Eine frei verfügbare Software und etwas technischer Sachverstand – das reichte bis vor kurzem, um einen BMW zu öffnen. Ganz zufällig ist der ADAC auf diese Sicherheitslücke gestoßen.
Technisch versierte Autodiebe hätten bis vor wenigen Wochen unter Umständen bei 2,2 Millionen BMW
Der Autoclub hatte die Sicherheitslücke zufällig bei Tests entdeckt. Betroffen waren Autos, die seit März 2010 mit dem Vernetzungs-System Connected-Drive ausgeliefert wurden.
BMW hat mittlerweile die Sicherheit erhöht
Der ADAC hatte BMW schon im Juli 2014 über seine Entdeckung informiert. So habe die BMW die Sicherheit des Systems erhöhen können, „bevor überhaupt von außen aktiv Daten von Unbefugten abgerufen werden konnten oder auch nur ein Versuch dieser Art gestartet wurde“, sagte die Sprecherin. Eine Fahrt in die Werkstatt sei dafür nicht nötig gewesen, betonte BMW. Die Anpassungen seien automatisch online erfolgt, ohne dass die Kunden etwas tun mussten.
Connected Drive vernetzt Fahrzeuge mit BMW über ein eingebautes Mobilfunkmodul. Das ermöglicht neben Internetfunktionen die Übertragung von Servicedaten sowie die Bedingung von Funktionen wie Heizung, Türverriegelung oder Klimaanlage via Smartphone-App. Genau diese Funktionen waren betroffen. Anders als etwa der Internetzugang war dieses System weniger geschützt. Diese Verschlüsselung habe BMW inzwischen angepasst. Nun übertragen auch diese Systeme die Daten über eine geschützte https-Verbindung.
Der Autoclub hatte das Schlupfloch zufällig gefunden. „Wir haben gar nicht nach Sicherheitslücken gesucht. Wir wollten vor allem wissen, was für Daten solche Autos übertragen“, sagte ADAC-Technikexperte Arnulf Thiemel. „Um das herauszufinden, hat unser Mobilfunkexperte das Steuergerät des Fahrzeugs angeschaut. Dort haben wir die Lücke gefunden.“ Mit der nötigen Ausrüstung sei das Fahrzeug dann in wenigen Minuten geöffnet worden.
„Der technische Aufwand, um das Auto mit diesem Wissen zu öffnen, ist überschaubar. Es ist Hardware im Wert von unter 1000 Euro nötig und eine frei verfügbare Software“, sagte Thiemel. Allerdings: Für einen Autodieb dürfte das Verfahren erheblich mehr Aufwand bedeuten, als das Fahrzeug mechanisch zu öffnen.