Suchen

Gastkommentar Symmetrische Schlüssel bei BMW – Auto knacken leicht gemacht

| Redakteur: Thomas Kuther

Mehr als zwei Millionen Fahrzeuge von BMW waren weltweit über einen längeren Zeitraum mit gravierenden Sicherheitslücken unterwegs, wie der ADAC zusammen mit deutschen Sicherheitsexperten vor Kurzem herausfand: Jedes Fahrzeug, das mit dem Infotainmentsystem Connected Drive ausgestattet ist, ließ sich in Tests per Mobilfunk binnen weniger Minuten öffnen.

Firmen zum Thema

Malte Pollmann: „Der Datenaustausch von Maschinen, Systemkomponenten und Sensoren bietet neue Einfallstore. Nur asymmetrische, kryptografische Verfahren sichern Daten und Transaktionen ausreichend ab.“
Malte Pollmann: „Der Datenaustausch von Maschinen, Systemkomponenten und Sensoren bietet neue Einfallstore. Nur asymmetrische, kryptografische Verfahren sichern Daten und Transaktionen ausreichend ab.“
(Bild: Utimaco)

Das Öffnen funktionierte so schnell und unauffällig, dass selbst Passanten keinen Verdacht schöpften. Die Sicherheitslücken betrafen die sogenannten Remote Services, die das Entriegeln der Fahrertür per Handy-App ermöglichen. Der Fehler: Alle Fahrzeuge verwendeten die gleichen symmetrischen Schlüssel für die kryptographischen Funktionen. Das heißt einmal entwendet, funktionieren sie auch bei anderen Autos der Marke – und das nicht nur in Deutschland, sondern auf der ganzen Welt. Zudem lief auch die Datenübertragung zu BMW ohne Transportverschlüsselung – ein schwerwiegender Fehler, der allerdings mittlerweile behoben ist.

BMW-Hack zeigt deutlichen Handlungsbedarf

Auch wenn die Lücke via Mobilfunk geschlossen werden konnte, bevor Angreifer die Lücke entdeckten und ausnutzten, zeigt der BMW-Hack doch deutlichen Handlungsbedarf. Will man in Zukunft intelligente Autos sicher nutzen können, sollten drei Bedingungen erfüllt sein.

Erstens: Jedes Fahrzeug benötigt individuelle kryptographische Schlüssel. Die Automobilhersteller müssen in ihren Sicherheitskonzepten für jedes Fahrzeug einen eigenen individuellen Schlüssel vorsehen. Zweitens kommt es auf die Qualität des kryptographischen Schlüsselmaterials an. Nur hochwertiges kryptographisches Schlüsselmaterial, erzeugt durch echte zugelassene Zufallszahlgeneratoren, sichert wertvolle Daten – und wie dieser Fall zeigt: auch wertvolle Güter – ausreichend ab.

Und drittens: Es gilt, auch die Zulieferer frühzeitig in das Sicherheitskonzept einzubinden. Dazu ist es unumgänglich, eine durchgehende Sicherheitskette zu entwickeln, in der auch die diversen Zulieferfirmen berücksichtigt sind und einen wesentlichen Bestandteil bilden. Darüber hinaus müssen die Hersteller auch dafür sorgen, dass die Sicherheitsanforderungen von allen Seiten eingehalten werden.

Hier dient die Finanzbrache und vor allem der Zahlungsverkehr als positives Beispiel, bei dem dieser Prozess bereits gut funktioniert. Denn die Verantwortlichen aus der Finanzwelt haben erkannt, dass nur Sicherheitsanker in Form von Hardware-Security-Modulen sicherstellen können, die Betriebsgeheimnisse und -informationen von Herstellern beim Zulieferer ausreichend zu schützen und zu kontrollieren.

In Sachen IT-Sicherheit hat die Industrie enormen Nachholbedarf

Sicherheitslücken wie beim Beispiel von BMW machen deutlich, dass die Industrie gerade bei der IT-Sicherheit noch einen weiten Weg zu gehen hat. So wird sich im Bereich Sicherheitssoftware ein Umdenken einstellen. Denn die produzierenden Unternehmen benötigen neben einem umfassenden Sicherheitskonzept, das bereits zu Beginn der Produktionskette greift, auch eine robuste, langlebige Implementierung der entsprechenden Lösungen.

Ein wesentlicher Aspekt bei der Weiterentwicklung der smarten Produkte sind zudem einheitliche Sicherheitsstandards, die für alle beteiligten Unternehmen gelten und sich überdies von neutralen Einrichtungen, wie dem Bundesamt für Sicherheit in der Informatik (BSI), zertifizieren lassen.

Essenzielles Krisenmanagement

Abgesehen von den technischen Baustellen zeigt der ADAC-Sicherheitstest auch, wie essenziell ein gut funktionierendes Krisenmanagement für Unternehmen ist. Nur wenn alle Prozesse harmonisch ineinander greifen, lassen sich auftretende Schwachstellen schnell beheben und somit Umsatzeinbußen sowie Imageschäden abwenden. Und dann können auch Autofahrer in Zukunft ihr Auto wieder mit der Sicherheit parken, dass nur sie den passenden Schlüssel haben, um es wieder zu öffnen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44908922)