Jeep Cherokee

Jeep Cherokee: Über eine GSM-Mobilfunk-Schnittstelle konnten Hacker einen Jeep testweise quasi komplett fernsteuern. Kunden in Europa sind laut FCA aber nicht betroffen. Bild: FCA

Sie nutzen für den Versuch eine Sicherheitslücke in dem Unterhaltungssystem des Wagens, das mit dem Internet verbunden war. Hersteller Fiat Chrysler gab am Mittwoch (22.7.) Entwarnung für Kunden in Europa: Die hier verkauften Autos verfügten demnach nicht über den Baustein zur Internetverbindung. Hiesige Kunden seien daher nicht betroffen.

Die beiden Hacker Charlie Miller und Chris Valasek hatten die Sicherheitslücke entdeckt. Sie konnten sich über das Internet mit dem Unterhaltungssystem eines Jeeps verbinden. Von dort drangen sie in weitere Bereiche der Steuerungssoftware des Autos vor und programmierten das System so um, dass sie die Kontrolle über den Wagen bekamen. So konnten sie einen Journalisten des US-Magazins Wired bei voller Fahrt auf einer Autobahn ausbremsen. Außerdem gelang es ihnen, aus der Ferne die Klimaanlage zu steuern, den Radio auf volle Lautstärke zu schalten und den Scheibenwischer zu bedienen. Im Rückwärtsgang war es sogar möglich, die Lenkung zu übernehmen. Dem Hack war monatelange Programmierarbeit vorausgegangen.

Hersteller Fiat Chrysler sagte der Deutschen Presse-Agentur am Mittwoch, Jeeps auf dem europäischen Markt seien nicht betroffen. Das betroffene Mobilfunk-Modul zum Internetzugang sei hier nicht verbaut. “Der Zugang geschah über eine GSM-Schnittstelle im Fahrzeug, die es nur bei Autos auf dem amerikanischen Markt gibt”, sagte ein Sprecher. “Für Kunden in Europa ist das also kein Thema.” Die beiden Hacker mussten zudem erst die Internet-Adresse (IP-Adresse) des Autos ausfindig machen. Das sei nur aufgrund einer Schwachstelle bei dem Internetanbieter der Jeeps möglich gewesen, sagte der Chrysler-Sprecher. “Da ist ein enormer Aufwand nötig. Das war mehr als nur eine Sicherheitslücke im Auto.”

Ob auch andere Modelle betroffen seien, konnte Chrysler zunächst nicht sagen. Dem «Wired»-Bericht zufolge gehen die Hacker davon aus, dass andere Autos mit dem betroffenen Unterhaltungs-System auf ähnlichem Wege geknackt werden könnten. FCA setzt das Kommunikationssystem mit dem Namen Uconnect nicht nur in Jeeps, sondern auch in den anderen Modellen des Unternehmens ein, beispielsweise bei den Marken Fiat, Lancia, Alfa Romeo oder den US-Marken Chrysler, Dogde, SRT und RAM. Uconnect steuert dabei nicht nur die Unterhaltungssysteme oder die Navigation. Mit Hilfe einer Smartphone-App lässt sich das Auto auch aus der Ferne starten oder verriegeln.

 

Details zu dem Hack wollen die beiden Experten auf der Black-Hat-Konferenz im August in Las Vegas veröffentlichen. Um ihre Fahrzeuge wieder sicher zu machen, müssen die Kunden der betroffenen Fahrzeuge einen Software-Patch herunterladen, auf einen USB-Stick und dann auf ihr Auto überspielen beziehungsweise eine Werkstatt aufsuchen. Einen formellen Rückruf startete FCA nicht. Miller und Valasek hatten die Sicherheitslücke Fiat Chrysler bereits im vergangenen Oktober mitgeteilt, das Unternehmen gab aber erst am 16. Juli 2015 einen Hinweis an seine US-Kunden, wonach ein Softwareupdate für Uconnect zur Verfügung stünde.

Der erfolgreiche Hack ist dem Experten Stefan Savage von der University of California zufolge kein Hinweis darauf, dass Jeep-Fahrzeuge oder andere Autos besonders leicht angreifbar sind, sondern darauf, dass praktisch alle modernen Autos angreifbar sind. “Ich glaube nicht, dass es heutzutage Qualitätsunterschiede in der Sicherheit zwischen verschiedenen Fahrzeugen gibt”, sagte Savage zu Wired. “Die Europäer sind etwas weiter. Die Japaner hinken ein klein wenig hinterher. Aber im großen und ganzen geht es hier um etwas, das alle erst langsam begreifen.”

Miller und Valasek sehen ihren Hack auch als Warnung. Sie wollen die Autobauer aufrütteln. Denn Autos enthalten immer mehr Internet-Funktionen – und bieten damit mögliche Angriffsflächen. Der ADAC fordert, dass die Branche stärker auf diesen Bereich achten müsse. “Die IT im Auto schreitet in ihrer Entwicklung so schnell voran, dass hier schnellstens Handlungsbedarf auf Herstellerseite geboten ist”, sagte ADAC-Sprecher Christian Buric der dpa. Der Club deckte Anfang des Jahres eine Schwachstelle bei BMW auf, die es möglich machte, fremde Autotüren per Funk zu entriegeln. Die Lücke wurde inzwischen gestopft. IT-Systeme in Autos müssten von einer neutralen Stelle wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft werden, forderte Buric.

Das Kraftfahrt-Bundesamt, das die Sicherheit von Autos überwacht, äußerte sich zurückhaltend. Das Amt “hat Kenntnis dieser Thematik”, erklärte ein Sprecher.

dpa-AFX/ks