Fahrzeuge des BMW-Konzerns mit dem Kommunikationssystem Connected Drive waren mehr als vier Jahre lang nur unzureichend gegen unbefugten Zutritt geschützt. ADAC-Tester hatten die Sicherheitslücke zufällig bemerkt. Jetzt hat BMW sie klammheimlich durch ein Over-the-Air-Update geschlossen.
Jahrelang waren Fahrzeuge von BMW durch eine Sicherheitslücke leicht zu knacken. Der technische Aufwand, um das Auto zu öffnen, sei überschaubar, betont der ADAC.
(Bild: BMW)
Autoknacker hätten bis vor wenigen Wochen mit technischem Know-how die Türen von rund 2,2 Millionen Fahrzeugen der BMW-Group geräusch- und spurlos öffnen können. Den Weg öffnete ein nicht verschlüsseltes Mobilfunk-Modul. Die Funktionen im sogenannten Connected-Drive-System zum Entriegeln oder zum Steuern der Heizung seien jahrelang unzureichend gegen Hackerangriffe geschützt gewesen, berichtet der ADAC. Betroffen sind Modelle aller drei Konzernmarken.
Das Problem wurde laut Hersteller inzwischen behoben. Man habe auf die Hinweise des Clubs hin „schnell reagiert“, sagte eine BMW-Sprecherin. Einen Zugriff auf fahrrelevante Funktionen war laut dem Unternehmen „zu jeder Zeit ausgeschlossen“. Gefährdet waren Autos, die seit März 2010 mit dem Vernetzungs-System Connected Drive ausgeliefert wurden. In Deutschland sind laut dem ADAC 423.000 Fahrzeuge betroffen, in Europa 1,2 Millionen. Fahrzeuge mit Produktionsdatum ab dem 9. Dezember 2014 haben diese Sicherheitslücken nicht mehr.
Der ADAC hatte BMW vor der Veröffentlichung bereits im Juli 2014 über seine Entdeckung informiert. So habe BMW die Sicherheit des Systems erhöhen können, „bevor überhaupt von außen aktiv Daten von Unbefugten abgerufen werden konnten oder auch nur ein Versuch dieser Art gestartet wurde“, sagte die Sprecherin. Eine Fahrt in die Werkstatt sei dafür unnötig gewesen, betonte BMW. Die Anpassungen seien automatisch online erfolgt, sobald sich das Fahrzeug mit dem BMW Group Server verbunden oder der Fahrer die Dienstkonfiguration manuell aufgerufen hatte.
Der Autoclub hatte das Schlupfloch zufällig gefunden. „Wir haben gar nicht nach Sicherheitslücken gesucht. Wir wollten vor allem wissen, was für Daten solche Autos übertragen“, sagte ADAC-Technikexperte Arnulf Thiemel. „Um das herauszufinden, hat unser Mobilfunkspezialist das Steuergerät des Fahrzeugs angeschaut. Dort haben wir die Lücke gefunden.“ Mit der nötigen Ausrüstung sei das Fahrzeug dann in wenigen Minuten geöffnet worden.
„Der technische Aufwand, um das Auto mit diesem Wissen zu öffnen, ist überschaubar. Es ist Hardware im Wert von unter 1.000 Euro nötig und eine frei verfügbare Software“, sagte Thiemel. Allerdings: Für einen Autodieb dürfte das Verfahren erheblich mehr Aufwand bedeuten, als das Fahrzeug mechanisch zu öffnen.
Connected Drive vernetzt Fahrzeuge mit BMW über ein eingebautes Mobilfunkmodul. Das ermöglicht neben Internetfunktionen die Übertragung von Servicedaten sowie die Bedingung von Funktionen wie Heizung, Türverriegelung oder Klimaanlage via Smartphone-App. Genau diese Funktionen waren betroffen, denn anders als etwa der Internetzugang war dieses System weniger geschützt. Diese Verschlüsselung habe BMW inzwischen angepasst. Nun übertragen auch diese Systeme die Daten über eine geschützte https-Verbindung, wie etwa beim Online-Banking.
Dieser Beitrag stammt ursprünglich von unserem Schwesterportal KFZ-Betrieb.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.