzt. Domke wunderte sich über die dafür festgelegten Bedingungen: «Das Auto wird gezwungen, in einem alternativen Modell zu fahren, bei dem weniger AdBlue abgegeben wird als optimal.»
«In keinem Verhältnis zur Realität»
Die Vermutung des Hackers: Für die Messung von Testwerten sollen ideale Ergebnisse erzielt werden. Bei längeren Autofahrten und höheren Geschwindigkeiten wird an AdBlue gespart, um die Zeit bis zur fälligen Nachfüllung zu verlängern.
Begleitet wird Domke von Daniel Lange, einem ehemaligen IT-Strategen bei BMW. Bei der Messung von Emissionswerten gebe es in der Branche schon lange Verfahren, die sehr fragwürdig seien, kritisiert er. «Die Daten die bei den Tests gemessen werden, stehen in keinem Verhältnis zur Realität.»
Sicherheitslücken live demonstriert
Massive Sicherheitslücken beim Bezahlen mit EC- und Prepaid-Karten haben zwei Mitarbeiter von der Firma Security Research Labs (SRLabs) während des Kongresses demontriert. Vor mehreren tausend Zuschauern zeigten sie, wie die PIN-Ziffernfolge nach der Eingabe ausgelesen werden kann.
Ausserdem überwiesen sie live auf der Bühne des Hamburger Kongresszentrums 15 Euro auf die Prepaid-Karte eines Mobilfunkanbieters und leiteten einen Zahlungsbetrag auf ein anderes Konto um.
Aufruf an Detailhandel und Kreditwirtschaft
Es gebe zwei technische Protokolle für die Übertragung der Daten zwischen einem Kartenterminal, dem Kassensystem des Einzelhändlers und dem Finanzdienstleister, erklärte einer der Experten. Beide Protokolle mit den Bezeichnungen ZVT und Poseidon seien unsicher und könnten von Angreifern sehr leicht ausgenutzt werden.
Er rief Einzelhandel und Kreditwirtschaft dazu auf, schnell Konsequenzen aus dem Missstand zu ziehen. Verbraucher sollten bei Kartenmissbrauch gegen ihre Bank vorgehen, riet er. Erste Ergebnisse der Untersuchung hatte SRLabs bereits kurz vor Weihnachten öffentlich gemacht.
Mystifizierung von Hackern
Ein Zusammenleben in Vertrauen und Sicherheit, das bewegt viele Kongressbesucher. «Wir vertrauen dem Internet, obwohl wir viele Gründe hätten, misstrauisch zu sein», sagt Emma Lilliestam aus der schwedischen Hafenstadt Malmö. Die Expertin für Internet-Sicherheit findet es erschreckend, dass es so einfach ist, Sicherheitslücken auszunutzen – etwa bei einfach zu knackenden Passwörtern oder bei der Übertragung von Schlüsseln für den vermeintlich sicher verschlüsselten Datenverkehr.
«Lange Zeit wurden Hacker als kriminell betrachtet, jetzt hat sich das verändert und sie haben schon fast so eine Art Helden-Aura bekommen», sagt die IT-Expertin. «Manche sind schon ziemlich clever, aber es gibt keinen Grund, das zu mystifizieren.»
Wachsender Druck
CCC-Sprecher Linus Neumann spricht von einem wachsenden Druck in vielen gesellschaftlichen Bereichen. Auch darauf spiele das Kongresslogo mit einer Glasflasche an. «Der Druck will raus, und an Silvester sollen die Korken knallen!»
Die rund 12'000 Teilnehmer des Kongresses haben sich bis Mittwoch ein umfangreiches Programm vorgenommen und bekommen zum Auftakt den Rat: «Sechs Stunden Schlaf, zwei Mahlzeiten, eine Dusche. Und das pro Tag, nicht insgesamt!»
Sendebezug: SRF 4 News, 17:00 Uhr, 27.12.2015