Heute bieten praktisch alle Auto-Hersteller auch eine sogenannte Auto-App an. Damit kann man das Auto aus der Ferne bedienen: Öffnen und schliessen, Ladestand des Akkus checken oder den Motor starten. Praktisch und komfortabel.
Die Apps sind aber auch ein Sicherheits-Risiko. Denn Autos kann man damit elegant und ohne Spuren zu hinterlassen, stehlen. Die Sicherheitslücke entdeckt hat ein Team rund um Matthias Wübbeling, Sicherheitsexperte an der Universität Bonn.
250'000 heikle Datensätze für Auto-Apps gefunden
Im letzten Jahr stiessen die Forscher auf rund 250'000 Datensätze mit heiklen Zugangsdaten zu Auto-Apps: E-Mail-Adressen, Passwörter sowie Hinweise auf die zugehörige Automarke. Die Daten waren Autobesitzern gestohlen worden, teilweise sogar aus deren Passwortmanagern, wie Wübbeling erklärt. «Viele Leute haben die Passwörter für ihre ganzen Auto-Apps im Passwortmanager abgelegt.»
Zusammen mit einem Reporter-Team der ZDF-Sendung «Wiso» konnte Wübbeling betroffene Autobesitzerinnen und -Besitzer eruieren. Denn: Hat man Zugang zur App, zeigt diese den exakten Standort des betreffenden Fahrzeugs an und die Heimadresse der Besitzer. Ein gefundenes Fressen für Autodiebe.
Tesla-App bot die grösste Schwachstelle
Das Team überraschte einige Autohalter zu Hause und konnte zu deren Schrecken ihr Fahrzeug öffnen, starten und wegfahren. Dies war vor allem bei Tesla-Modellen der Fall. In einem Beispiel konnten die Forscher gleich vier Teslas einer Familie knacken.
Das Problem bei der Tesla-App: Die heiklen Daten sind nicht besonders stark gesichert. Es gibt beispielsweise keine standardmässig voreingestellte Zwei-Faktor-Authentifizierung.
Auch Ford und BMW mit Schwachstellen
Im Datensatz fanden sich auch Passwörter zu anderen Automarken. Doch nicht mit jeder App liess sich gleich viel Unheil anrichten. Bei einem Elektro-VW konnten die Sicherheitsexperten das Fahrzeug zwar orten und den Ladestand der Akkus anschauen, mehr aber nicht. Öffnen oder starten war nicht möglich. Bei einem Ford hingegen konnten die Forscher das Auto aufschliessen und starten. Wegfahren war aber nicht möglich. Ford wollte zum Thema keine Stellung nehmen.
Bei einem BMW liessen sich mittels App und Zugangsdaten die Türen entriegeln. So könnten Diebe Gegenstände aus dem Auto stehlen.
Zwei-Faktor-Authentifizierung bietet deutlich mehr Schutz
Sicherheitsexperte Matthias Wübbeling empfiehlt deshalb, unbedingt die sogenannte Zwei-Faktor-Authentifizierung zu benutzen. Diese muss bei einigen Herstellern wie etwa Tesla erst aktiviert werden. Doch: Selbst wenn ein PIN als zweiten Sicherheitsfaktor vorhanden war, konnte das Team von Matthais Wübbeling diesen bei Tesla mit den gestohlenen Daten zurücksetzen. Tesla antwortete auf Fragen dazu nur allgemein. Man wolle mögliche Schwachstellen beheben. Das Experiment zeigt: Für optimale Sicherheit kann eigentlich nur der Hersteller sorgen.