Es wäre mal ein Lichtblick gewesen für die von Abgastrickserei und Grenzwertdiskussionen geplagte Autobranche. Dank laufend verbesserter Technik sei es der Autoindustrie gelungen „die Zahl der Diebstähle seit 1999 um 87 zu reduzieren”, lobte Matthias Wissmann – einst Bundesverkehrsminister und jetzt als Präsident des Verbands der Autoindustrie (VDA) oberster Autolobbyist des Landes – im Januar noch seine Branche.
Doch lange, so scheint es, dürfte sich der Verband an diesem Erfolg nicht mehr erfreuen können. Grund sind brisante Testergebnisse des ADAC, die der Automobilclub vergangene Woche veröffentlicht hat. Danach haben eine Vielzahl von Modellen in- und ausländischen Autohersteller eine haarsträubende Sicherheitslücke bei berührungslosen Schlüsselsystemen.
Die Keyless-Technik macht es Dieben geradezu sträflich leicht, Autos ohne Einsatz von Gewalt und völlig spurlos innerhalb von Sekunden zu öffnen, sie zu starten und damit zu verschwinden. Eine Übersicht der vom ADAC getesteten und für solche Attacken anfälligen Fahrzeuge und Hersteller, die der WirtschaftsWoche vorliegt, liest sich wie das Who-is-Who der internationalen Autobranche. Sie umfasst Kleinwagen, SUVs und Luxuskarossen, und sie reicht vom aktuellen Audi A3 über BMWs Siebener, Fords Eco-Sport und den Lexus RX 450h bis zu den jüngsten Baureihen von VWs Volumenmodellen Golf und Touran.
„Jeder von uns seit Anfang 2016 untersuchte Wagen mit Keyless-Technik hat diese Schwachstelle“, sagt Arnulf Thiemel, Experte für Automobilelektronik vom ADAC-Technikzentrum in Landsberg am Lech. „Nach unseren Schätzungen sind Hunderttausende Fahrzeuge betroffen.“ Alles, was es brauche, um die Wagen zu öffnen und zu starten, sei handelsübliche Funktechnik und das technische Verständnis eines Elektronik-Azubis oder aus dem Elektrotechnik-Grundstudium.
Fluch der Bequemlichkeit
Die Sicherheitslücke steckt in einem Extra, das die Autohersteller mittlerweile in fast allen Fahrzeugklassen und in der Regel gegen gut dreistellige Aufpreise anbieten: Sogenannte Keyless-Schließsysteme, kleine meist streichholzschachtelgroße Funkmodule, die es Autobesitzern ermöglichen ihre Fahrzeuge zu öffnen und zu starten, sofern sie die Sender nur nah genug ans, beziehungsweise ins Auto bringen.
Wie IT-Experten einen BMW geknackt haben
Wenn der Besitzer in der BMW-Remote-App die Türentriegelung veranlasst, erhält das Fahrzeug eine SMS vom BMW-Backend. Es holt daraufhin den Öffnungsbefehl von einem Server und führt in aus – während der Hacker mitliest.
Der Besitzer gibt der App den Befehl "Entriegle Tür". Die Daten werden per Mobilfunk übertragen und können von einem Hacker mitgelesen werden.
Die BMW-Server senden per SMS die Anweisung "Hole Befehl" an das Auto. Dort fährt das Modem im Steuergerät hoch.
Über die gesicherte Datenverbindung zum BMW-Backend fragt das Auto bei den BMW-Server nach, ob ein Remote-Service-Befehl vorhanden ist.
Daraufhin gibt das BMW-Backend dem Auto die Anweisung "Entriegle Tür" – und das Auto wird aufgeschlossen.
Ein Hacker kann mit einer tragbaren Mobilfunk-Basisstation ohne Zutun des Besitzers gefälschte SMS und Daten an das Fahrzeug senden, um die Tür zu entriegeln. Dazu muss er mit seinem Vorwissen die Schritte 2 bis 4 durchführen. Der Besitzer bekommt von den Vorgängen nichts mit – bis auf die Tatsache, dass sein Auto ausgräumt oder komplett gestohlen wurde.
Den Schlüssel ins Tür- oder Zündschloss zu stecken, ist nicht mehr nötig. Weil die Funkverbindung zwischen Sender und Fahrzeug ein bis zwei Meter weit reicht, genügt es, ihn in der Tasche zu haben. Das Auto öffnet sich, sobald der Besitzer nah genug herantritt und an den Türgriff packt. Der Fahrer seigt ein, startet per Knopfdruck den Motor und fährt los — ohne den Schlüssel je aus der Tasche zu holen. Umgekehrt verriegelt das System den Wagen, sobald der Fahrer – und in seiner Tasche der Sender – sich weiter als ein paar Schritte vom Auto entfernen.
So weit, so gut. Oder eher: So weit, so schlecht.
Problematisch wird der Komfort, wenn Hacker die Funkverbindung zwischen Sicherheitsmodul und Auto mit eigener Sendetechnik verlängern. Das ist möglich, obwohl die Sendeleistung des Sicherheitsmoduls im Fahrzeug, das den Wagen entsperrt und den Startknopf am Armaturenbrett aktiviert, nach ADAC-Messungen nur kurz bis vors Auto reicht. Dafür funkt der Schlüssel umso weiter. Die ADAC-Tester haben nach eigenen Angaben aus mehr als zehn Metern Distanz noch verwertbare Signale empfangen. Das reiche locker, um sich als Dieb mit einem eigenen Empfänger vor die Haustür zu stellen, die Codes zu empfangen und an ein eigenes Sendemodul zum Fahrzeug zu übertragen.
Besonders perfide: Indem die Diebe den Austausch der Sicherheitscodes zwischen Schlüssel und Auto über die ihre Funkbrücke einfach weiter leiten, müssen sie nicht einmal den – üblicherweise verschlüsselten – Entsperrbefehl fürs Auto selbst knacken. Denn Schlüssel und Auto glauben ja, direkt miteinander zu kommunizieren.