Lücke in BMWs ConnectedDrive erlaubte unbefugtes Öffnen des Fahrzeugs

BMWs Infotainmentsystem ConnectedDrive wies jahrelang eine Sicherheitslücke auf, durch die Diebe theoretisch damit ausgestattete Fahrzeuge innerhalb von Minuten per Handy knacken konnten. Der ADAC wurde zufällig auf das Problem mit der Datenübertragung via Mobilfunk aufmerksam. Inzwischen hat BMW reagiert und die Schwachstelle beseitigt.

Der ADAC hat die Sicherheitslücke in BMWs Connected Drive entdeckt (Bild: ADAC).

Betroffen waren weltweit 2,2 Millionen Fahrzeuge der Marken BMW, Mini und Rolls Royce, die seit 2010 mit ConnectedDrive ausgeliefert wurden. In Deutschland sind es rund 432.000 Autos. Eine komplette Liste steht auf der ADAC-Website bereit.

Auf die Sicherheitslücke sei der Automobilclub bei einer Überprüfung gestoßen, welche Daten die mit ConnectedDrive ausgestatteten Autos übertragen, berichtet die Süddeutsche Zeitung. „Der technische Aufwand, um das Auto mit diesem Wissen zu öffnen, ist überschaubar. Es ist Hardware im Wert von unter 1000 Euro nötig und eine frei verfügbare Software“, zitiert die Zeitung ADAC-Sprecher Arnulf Thiemel.

Der ADAC informierte BMW bereits im Juli 2014 über die Schwachstelle. Seitdem hat der Münchner Automobilhersteller nach eigenen Angaben die Datensicherheit von ConnectedDrive erhöht. Für die Beseitigung der Schwachstelle müssen betroffene Autobesitzer nicht in die Werkstatt. Die Aktualisierung erfolgt automatisch, sobald sich das Fahrzeug mit dem BMW-Server verbindet oder der Fahrer die Dienstkonfiguration manuell aufruft. Die Online-Dienste von BMW ConnectedDrive kommunizieren danach über das HTTPS-Protokoll. Damit werden einerseits die Daten verschlüsselt und zusätzlich wird die Identität des BMW-Servers vom Fahrzeug geprüft, bevor Daten über das Mobilfunknetz ausgetauscht werden.

Fahrer die sich unsicher sind, ob ihr Auto bereits abgesichert wurde, können im Bordcomputer-Menü „Dienste aktualisieren“ wählen, erklärt ADAC-Sprecher Thiemel. Das sollten vor allem Besitzer tun, deren Autos über einen längeren Zeitraum keinen Mobilfunkempfang hatten, da sie etwa in einer Tiefgarage standen oder die Batterie abgeklemmt war. Alternativ erhalten sie Informationen von der BMW-Hotline unter der Telefonnummer 089/125016010. Bisher liegen dem ADAC keine Erkenntnisse darüber vor, dass die Sicherheitslücke für Straftaten wie Einbrüche oder Diebstähle genutzt wurde.

Fahrzeuge mit ConnectedDrive verbinden sich über ein integriertes Mobilfunkmodul mit dem BMW-Servern. Somit können die Autos eine Internetfunktion bieten oder Servicedaten an den Hersteller übertragen. Zudem ermöglicht das System, Funktionen wie Heizung, Türverriegelung oder Klimaanlage per App zu steuern. Hierin lag auch der Fehler, da BMW diese Funktionen nur unzureichend absicherte.

Der ADAC nahm die Sicherheitslücke zum Anlass, um die Automobilhersteller aufzufordern, Computertechnik im Auto zeitgemäß gegen Manipulation oder andere illegale Zugriffe zu schützen. Dieser Schutz müsse nach Standards erfolgen, wie sie in anderen Wirtschaftszweigen (etwa in der IT-Branche) üblich sind. Außerdem solle dieser Schutz von neutraler Stelle bestätigt werden, etwa per Common-Criteria-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI).

[mit Material von Andre Borbe, silicon.de]