Andy Greenberg wird bei diesen Worten ganz schön geschluckt haben. „Du würdest jetzt nicht mit uns telefonieren, du wärst tot“, hallt es aus dem Telefon des Reporters. Vor ziemlich genau einem Jahr war Greenberg für WIRED US in einen Jeep Cherokee 2014 gestiegen und hatte sich bei voller Fahrt hacken lassen. Die Sicherheitsforscher Charlie Miller und Chris Valasek bescherten ihm damals einige sehr unruhige Minuten mitten auf dem Highway, ließen sein Radio verrückt spielen, schalteten den Motor mitten im Verkehr aus, stellten bei niedriger Geschwindigkeit sogar die Bremsen ab. Und jetzt dieser Anruf.
„Stell dir vor, wir hätten damals nicht nur deinen Motor abgeschaltet, sondern deine Reifen um 180 Grad gedreht, egal bei welcher Geschwindigkeit“, erklärt Valasek ihm. Genau das gehe jetzt, ein Jahr später – wenn sie wollten, könnten sein Kollege und er mittlerweile gezielt einen schweren Unfall verursachen.
In dieser Woche werden Miller und Valasek ihren neuen Hack auf der renommierten Black-Hat-Konferenz vorstellen – und der geht weit über den WIRED-Versuch aus dem vergangenen Jahr hinaus. Damals rief Chrysler 1,4 Millionen Autos zurück und schloss die Sicherheitslücke seiner Fahrzeuge nach fieberhafter Suche. Die neue Attacke der Sicherheitsforscher funktioniert allerdings auch bei den damals gepatchten Jeeps.
Miller und Valasek dringen dazu über eine bisher unbekannte Sicherheitslücke in die elektronische Kontrolle (ECU) des Fahrzeugs ein. Diese regelt die Sicherheitsprotokolle, die etwa automatisches Lenken nur beim rückwärts Einparken zulassen, nicht aber bei voller Fahrt. Die Forscher kompromittieren diese Protokolle per Fernsteuerung.
Du hast im Auto einen Computer, der sagt: Mach das eine – und wir sagen: Mach etwas anderes
„Du hast im Auto einen Computer, der ihm sagt: Mach das eine, und wir sagen ihm: Mach etwas anderes“, erklärte Miller gegenüber WIRED US. „Im Grunde lautet unsere Lösung, den anderen Computer auszuknocken.“ Mindestestens einen Jeep haben die Sicherheitsforscher so schon bei Tests in den Graben geschickt.
Chrysler weist die Gefahr des Hacks derweil zurück und geht nach eigenen Angaben nicht davon, dass eine solche Kontrollübernahme über das Internet möglich ist. Forscher der University of California in San Diego haben allerdings längst gezeigt, dass sie über ein Smartphone und dessen Bluetooth-Verbindung durchaus Zugang zu Fahrzeugen bekommen können.
Das Problem der Verkettung mehrerer sogenannter Internet of Things Devices ist nicht neu. Auch in Recherchen von WIRED Germany wurde bereits klar, dass schon die kleinste Sicherheitslücke in einem verbundenen IoT-Gerät Zugang zu anderen angeschlossenen Produkten im Netzwerk geben kann – zum Smart Home oder eben zum Fahrzeug.
IT-Experten graut es vor dem Gedanken an Milliarden von Geräten, die in den nächsten Jahren online gehen, ohne ausreichend vor solchen Übergriffen geschützt zu sein. „Mängel in der Sicherheitsarchitektur der Geräte bergen das Risiko der Offenlegung vertraulicher Daten, des Identitätsdiebstahls und der Wirtschaftsspionage“, warnt zum Beispiel das Forum Privatheit.
Betroffen ist theoretisch jedes smarte Device, egal ob Thermostat, Fernseher oder Fitnessarmband. Vor allem Autos voller Elektronik, so zeigen Forscher immer wieder, bieten etliche Angriffsflächen. Das reicht vom ferngesteuerten Schiebedach eines Tesla S bis eben zum erzwungenen Motorstopp bei einem Jeep Cherokee in voller Fahrt oder einem gekaperten Lenkrad.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
Unternehmen seien sich oft nicht der Gefahr bewusst, sagt Nikolay Kolev, IoT-Experte bei Deloitte: „Die Durchlässigkeit von zum Teil auch alten Systemen ist noch enorm.“ Viele grobe Schnitzer allerdings fielen in die Kategorie Kinderkrankheiten. „Die banalen Fälle, das Versagen bei der grundlegenden Sicherheit, werden wir schon bald nicht mehr sehen“, glaubt Kolev.
Am Grundproblem ändert das allerdings wenig: Mit der Zahl der vernetzten Geräte steigt unweigerlich die Zahl der Angriffspunkte – zumal die Hersteller immer mehrere Elemente zugleich im Blick behalten müssen: Hardware, Software, Netzwerke und Cloud Security. „Schon für Internetunternehmen ist es schwierig, für Sicherheit zu sorgen“, sagt Daniel Miessler, Direktor der IoT-Sicherheitsfirma IOActive. „Und sie sind Experten auf ihrem Gebiet.“ Anders als viele IoT-Anbieter, die jetzt frisch in den Markt drängen. Dazu gehören wohl auch Autohersteller.