Letzte Aktualisierung am 23. Oktober 2015.

Quelle: www.welt.defm4.orf.at

Eine Sicherheitslücke bei dem US-Geländewagen Jeep ermöglicht gefährliche Manipulationen. Über das Internet können Bremsen deaktiviert werden. Ein glücklicher Umstand schützt Jeep-Fahrer in Europa.

Die Hacker haben eine Sicherheitslücke in der Online-Anbindung der Multimedia-Stereoanlage des neuen Jeep Cherokee ausgemacht, die ihnen die Manipulation von Fahrzeugsystemen ermöglicht.

Greenberg hatte sich als digitaler Crashtest-Dummy zur Verfügung gestellt, um den neuesten Auto-Hack der beiden Experten auszuprobieren. Schon vor zwei Jahren hatten die Hacker demonstriert, dass sie ein Auto per Laptop manipulieren können, wenn sie eine Kabel-Verbindung zur OBD (Onboard-Diagnoseschnittstelle) des Wagens haben.

Der neue Hack geht den entscheidenden Schritt weiter: Die Hacker schafften die Manipulation sicherheitskritischer Komponenten des Fahrzeugs allein über die Mobilfunk-Verbindung des Jeeps.

Chrysler wurde von den Hackern bereits vor Monaten informiert. Der Hersteller hat inzwischen einen Patch für den Fehler veröffentlicht. Der Haken: Dieser Patch muss von einem Händler per USB-Stick eingespielt werden, Chrysler muss also im Zweifelsfalle alle betroffenen Fahrzeuge mit einem Rückruf in die Werkstätten holen.

Der Fall zeigt, dass aktuelle Autos wegen der komplexen verbauten Elektronik genauso update-pflichtig sind wie ein moderner PC. Und da nicht alle Hacker so zuvorkommend sind, die Hersteller zu warnen, ist ein erfolgreicher Angriff auf Fahrzeuge in voller Fahrt nur noch eine Frage der Zeit.

Sicherheitsupdate von Chrysler gefährlicher als Hack

Zum Schließen einer Sicherheitslücke, die eine Fernsteuerung des Autos ermöglichen könnte, bot Chrysler den Download von „.exe“- und „.zip“-Dateien für die Autoelektronik an.

Bei Sicherheitsexperten, die ein solches Szenario bereits seit Jahren prognostizieren, sorgte erst die Reaktion des Herstellers für Gänsehaut. Bevor sich Fiat Chrysler nämlich zum Rückruf von 1,4 Millionen betroffenen PKWs entschloss, wurde den Eigentümern der Download und die Selbstinstallation eines Sicherheitsupdates angeboten.

Wie aus der wenig später wieder zurückgezogenen Web-Anleitung des Herstellers hervorgeht – eine Kopie liegt ORF.at vor – wurden die Kunden aufgefordert, eine ganze Reihe von „.exe“ und „.zip“-Dateien auf ihre Privat-PCs herunterladen und dabei alle Warnungen des Betriebssystems zu ignorieren. Sodann sollten die Dateien auf einem USB-Stick installiert werden, über den das „Sicherheitsupdate“ in den Bordcomputer des Wagens eingespielt werde. Ein solches Prozedere im Jahr 2015 anzubieten, sei „hochgradig dilettantisch“ und potenziell weit gefährlicher als die Sicherheitslücke selbst, sagte Joe Pichlmayr von der österreichischen Security-Firma Ikarus zu ORF.at.

Damit würden die Chrysler-Kunden aufgefordert, alle seit den späten 90er Jahren gültigen, einfachen Grundregeln der PC-Sicherheit zu ignoriere.

Ein einziger infizierter PC genüge, um alle Kundenautos zu kompromittieren.

Greenberg hatte seinen Wagen als Versuchsobjekt für diese erfolgreiche Demonstration eines Hack-Angriffs zur Verfügung gestellt. Um den Jeep fernzusteuern, mussten ihn die Angreifer vollständig übernehmen, der Angriff musste daher mit dem entsprechenden Aufwand betrieben worden sein. Die Erklärung von Chrysler, dass dieser Angriff enormes Spezialwissen voraussetze und nur unter bestimmten Netzwerkanbindungen möglich sei, stimmt in diesem Fall. Es war ein sogenannter „Proof of Concept“-Hack, der praktische Nachweis, dass in die Bordelektronik dieser Modelle auch von fern eingedrungen werden und die Fahrzeugsteuerung in weiten Teilen kontrolliert werden kann.

Ganz offensichtlich glaubten die Autohersteller bis jetzt, dass die vernetzten Computer in ihren Wagen aus irgendeinem magischen Grund von den Problemen verschont werden, mit denen alle übrigen vernetzten Computersysteme zu kämpfen haben.

Updates

04-08-15: Schwachstellen: Fernzugriff öffnet Autotüren – Einem Hacker ist es gelungen, sich in die Software Onstar Remotelink des US-Autoherstellers General Motors einzuklinken. Damit lässt sich das Fahrzeug entriegeln und sogar starten. Wegfahren konnte er mit dem gehackten Fahrzeug aber nicht.

04-08-15: Weitere Auto-Hacks im Anrollen – Hacks von Autos und anderen vernetzten „Dingen“ bilden eine Schwerpunkt auf der US-Hackerkonferenz DefCon, die am Donnerstag in Las Vegas startet. Während die Analysten einander an optimistischen Prognosen für das „Internet der Dinge“ überbieten, treffen die Warnungen der Sicherheitsexperten gerade ein. Nach den Systemen von Fiat Chrysler wurden auch die Bordcomputer von General Motors erfolgreich angegriffen. Die beiden Fälle sind nur die ersten Symptome einer technischen Entwicklung, bei der Wachstum und Marktanteile bis jetzt Priorität hatten. Die Frage der Sicherheit dieser Systeme rückt erst langsam in den Fokus, seitdem Autohacker in den Schlagzeilen sind.

Dafür ist es hoch an der Zeit, denn die ersten großen „Roll-Outs“ von IoT-Anwendungen in den USA zeigen beunruhigende Parallelen zur Frühzeit der WWW-Vernetzung und der Entwicklung des PC-Sektors seit 1995. Damals wie heute wird die technische Entwicklung rein vom Markt getrieben, die wichtigsten Parameter werden nicht von der Technik, sondern letztlich von den Marketingabteilungen gesetzt.

Die Wellen von Schadsoftware, die ab Mitte der Neunziger Jahre nacheinander über die neu vernetzen Computersysteme hinwegrollten, hatten sehr begrenzte Folgewirkung. Die befallenen Rechner mussten höchstens neu aufgesetzt werden, im schlimmsten Fall gab es Datenverluste, von Wurmepidemien lahmgelegte Datenzentren waren nach kurzer Zeit wieder verfügbar.

Im Internet der Dinge sehen die möglichen Folgeschäden völlig anders aus, die möglichen Szenarien sehen schon so äußerst gefährlich aus. Wenn dann noch die Interessen militärischer Akteure ins Spiel kommen, die rund um die Welt „Cyber“-Angriffswaffen für genau solche Angriffe entwickeln, sieht es für die IoT-Entwicklung schon in kurzer Zeit womöglich deutlich anders aus, als die Analysten jetzt errechnen.

07-08-15: www.golem.de – Auto-Hacking: Gehackte Teslas lassen sich bei voller Fahrt ausschalten – Insgesamt sechs Lücken haben IT-Sicherheitsforscher in der Software der Automobile von Tesla entdeckt. Über sie gelang es ihnen, die Kontrolle über das Fahrzeug zu übernehmen.

10-09-15: www.golem.de – Kritik an Sicherheitsupdates per Post – Wie stopft man kritische Sicherheitslücken in der Software von Autos? Nach Ansicht eines Sicherheitsexperten ist der von Fiat Chrysler gewählte Weg eine Einladung an Hacker.

Kommentar

Nicht alles was einfach klingt, ist auch einfach durchzuführen – wie dieser Hack. Aber wirkliche Cyber-Angriffe waren vor 10 Jahren auch noch wirklichen Profis vorbehalten. Heute kann man die Toolkits relative einfach erwerben und auch Laien können Profiangriffe durchführen. Aber auch hier das Beispiel, dass wir offensichtlich nicht in der Lage sind aus den vielen anderen Vorfällen zu lernen. Schade.