Als Wired vor ein paar Monaten einen Artikel mitsamt Video über den Live-Hack eines Jeeps veröffentlichte, wurde dem US-Magazin von verschiedenen Seiten vorgeworfen, allein aus Sensationsgründen über die Gefahren eines Angriffs auf vernetzte Autos zu berichten. Nun tauchte diese Kritik vor kurzem wieder auf – in einem Artikel auf Scientific American von Technologie-Autor David Pogue. In der Vergangenheit habe ich Pogues Beiträge über Technologie sehr geschätzt, aber ich war schockiert über seinen Artikel mit dem Titel „Why Car Hacking Is Nearly Impossible“ und hatte an einigen Stellen Probleme mit seiner Argumentation. Zudem bin ich verwirrt, weshalb Scientific American Pogues grundlegende Behauptung, dass ferngesteuert angreifbare Autos noch immer nur eine hypothetische Bedrohung seien, ohne jegliche Zitate und Belege veröffentlicht.
An alle Pogue-Fans: Es tut mir Leid, aber er liegt falsch. Das Fahrzeug, über das im Wired-Artikel berichtet wird, wurde tatsächlich ferngesteuert gehackt. Zwei Sicherheitsforscher haben aus einer nicht zu unterschätzenden Distanz die Kontrolle über vielfältige Funktionen in dem fahrenden Auto übernommen und hätten potenziell großen Schaden anrichten können. Und das war weder das erste noch das einzige Mal, dass so etwas bewerkstelligt wurde. Interessanterweise nennt Pogue selbst sogar Beispiele für derartige Fälle – allerdings ohne Links zu den entsprechenden wissenschaftlichen Artikel anzugeben. Hier zwei PDF-Dokumente für diejenigen, die sich näher mit dem Thema auseinandersetzen möchten:
- Comprehensive Experimental Analyses of Automotive Attack Surfaces
- Fast and Vulnerable: A Story of Telematic Failures
Wer weder Zeit noch Lust hat, sich die umfangreichen wissenschaftlichen Artikel durchzulesen, kann sich auch hier ein kurzes Video über einen ferngesteuerten Auto-Hack anschauen. Tatsache ist, dass unzählige Researcher – wie auch diejenigen aus Stefan Savages Gruppe an der University of California in San Diego – bereits gezeigt haben, wie vernetzte Autos aus der Ferne kompromittiert werden können. Und hierbei kamen Tools und Techniken zum Einsatz, die man durchaus als Hacking bezeichnen kann, auch wenn Pogues anregt, dass Forschung nicht mit mit Hacking gleichgesetzt werden dürfe.
Die Unternehmen, deren Produkte sich in diesen Angriffs-Szenarien wiederfinden – die zum Teil auch schon ein paar Jahre zurückliegen –, haben natürlich bereits Maßnahmen ergriffen, um die betroffenen Schwachstellen zu beheben. Auch Fiat Crystler America (FCA), welches den Jeep aus dem Wired-Hack sowie 1,4 Millionen weitere Fahrzeuge mitsamt der angreifbaren Schwachstellen auf die Straßen brachte, hat als Reaktion auf den Artikel Korrekturen vorgenommen. Allerdings wussten die Entwickler des Fahrzeugs schon vorher, dass es gehackt werden konnte. Allerdings hatte man entschieden, dass das Risiko eines Schadens nicht groß genug sei, um das Design zu ändern.
In diesem Fall war die Geschichte mit der Reparatur der Schwachstelle allerdings noch nicht beendet. Im Gegensatz zu Pogues Behauptung bedeutet die Reparatur von Systemschwachstellen nicht, dass das System nicht gehackt wurde – es sei denn, du definierst Hacking so eng, dass du im Grunde nichts anderes sagst als: „Es gibt keine Berichte über Vorfälle, bei denen eine reparierte Schwachstelle im Vorfeld mit kriminellen Absichten ausgenutzt wurde.“ In Anbetracht der Tatsache, dass der Patch-Prozess bei den zuvor genannten 1,4 Millionen Fahrzeugen ziemlich unüberlegt und unsicher anmutete, kann man argumentieren, dass die betroffenen Autos noch immer angreifbar sind. Ich frage mich, ob Pogue hierzu die Klage von Brian Flynn und Kelly Brown gegen FCA von August gelesen hat.
Ist trotzdem jemand der Meinung, dass ferngesteuert angreifbare Autos noch immer nur eine hypothetische Bedrohung sind, wie Pogue es behauptet? Zu den Synonymen von „hypothetisch“ gehören Begriffe wie „angenommen, ausgedacht, nicht real/wirklich, ungesichert, fiktiv“. Auf den Jeep-Hack, über den Wired berichtet hat, trifft keines dieser Wörter zu. Er ist tatsächlich passiert – wenn auch durch die Hand von gutwilligen Forschern. Das einzige, was als hypothetisch bezeichnet werden kann, ist, dass solche Angriffe bereits von kriminellen Hackern durchgeführt werden, nicht aber die Möglichkeit oder Bedrohung an sich. Denn die Schwachstellen, mit deren Hilfe man die Kontrolle über ein Auto übernehmen kann, existieren – genauso wie die Techniken und Tools.
Und um kurz auf die anfangs erwähnte Diskussion über die Veröffentlichung von Wired einzugehen: Mir gefällt der Gedanke auch nicht, dass wir Sicherheitslücken der Automobilindustrie in Live-Demonstrationen auf öffentlichen Straßen zur Schau stellen müssen. Idealerweise sollten Sicherheitsforscher im Hintergrund mit den Autounternehmen und deren Händlern zusammenarbeiten, um aufkommende Probleme so rasch wie möglich zu beheben und die Markteinführung von fehlerhaften Produkten zu verhindern. Wenn aber Research-Artikel, Demonstrationen auf Parkplätzen und direkte Meldungen Unternehmen nicht dazu bewegen können, proaktive Maßnahmen zu ergreifen, wählen die Researcher eben andere Ansätze, um sich Gehör zu verschaffen. Schließlich sind die Kriminellen nicht gerade dafür bekannt, dass sie ihren Opfern eine faire Warnung geben.