Charlie Miller und Chris Valasek zogen vor zwei Jahren einen Stunt ab, der die Autoindustrie erschütterte. Sie hackten sich in das System eines fahrenden Jeep Cherokee über dessen Internet-Verbindung, um ihn dann direkt auf dem Highway zu stoppen. Anschließend berieten die beiden Sicherheitsexperten Uber, um dem Startup zu helfen, seine bisher nur experimentellen selbstfahrenden Autos vor genau solchen Attacken zu schützen. Den Job bei Uber hat Miller nun beendet und richtet eine Botschaft an die gesamte Autoindustrie: Es ist nicht leicht selbstfahrende Autos vor Hackerangriffen zu schützen. Es müssen dringend Lösungen gefunden werden.
Miller ist zum chinesischen Uber-Rivalen Didi gewechselt, einem Startup, das gerade damit begonnen hat eigene autonome Fahrdienste aufzubauen. Sein erstes Interview nach dem Wechsel zu Didi gab Miller der US WIRED und erzählte darin, was er in seinen 19 Monaten bei Uber gelernt hat – und zwar, dass selbstfahrende Taxis eine Sicherheits-Herausforderung darstellen, welche weit über die Problematiken hinausgeht, welchen man beim vernetzten Fahren begegnet.
Miller darf keine spezifischen Details über seine Arbeit bei Uber herausgeben, er sagt jedoch, dass es einer der Gründe weswegen er zu Didi übergewechselt sei, dass es ihm die Firma erlaubt, offener über das Hacken von Autos zu sprechen. Er warnt, dass bevor selbstfahrende Taxis in die Tat umgesetzt würden, einiges viel stärker als bisher bedacht werden müsse: Da sei zum einen Gefahr von Angriffen aus der Ferne auf die Automatik selbstfahrender Autos, zum anderen die Möglichkeit, dass Fahrzeuge von Menschen direkt aufgebrochen werden und autonome Fahrzeuge so sabotiert werden könnten.
„Selbstfahrende Autos sind die Krönung aller Worst-Case-Szenarios“, sagt Miller, der für mehrere Jahre in der so genannten Tailored Access Operations Einheit gearbeitet hat, einem Elite Hacker Team der NSA, bevor er dann bei Twitter und Uber anfing zu arbeiten. „Konventionelle Autos sind schon jetzt unsicher, und wir fügen einen Haufen Sensoren und Computer hinzu, welche sie kontrollieren sollen ... Wenn sich nun jemand, der Böses im Schilde führt, Zugang verschafft, könnte die Situation noch viel schlimmer werden“, sagt er im Gespräch mit WIRED.
In einer Serie von Experimenten, die Miller und Valasek 2013 starteten, zeigten sie, wie sich Hacker entweder mit einem Kabel oder durch das Internet Zugang zu einem Fahrzeug – darunter ein Toyota Prius, ein Ford Escape und eines Jeep Cherokee – verschaffen. Ein Hacker könnte dann etwa Bremsen blockieren oder diese plötzlich aktivieren, das Lenkrad herumreißen und das Fahrtempo abrupt erhöhen. Aber um fast alle dieser Attacken auslösen zu können mussten Miller und Valasek bereits existierende Automatik-Features der Fahrzeuge ausnutzen. Sie benutzen das Kollisions-Abwehrsystem des Prius, um Zugriff auf dessen Bremsen zu erhalten und den Tempomaten des Jeeps, um diesen zu beschleunigen. Um das Lenkrad des Jeeps zu steuern, mussten sie das Auto austricksen: Es sollte glauben, dass es gerade selbst einparkt – obwohl es mit 130 Stundenkilometer auf der Autobahn unterwegs war.
Mit anderen Worten, ihre Auto-Hack-Eskapaden waren auf die wenigen Funktionen beschränkt, die der Computer eines Fahrzeuges bereits eh schon kontrolliert. In einem selbstfahrenden Auto steuert der Computer alles. „In einem autonomen Fahrzeug kann der Computer bei jeder Geschwindigkeit unbegrenzt auf die Bremse drücken, oder das Lenkrad herumreißen“, sagt Miller. „Die Computer haben sogar noch mehr Kontrolle.“
Was früher war, spielt keine Rolle mehr
Ein aufmerksamer Fahrer kann viele der Attacken, die von Miller und Valasek an herkömmlichen Autos demonstriert wurden, abwenden und dagegen steuern: einmal auf die Bremse gedrückt und schon ist der Beschleunigungsvorgang des Tempomaten wieder beendet. Sogar die Lenkrad-Attacken können ganz einfach überwunden werden, indem der Fahrer die Kontrolle über das Lenkrad übernimmt. Wenn ein Fahrgast jedoch nicht auf dem Fahrersitz sitzt oder es kein Lenkrad und keine Bremse gibt, gibt es keinerlei Möglichkeiten für solche manuellen Zwischenmanöver. „Was wir früher gemacht haben, spielt keine Rolle mehr, der Mensch hatte immer die Chance die Kontrolle über das Auto zu übernehmen. Aber wenn man auf der Rückbank sitzt, ist das eine ganz andere Angelegenheit,“ sagt Miller. „Man ist total der Gnade des Computers ausgeliefert.“
Ein selbstfahrendes Auto, welches als Taxi benutzt wird, ist ein noch größeres Risiko, sagt Miller. In dieser Situation, müsse jeder Fahrgast als potenzielle Bedrohung angesehen werden. Sicherheits-Forscher haben gezeigt, dass das bloße anschließen, eines zum Internet verbundenen Gerätes an einen OBD2 Anschluss in einem Auto, ein Universal-Stecker unter dem Armaturenbrett, kann einem externen Angreifer Eintritt in das empfindliche System eines Autos eröffnen. (Forscher an der University of California in San Diego haben 2015 gezeigt, wie sie die Kontrolle über die Bremsen einer Corvette übernehmen können, indem sie einen typischen OBD2 Kopierschutzstecker verwenden, wie er von Versicherungsfirmen vergeben wird – einschließlich eines Uber Partnerunternehmens.)
„Es wird die Situation geben, dass eine Person, der man nicht unbedingt vertrauen möchte, plötzlich als Fahrgast in einem selbstfahrenden Auto sitzt“, sagt Miller. „Der OBD2 Anschluss macht es einem Fahrgast sehr leicht, unbemerkt etwas anzuschließen und dann einfach auszusteigen, anschließend hat dieser dann Zugang zu deinem Fahrzeug und dessen empfindlichen Netzwerk.“
In den USA ist es per Gesetz illegal, etwas permanent an den OBD2 Stecker anzuschließen, sagt Miller. Er schlägt vor, dass Fahrdienste, die fahrerlose Autos verwenden, diese Zugänge mit manipulationssicherem Band versiegeln. Aber selbst dann können diese die Suche nach Verdächtigen nur so weit einschränken, dass man den Tag oder sogar nur die Woche bestimmen kann, in der ein Fahrgast das Fahrzeug sabotiert hat. Eine weitergehende Lösung würde bedeuten, dass man die Software des Fahrzeuges sicherer machen müsste, so dass selbst böswilligen Hacker mit Zugang zu dem Netzwerk nicht in der Lage sind es zu hacken – eine Herausforderung, die wie Miller sagt, bisher nur von sehr gut verschlüsselten Geräten wie einem iPhone oder Chromebook erfüllt werden. „Es ist definitiv ein erhebliches Problem“, sagt er.
Das Aufheben von Sicherheits-Lücken in selbstfahrenden Autos wird einige fundamentale Neuerungen in der Sicherheits-Architektur erfordern, meint Miller. Die vernetzten Computer werden zum Beispiel eine Sicherheits-Signatur benötigen die sicher stellt, dass nur vertrauenswürdige Software verwendet wird mit einem bestimmten kryptographischen Schlüssel. Bis jetzt nur Tesla öffentlich gesagt, dass sie ein derartiges Feature integrieren möchten. Die Netzwerke innerhalb von Autos werden eine klügere interne Partitionierung und Authentifizierung brauchen, so dass kritische Komponenten nicht einfach blind Befehlen vom OBD2 Port annehmen. Diese müssen mit Software ausgerüstet sein, die Eindringlinge erkennt, welche dann den Fahrer oder Fahrgäste alarmieren können, im Falle dessen, dass etwas Ungewöhnliches im internen Netzwerk des Autos passieren sollte. (Miller und Valasek haben bereits einen solchen Prototyp entworfen).
Was erschwert das Lösen dieser Probleme? Firmen wie Uber und Didi bauen die Autos für ihre Fahrdienste nicht selbst, stattdessen bauen sie nachträglich Sicherheitsmechanismen in die Autos ein. „Die Firmen bekommen ein Auto vom Hersteller, das bereits einige Angriffsflächen und Sicherheitslücken aufweist, ausgestattet mit einer Menge Software auf die sie selber keinen Zugriff haben, und dann versuchen sie daraus eine sichere Angelegenheit zu machen“, sagt Miller. „Das ist echt nicht leicht.“
Ich möchte darüber sprechen, wie wir Autos sicherer machen können
Um den Sicherheits-Alptraum von selbstfahrenden Autos zu lösen, wird es weitaus mehr Austausch und Kooperationen zwischen Firmen brauchen. Das sei auch einer der Gründe, Uber zu verlassen, sagt Miller. Er brauche mehr Gespräche direkt mit der Industrie. „Ich möchte darüber sprechen, wie wir Autos sicherer machen können und über die angsteinflößenden Dinge die wir sehen, anstelle diese Sachen im Verborgenen zu lösen und gleichzeitig zu hoffen, dass wir alle wissen was wir da tun“, sagt er.
Noch ist das Hacken von Autos ein Zukunftsszenario: es gibt bisher noch keinen dokumentieren Fall eines bösartigen Hacker-Angriffes auf ein Auto. Aber das bedeute, dass jetzt die Zeit sei, um an den Problemen zu arbeiten, sagt Miller, bevor Autos noch mehr automatisiert werden und diese Probleme dadurch weitaus wahrscheinlicher machen. „Jetzt ist der Moment, die nötigen Sicherheitsmaßnahmen zu entwickeln und umzusetzen, bevor noch etwas passiert“, sagt Miller. „Und das ist das, was ich mache.“
