Autos hacken sieht oft sehr einfach aus: Im Kinofilm «Fast & Furious 8» etwa befiehlt Schauspielerin Charlize Theron einem Hacker, per Knopfdruck alle Autos in der Stadt zu übernehmen. Danach befehligt sie eine Armee von Zombie-Autos. Eine solche Bedrohung ist leinwandtauglich, aber ist sie auch realistisch? SRF News hat mit Chris Valasek, einem der wichtigsten Experten und Hacker auf dem Gebiet, über Auto-Sicherheit und über seine Arbeit gesprochen.
Die beiden Sicherheitsforscher und Hacker Chris Valasek und Charlie Miller gehören zu den ersten, die das Thema Auto-Sicherheit einem grösseren Publikum zugänglich gemacht haben. Sie erregten 2015 internationales Aufsehen, als sie in einer spektakulären Demonstration einen Jeep aus der Ferne übernahmen und fernsteuerten, während ein Journalist damit auf der Autobahn fuhr. Beide arbeiten heute bei Cruise Automation, das zu General Motors gehört. SRF News hat Chris Valasek an den Swiss Cyber Security Days in Freiburg getroffen.
SRF News: Mit Ihrem Team-Partner Charlie Miller haben Sie ein Auto aus der Ferne gesteuert, in dem ein Journalist fuhr. Gleicht diese Situation eher einer Film-Szene oder ist sie Realität?
Chris Valasek: Die Rolle von Charlize Theron war sicher etwas übertrieben im Film – aber das ist Hollywood. Trotzdem sind vernetzte Autos heute Realität. Sie sind voller Computer, die physische Aktionen kontrollieren: sie bremsen, steuern oder beschleunigen das Auto. Es ist tatsächlich möglich, aus der Ferne Dinge wie den Steuervorgang zu übernehmen und zu kontrollieren. Charlie Miller und ich haben das 2015 demonstriert. Doch es ist momentan schwierig zu bewerkstelligen und skaliert nicht.
Es skaliert nicht? Was meinen Sie damit?
Unterschiedliche Autos funktionieren unterschiedlich. Die Autos von General Motors kontrollieren ihre Komponenten anders als etwa diejenigen von Mercedes oder BMW. Selbst wenn man eine Sicherheitslücke in einer ganz bestimmten Autoflotte finden würde, wäre es unwahrscheinlich, dass alle Autos dieselbe Lücke aufweisen, weil sie so unterschiedlich sind.
Wer hätte Interesse daran, so viele Autos zu hacken wie Charlize Theron im Film?
Vor allem Film-Bösewichte! Ich bin mir nicht sicher, wer sonst. Manche Leute argumentieren, dass Staaten oder hochorganisierte Verbrecherbanden daran interessiert sein könnten. Momentan rentiert es sich für einen Einzelnen nicht, ein Auto zu hacken.
Man braucht für das Hacken von Autos viel Zeit, Geld und Fachwissen.
Autohacking unterscheidet sich von wirtschaftlich lohnenswerten Angriffen wie etwa Kreditkartendiebstahl. Man braucht dafür viel Zeit, Geld und Fachwissen. Wir haben rund neun Monate gebraucht, um das Auto erfolgreich fernzusteuern – die meisten Leute wenden kaum so viel Zeit und Geld auf, um etwas zu hacken.
Wie würde jemand heute ein «smartes» Auto angreifen, also ein Auto, das für gewisse Fahrmanöver einen Lenker benötigt?
Heutige vernetzte smarte Autos haben zwei zentrale Elemente, die anfällig für Angriffe sind. Das erste ist irgendeine Anbindung an die Aussenwelt, etwa eine Bluetooth-Verbindung zum Smartphone oder ein Mobilfunkmodem im Auto. Wenn man via Smartphone das eigene Auto starten oder entriegeln kann, hat es ein Mobilfunkmodem. Das gibt Hackern einen möglichen Einstiegspunkt in das Fahrzeug.
Heutige smarte Autos sind Computer auf Rädern.
Das zweite Element ist die Tatsache, dass smarte Fahrzeuge eher von Computern als mechanisch mit Kabeln und Schrauben kontrolliert werden. Es sind letztlich grosse Computer auf Rädern. Sie haben Features wie den «Abstandsregeltempomaten» (Adaptive Cruise Control). Ist dieser angeschaltet, beschleunigt oder bremst das Auto entsprechend dem Fahrzeug, das vorausfährt. Er verbessert die Fahrsicherheit, gleichzeitig aber lässt er sich dazu missbrauchen, das Auto mittels Datenpaketen physisch zu steuern.
Sie und Charlie Miller gehörten zu den ersten, die das Thema Auto-Hacking publik machten. Welchen Einfluss hatte Ihre Arbeit?
Ich denke, alle wissen nun, dass Autos gehackt werden können, das ist echt cool. Wie ich von Kollegen innerhalb der Industrie gehört habe, werden die Anliegen von Sicherheitsteams innerhalb der Fahrzeugunternehmen und der Zulieferer ernster genommen. Sie erhalten mehr Budget, um an den Produkten mehr Sicherheitsvorkehrungen treffen zu können. Ich hoffe, wir haben damit etwas dauerhaft verändern können.
Autonome Autos benötigen künftig keine Interaktion mit einem Fahrer. Was wird diese von heutigen smarten Autos unterscheiden?
Einer der grössten Unterschiede wird sein, wie sich die Eigentümerschaft ändert. Heute kauft man ein Auto und es gehört einem. Bei selbstfahrenden Autos scheint es, als würde sich ein Fahrgemeinschaften-Modell durchsetzen.
Die Unternehmen besitzen die Autoflotte.
Unternehmen wie Uber, Lyft oder das Fahrgemeinschaften-Netzwerk von Cruise selber besitzen die Auto-Flotte. Damit ändert sich etwas: Die Autos kommen jeden Tag zu uns zurück und die Person, die im Auto fährt, besitzt es nicht. Das mag seltsam klingen, aber hat auch Vorteile für die IT-Sicherheit.
Welche sind das?
Wir sehen diese Autos täglich und können sie regelmässig mit Software-Updates versorgen. Heutige Autos, welche die Leute kaufen, erhalten vielleicht nie ein Software-Update. Es ist gut zu wissen, dass wir als Unternehmen die Autos besitzen und sie konstant überprüfen und auf dem aktuellen Stand halten können.
Bei autonomen Autos verschieben sich Sicherheitsfragen also hin zum Unternehmen. Wenn dieses gehackt wird, könnte man wie in «Fast & Furious 8» gleich die gesamte Flotte hacken, oder?
Auf jeden Fall! Aber natürlich sind wir uns dessen bewusst. Darum bauen wir diese neuen Fahrzeuge so, dass wir so etwas verhindern können. Wenn ein Fahrzeug gehackt wird, betrifft es nicht gleich die gesamte Flotte. Und wenn die Flottensoftware gehackt wird, dann ist als Folge nicht ein einzelnes Fahrzeug betroffen. Wir arbeiten daran, dass diese Trennung existiert.
Das Gespräch führte Méline Sieber von SRF Digital.
