Der Schreck über den plötzlich fremdgesteuerten Jeep Cherokee wirkt noch nach. "Was mit dem Jeep passiert ist, lässt bei uns die Alarmglocken schrillen", sagt einer, der sich bei einem deutschen Autohersteller mit IT-Systemen im Auto beschäftigt. Aber nicht, weil er befürchtet, dass die eigenen Autos Opfer von einer ähnlichen Hackerattacke werden könnten. Eher deshalb, weil man plötzlich mit kritischen Fragen der Presse zu dem Thema konfrontiert ist. Und die dringlichste dieser Fragen lautet: "Könnte das bei einem deutschen Auto mit seinen immer umfangreicheren Konnektivitäts-Technologien auch funktionieren?"
So kennt man die PR-Berater der einheimischen Hersteller: Man ist lieber auf alles vorbereitet.
Was den Hackern Charlie Miller und Chris Valasek gelungen ist, dürfte auch bei vielen Autofahrern die Alarmglocken schrillen lassen. Über das Infotainmentsystem, bei Jeep Uconnect genannt, gelangten die Computerspezialisten in den sogenannten CAN-Bus. Dieser vernetzt die zahlreichen elektronischen Steuergeräte eines Autos. Nun konnten die Computerprofis den Motor ausschalten - aus der Ferne, während das Auto auf einer Schnellstraße fuhr. Später, auf einem großen Parkplatz, bedienten die Hacker mit ihren Computern auch noch die Lenkung des Wagens und setzten dessen Bremsen außer Funktion.
"So sicher wie Online-Banking"
Mit der Einschränkung, dass es "eine hundertprozentige Sicherheit nie geben wird", verneinen die Hersteller unisono die oben gestellte Frage. Allein schon deshalb, weil Hürden, die Bordcomputer von außen anzugreifen, sehr hoch seien. "Unsere Kommunikationsschnittstelle ist genau so sicher, wie man es zu Hause vom Online-Banking kennt", sagt etwa Audi. Nun ist es nicht so, dass Bankkunden, die ihre Geldgeschäfte über das Intenet erledigen, noch nie auf mysteriöse Weise Geld abhanden gekommen wäre. Aber vertrauenerweckend klingt das Audi-Statement allemal.
Darüber hinaus sind die hiesigen Hersteller bemüht, selbst die Hoheit über die Computersysteme und Daten ihrer Autos zu behalten. So lässt Audi die Software seiner Fahrzeuge von einer hundertprozentigen Tochter entwickeln, die ebenfalls in Ingolstadt ansässig ist. Eine enge Abstimmung und kurze Kommunikationswege sollen die nötige Sicherheit gewährleisten. Auch der sich anbahnende Milliardendeal, durch den Audi, BMW und Mercedes Nokias Digitalkartendienst Here übernehmen, zielt in diese Richtung.
Zudem sei bei den deutschen Herstellern getrennt, was beim gehackten Jeep offensichtlich verbunden ist: die Computersysteme für das Infotainment und jene, die per CAN-Bus für andere Steuergeräte und sicherheitsrelevante Systeme zuständig sind. Wer es ins Infotainmentsystem des Autos schafft, soll wenigstens nicht weiter gelangen und etwa die elektronischen Fahrassistenten manipulieren.
Physisch voneinander getrennte Computersysteme
Genau diese Trennung fordern Computerexperten von den Autoherstellern: "Man benötigt zwei isolierte Systeme, die sich nicht gegenseitig beeinflussen können", sagt Sergey Lozhkin vom Antivirensoftware-Hersteller Kaspersky. Außerdem müssten die Verschlüsselung der Daten und die Algorithmen für die Authentifizierung von Sender und Empfänger korrekt umgesetzt sein. Mindestens eines von beiden sei bei Jeep fehlerhaft gewesen.
In den nächsten Jahren steuert die Autobranche schrittweise auf das automatisierte Fahren zu. Das Vertrauen der Kunden, die sich von den weitgehend autonom agierenden Fahrzeugen chauffieren lassen sollen, ist für den Erfolg unabdingbar. Computerexperten scheinen dieses Vertrauen derzeit nicht zu haben. Kürzlich veröffentlichte der IT-Branchenverband Eco eine Umfrage, nach der knapp ein Drittel der befragten IT-Experten davon überzeugt sind, dass das vernetzte Auto in Zukunft für weniger Sicherheit auf deutschen Straßen sorgen wird. Grund dafür seien vor allem Schwächen im Umgang mit Zugangsdaten, Apps, Updates und Verbindungen, die zuvor eine Kaspersky-Studie identifiziert hatte.
Standards wie in der IT-Branche
Die Antiviren-Experten stellen deshalb eine klare Forderung an die Autoindustrie: "Um ein Auto zu schützen, sollten die Hersteller deren IT-Sicherheit so behandeln, wie wir das bei Netzwerken und Computern tun", sagt Lozhkin. In die Entwicklungsprozesse der IT-Branche sind Hacker fest eingebunden, um frühzeitig etwaige Sicherheitslücken aufzuspüren. Eine Vorgehensweise, die inzwischen auch die Autobauer übernehmen. "Wir haben IT-Sicherheitsexperten angestellt, die die Entwicklung neuer Systeme von Anfang an begleiten", heißt es dazu bei Mercedes. Außerdem hole man sich bei Bedarf externe Expertise hinzu.
Alles sicher, alles gut: Das sagten die deutschen Autohersteller auch in der Vergangenheit immer, wenn es um ihre rollenden Computer ging. Doch dann gelang es dem ADAC, mehrere BMW per Mobilfunk von außen zu öffnen - über eine Sicherheitslücke im Connected-Drive-System, dem BMW-Pendant zu Jeeps Uconnect.
Es scheint, als könnten die Computerentwickler in der Autoindustrie in nächster Zeit noch einiges zu tun bekommen. Denn der Ehrgeiz der Entwickler wurde gerade erst geweckt.