Zum Inhalt springen

Auto gehackt Sicherheitsrisiko Auto-App – wenn Hacker den Tesla kapern

Sicherheitsexperten konnten mithilfe geleakter Daten Autos öffnen, starten und wegfahren. Einfallstor waren Auto-Apps.

Heute bieten praktisch alle Auto-Hersteller auch eine sogenannte Auto-App an. Damit kann man das Auto aus der Ferne bedienen: Öffnen und schliessen, Ladestand des Akkus checken oder den Motor starten. Praktisch und komfortabel.

«Kassensturz» ist an Ihrer Meinung interessiert

Box aufklappen Box zuklappen

Die Apps sind aber auch ein Sicherheits-Risiko. Denn Autos kann man damit elegant und ohne Spuren zu hinterlassen, stehlen. Die Sicherheitslücke entdeckt hat ein Team rund um Matthias Wübbeling, Sicherheitsexperte an der Universität Bonn.

250'000 heikle Datensätze für Auto-Apps gefunden

Im letzten Jahr stiessen die Forscher auf rund 250'000 Datensätze mit heiklen Zugangsdaten zu Auto-Apps: E-Mail-Adressen, Passwörter sowie Hinweise auf die zugehörige Automarke. Die Daten waren Autobesitzern gestohlen worden, teilweise sogar aus deren Passwortmanagern, wie Wübbeling erklärt. «Viele Leute haben die Passwörter für ihre ganzen Auto-Apps im Passwortmanager abgelegt.»

Zusammen mit einem Reporter-Team der ZDF-Sendung «Wiso» konnte Wübbeling betroffene Autobesitzerinnen und -Besitzer eruieren. Denn: Hat man Zugang zur App, zeigt diese den exakten Standort des betreffenden Fahrzeugs an und die Heimadresse der Besitzer. Ein gefundenes Fressen für Autodiebe.

Tesla-App bot die grösste Schwachstelle

Das Team überraschte einige Autohalter zu Hause und konnte zu deren Schrecken ihr Fahrzeug öffnen, starten und wegfahren. Dies war vor allem bei Tesla-Modellen der Fall. In einem Beispiel konnten die Forscher gleich vier Teslas einer Familie knacken.

Das Problem bei der Tesla-App: Die heiklen Daten sind nicht besonders stark gesichert. Es gibt beispielsweise keine standardmässig voreingestellte Zwei-Faktor-Authentifizierung.

Stellungnahme Tesla

Box aufklappen Box zuklappen

Auf Anfrage von ZDF Wiso zu den offengelegten Schwachstellen antwortete Tesla Ende 2024: «Wir sind entschlossen, mit der Sicherheitscommunity zusammenzuarbeiten, um berechtigte Meldungen in Bezug auf Schwachstellen zu prüfen und nachzuvollziehen sowie darauf zu reagieren.» Auf erneute Anfrage von «Kassensturz», wie der Hersteller auf die gravierende Schwachstelle reagiert hat, antwortet Tesla nicht.

Auch Ford und BMW mit Schwachstellen

Im Datensatz fanden sich auch Passwörter zu anderen Automarken. Doch nicht mit jeder App liess sich gleich viel Unheil anrichten. Bei einem Elektro-VW konnten die Sicherheitsexperten das Fahrzeug zwar orten und den Ladestand der Akkus anschauen, mehr aber nicht. Öffnen oder starten war nicht möglich. Bei einem Ford hingegen konnten die Forscher das Auto aufschliessen und starten. Wegfahren war aber nicht möglich. Ford wollte zum Thema keine Stellung nehmen.

Bei einem BMW liessen sich mittels App und Zugangsdaten die Türen entriegeln. So könnten Diebe Gegenstände aus dem Auto stehlen.

Stellungnahme BMW

Box aufklappen Box zuklappen

Auf Anfrage von ZDF Wiso betont BMW, dass Starten und Wegfahren mittels App nicht möglich seien. Seit April letzten Jahres könnten sich Kunden statt eines Passworts auch für das neu eingeführte Pass-Key-Verfahren entscheiden. Das setzt auf Gesichtserkennung oder Fingerabdruck und biete mehr Sicherheit. Und: «Für Kunden, die das Passkey-Verfahren auch künftig nicht nutzen möchten, werden wir 2025 zusätzlich eine Zwei-Faktor-Authentifizierung anbieten.»

Zwei-Faktor-Authentifizierung bietet deutlich mehr Schutz

Sicherheitsexperte Matthias Wübbeling empfiehlt deshalb, unbedingt die sogenannte Zwei-Faktor-Authentifizierung zu benutzen. Diese muss bei einigen Herstellern wie etwa Tesla erst aktiviert werden. Doch: Selbst wenn ein PIN als zweiten Sicherheitsfaktor vorhanden war, konnte das Team von Matthais Wübbeling diesen bei Tesla mit den gestohlenen Daten zurücksetzen. Tesla antwortete auf Fragen dazu nur allgemein. Man wolle mögliche Schwachstellen beheben. Das Experiment zeigt: Für optimale Sicherheit kann eigentlich nur der Hersteller sorgen.

Kassensturz, 25.3.25, 21:10 Uhr

Meistgelesene Artikel