ADAC weist auf Sicherheitslücke bei BMW ConnectedDrive hin
Der ADAC eine Schwachstelle in BMWs Vernetzungssystem ConnectedDrive entdeckt. Per Mobilfunk könnten Diebe die Türen betroffener Fahrzeuge binnen weniger Minuten aus der Ferne öffnen. Die Sicherheitslücke habe der Automobilclub entdeckt, als er überprüfen wollte, welche Daten die mit ConnectedDrive ausgerüsteten Fahrzeuge übertragen, erklärt die Süddeutsche Zeitung. “Der technische Aufwand, um das Auto mit diesem Wissen zu öffnen, ist überschaubar. Es ist Hardware im Wert von unter 1000 Euro nötig und eine frei verfügbare Software”, zitiert die Zeitung ADAC-Sprecher Arnulf Thiemel. BMW hat die Sicherheitslücke allerdings bereits weitgehend geschlossen.
Weltweit betrifft die Schwachstelle insgesamt 2,2 Millionen Fahrzeuge der Marken BMW, Mini und Rolls Royce – also all jene, die seit 2010 mit der ConnectedDrive-Funktion ausgeliefert wurden. Hierzulande sind es knapp 432.000 Autos. Eine vollständige Liste aller betroffenen Modelle steht auf der ADAC-Website bereit.
Der ADAC teilte BMW die Schwachstelle bereits im vergangenen Juli mit. Seither hat der Münchner Autobauer die Sicherheit von ConnectedDrive verbessert. Besitzer müssen ihr Fahrzeug jetzt allerdings nicht eigens in die Werkstatt bringen. Das Fahrzeugsystem sei durch BMW per Mobilfunk aktualisiert worden. Bis zum 31. Januar will der Hersteller die Kommunikation mit dem Fahrzeug bei sämtlichen Modellen verschlüsselt haben.
Fahrer, die sich nicht sicher sind, ob ihr Auto bereits abgesichert worden ist, können dies über das Bordcomputer-Menü “Dienste aktualisieren” überprüfen, wie ADAC-Sprecher Thiemel erklärt. Das sollten vorwiegend jene Besitzer tun, deren Autos über einen längeren Zeitraum keinen Mobilfunkempfang hatten – weil sie beispielsweise in einer Tiefgarage standen oder die Batterie abgeklemmt war. Alternativ können sie entsprechende Informationen über die BMW-Hotline unter der Telefonnummer 089/125016010 erhalten. Bislang liegen dem ADAC keine Erkenntnisse darüber vor, ob die Lücke auch tatsächlich für Einbrüche oder Autodiebstähle ausgenutzt wurde.
Mit ConnectedDrive ausgestattete Fahrzeuge verbinden sich über ein ins Bordsystem integriertes Mobilfunkmodul mit BMW. Dadurch sind die Autos in der Lage, sowohl Internet-Konnektivität zu liefern als auch Servicedaten an den Hersteller zu übertragen. Darüber hinaus ermöglicht die Funktion das Steuern der Heizung, Türverriegelung oder Klimaanlage per App.
Da BMW diese Funktionalitäten nur unzureichend absicherte, hätte ein Fahrzeug theoretisch per Smartphone geknackt werden können. Nach der Überarbeitung werden die Daten nun über eine HTTPS-Verbindung übertragen.
Der ADAC nutzt die Sicherheitslücke, um die Automobilhersteller auf die Notwendigkeit eines zeitgemäßen Schutzes der IT im Auto vor Manipulationen oder illegalen Zugriffen hinzuweisen. Dieser Schutz müsse nach Standards erfolgen, wie sie auch in anderen Wirtschaftszweigen, eben in der IT-Branche selbst, üblich sind. Außerdem solle diese Absicherung von neutraler Stelle bestätigt werden, etwa mittels einer Common-Criteria-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI).
[mit Material von Andre Borbe, silicon.de]