Connected Car-Schwachstellen und PKW-Datensammelwut

Aktuell reden Industrie und Politik ja von den Autos der Zukunft, die selbst fahren, untereinander vernetzt sind, fleißig Daten sammeln und sich auch prima hacken lassen. Heute zwei Fundsplitter, wo wir heute schon stehen.


Anzeige

Mitsubishi Outlander PHEV mit erheblicher Sicherheitslücke

Ich habe es nur am Rande über eine Veracode-Presseinfo mitbekommen. Eine IT-Sicherheitsfirma hat eine erhebliche Sicherheitslücke im Plug-In-Hybrid Mitsubishi Outlander PHEV gefunden. Das eingebaute WLAN des Fahrzeuges ist so schlecht gesichert, dass Kriminelle unter anderem die Alarmanlage abschalten und sich Zugriff zum Fahrzeug verschaffen können.

Fazit: Grundlegende Sicherheitseinstellungen lassen sich ganz einfach hacken. Dies ist nicht die erste Sicherheitslücke in einem Connected Car, wie die Links am Artikelende zeigen. Julian Totzek-Hallhuber, Solutions Architect bei Veracode, bezieht im Folgenden zum jüngsten Vorfall Stellung:

"Diese Sicherheitslücke zeigt einmal mehr die Verletzbarkeit von Connected Cars, die sowohl die Sicherheit des Autos, als auch deren Fahrer gefährdet. Automobile ans Internet anzubinden macht sie verwundbar für Cyberattacken, die – mit entsprechenden Implikationen für die Fahrsicherheit – speziell auf schlecht programmierte Software abzielen. Hersteller stehen vor der großen Herausforderung, ein sicheres Programm zur Anwendungsentwicklung aufzusetzen. Noch umfassender wird diese Herausforderung dadurch, dass sich Hersteller nach streng regulierten Sicherheitsstandards und Haftbarkeitsbedenken handeln müssen."

Eine kürzlich veröffentlichte Studie von Veracode und IDC zeigt, dass es wohl noch bis zu drei Jahre dauern wird, bis Anwendungen und Systeme im Auto ausreichend gegen Cyberbedrohungen geschützt sind. Hersteller sollten aus den aktuellen Sicherheitslücken lernen und verstärkt ihren Fokus darauf legen, die Sicherheit schon während der Entwicklung von Anwendungen zu erhöhen, die direkt die Hauptfunktionen eines Autos verbessern. Obwohl, wenn ich es richtig bedenke, werden wir diese Aussage in drei, vier oder zehn Jahren wieder lesen.

Autohersteller sammeln schon mal fleißig Daten

Und der zweite Punkt betrifft die Datensammelei in aktuellen PKWs durch die Hersteller, die dem Kunden komplett vorenthalten wird. Laut einer ADAC-Untersuchung, aus der heise.de hier zitiert, sammeln die Hersteller von BMW, Mercedes bis Renault bereits jetzt Daten in Großem Stil. Und das sind nicht nur Abgasdaten, sondern GPS-Positionen, Hinweise zum Fahrstil und so weiter. Diese Daten stehen momentan wohl nur den Herstellern der Fahrzeuge zum Auslesen über die On-Board-Diagnose (OBD-2) zur Verfügung. Aber die Infos werden zwischenzeitlich auch mobil übertragen, wie beim Mercedes me-connect-Paket oder beim Renault Elektroauto Zoe. Bei Zoe wird es besonders krass, wie heise.de schreibt: Ist der Käufer mit den Leasing-Raten im Verzug, wird das Aufladen der Batterie verhindert und das Fahrzeug so binnen Kurzem stillgelegt.

Schöne neue Welt, auf die man sich als Autokäufer freut. Da wird das Auto geklaut, weil Diebe per Range Extender die Keyless Car-Systeme leicht knacken können. Als Fahrer musst Du künftig ständig bangen, dass die Hersteller dir die Karre per Funkbefehl stillegen – der Ruf des ADAC "ich habe eine Panne, Auto fährt nicht mehr", bekommt dann eine ganz neue Qualität. Und wenn die Blechkiste rennt, wirst Du als Nutzer gläsern, wie Orwell es in 1984 nicht mal zu träumen wagte. Ach ja, kräftig zahlen darfst Du für den Scheiß auch noch. Willkommen in der Zukunft, die schon heute stattfindet.

Nachtrag: Der Blog-Beitrag ist auf Vorrat entstanden. Nach dem Schreiben bin ich auf den heise.de-Artikel Sicherheitsstudie: Zwei Drittel der Deutschen sorgen sich vor Datenabfluss im Auto gestoßen, der gestern erschienen ist. Mal wieder ein Beispiel, wie genau die Autohersteller ihre Produkte auf die Wünsche und Bedenken der Käufer 'mappen'.

Ähnliche Artikel:
Mega-Fail: IT und Bordelektronik im Auto …
Nissan Leaf: Phone-App zurückgezogen
Home-Automatisierung: Teuer und sicherheitsanfällig …
Car Play, Android Auto, Datenschutz und Sicherheit …


Anzeige

Windows-OEM-Updater als Sicherheitsproblem
Analyse: Viele Sicherheitslücken in Unternehmensnetzwerken


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Connected Car-Schwachstellen und PKW-Datensammelwut

  1. Blupp sagt:

    Na ist doch toll.
    Die Diebe klauen mit Hilfe von Sicherheitslücken mein Auto?
    Wenn es weiter nichts ist…, zahl ich halt meine Rechnung nicht, dann fahren die keinen Meter mehr.
    Schöne neue irre Welt. :D

    • Tim sagt:

      …ich glaub, Autodieben von heute gehts bei solchen Fahrzeugen weniger ums lange fahren, so lange sie bis zum Ort des Ausschlachtens, oder Transporter gelangen…
      Ob das Ding dann in Afrika, oder sonstwo, stehen bleibt, interessiert da wohl auch nicht mehr groß und wird sich sicher auch wieder umgehen lassen. Die sind da auch nicht so TÜVgeil, wie hierzulande.

      Schräger find ich eher, das tatsächlich legal und von unseren Behörden zugelassen zu sein scheint, das GPS Daten und Co grundsätzlich genutzt und ausgelesen werden können und nicht nur im Rahmen dieser merkwürdigen Blackboxen von Versicherungen, auf die man sich möglicherweise selbst einlässt.

      Mit irrer Welt hast du nicht ganz unrecht… Nur ob die schön und neu ist?

      • Thomas Bauer sagt:

        Versicherungstechnisch muss ein geschlossenes Behältnis überwunden werden. Weiß das bitte mal nach wenn die Zentralverriegelung mit der Luftpumpe auf geht. Keine Einbruchsspuren, kein Geld. Schlüsselcodes lassen sich sogar beim Öffnen abfangen und Fahrzeuge danach einfach öffnen. Versicherung zahlt dann nicht, weil der Nachweiß nicht erbracht werden kann.

        • Udo sagt:

          Es gab noch nie eine Zentralverriegelung die sich mit der Luftpumpe oder einem Tennisball öffnen ließ. Das ist genau so eine Ente wie der Porsche den man für wenig Geld kaufen konnte nur weil eine Leiche drin lag.

          Aber hier in Köln wurde definitiv ein Porsche Cayenne mit einem Reichweitenverlänger des Schlüssels weggefahren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.