Sicherheitsstandards ignoriert: BMW-Hack war vermeidbar

5. Februar 2015, 13:01
16 Postings

Sicherheitslücken in Autos - BMW hat Daten ohne Transportverschlüsselung übertragen

Der kürzlich bekannt gewordene Hack von Autos der Marke BMW wäre auf einfache Weise vermeidbar gewesen. Das Computermagazin c’t zeigt im Detail, wie der Autokonzern zentrale Sicherheitsstandards ignoriert hat. Es fand einen Weg, ohne Schlüssel die Türen aller getesteten Fahrzeuge mit ConnectedDrive-Ausstattung per Mobilfunk zu öffnen.

BMW ist ein Vorreiter darin, Autos über das Mobilfunknetz mit dem Internet zu verbinden: Das Online-System ConnectedDrive ist schon seit rund sieben Jahren erhältlich. Noch vor etwas mehr als einem Jahr hatte ein Verantwortlicher bei BMW versichert, die Sicherheit und der autorisierte Zugriff auf das Fahrzeug stünden im Vordergrund der Online-Dienste. Der Fehler steckt jedoch offensichtlich im Detail.

"All diese Probleme wären aber eigentlich vermeidbar gewesen."

"Der Autor hat sechs grundlegende technische Fehler ausfindig gemacht, die den Hack ermöglicht haben", erläutert c’t-Redakteur Axel Kossel. "All diese Probleme wären aber eigentlich vermeidbar gewesen." So hat BMW Daten ohne Transportverschlüsselung und ohne die Identität der Gegenstelle zu prüfen übertragen. Dort, wo verschlüsselt wurde, kamen bei allen Fahrzeugen die gleichen Schlüssel und längst überholte und unsichere Verfahren zum Einsatz.

BMW hat die Sicherheitslücken nach eigenen Aussagen inzwischen zumindest so weit geschlossen, dass sich die Fahrzeuge nicht mehr entriegeln lassen. Bekannt wurden sie erst, nachdem der Sicherheitsexperte Dieter Spaar auf Vermittlung von c’t für den ADAC das BMW-System genauer unter die Lupe genommen hatte.

Schriftlich deaktivieren

Wer das ganze System lieber abschalten möchte, kann ConnectedDrive per schriftlichen Antrag bei BMW und über einen Werkstattbesuch deaktivieren lassen. Als Selbsthilfe kann man bei einigen Modellen auch den Antennenstecker abziehen. Allerdings funktioniert dann auch die automatische Notruffunktion nicht mehr. (red, 05.02. 2015)

Share if you care.