Tesla lässt Experten Tesla Model S hacken

Tesla hat Kevin Mahaffey von Lookout und Marc Rogers von Cloudflare ein Model S aus seiner Produktion zur Verfügung gestellt, um sich darüber klar zu werden, inwieweit die für vernetzte Automobile erforderlichen Sicherheitsmaßnahmen umgesetzt sind. Die beiden Sicherheitsexperten sollten ausdrücklich so gegen die Systeme des Fahrzeugs vorgehen, wie dies Kriminelle tun würden. Und obwohl sie dem Tesla Model S ein insgesamt gutes Sicherheitskonzept bescheinigen, fanden sie einige Ansatzpunkte, um in die Systeme einzudringen.

„Wir identifizierten sechs Schwachstellen im Model S, die es uns letztendlich – bei einmaligen physischen Zugriff auf das Fahrzeug – erlaubten, die volle Kontrolle über das Infotainment-System des Fahrzeugs zu übernehmen und jede Aktion auszuführen, die sich auch mit dem zentralen Touchscreen oder über Teslas Smartphone App ausführen lässt“, schreibt Mahaffey.

Das tabletartige Infotainmentsystem im Tesla Model S ist ganz klar noch eine Schwachstelle des Fahrzeugs (Bild: Tesla)

„In einem Fall konnten wir das Auto während der Fahrt abschalten. Bei niedriger Geschwindigkeit zieht das Auto die Parkbremse an und stoppt unmittelbar. Ab etwa 5 Meilen pro Stunde stellt das Model S seinen Motor elegant ab – so als ob man bei einem Benzinfahrzeug in den Leerlauf schalten würde – wobei aber der Fahrer die volle Kontrolle über Lenkung und Bremsen behält und so das Fahrzeug sicher zum Halt bringen kann.“

Details stellen die beiden Sicherheitsexperten auf der dieser Tage in Las Vegas stattfindenden DefCON 23 vor. Vorab geben sie Automobilherstellern aber drei Ratschläge, wie diese dafür sorgen können, dass ihre kommenden, vernetzten Fahrzeuge so sicher wie möglich sind.

Voraussetzung für die Ausnutzung der vorhandenen Sicherheitslücken war der physische Zugriff auf das Fahrzeug – womit die schlimmsten Horrorszenarien schon einmal ausgeschlossen werden können (Bild: Lookout).

Erstens empfehlen sie eine Möglichkeit, Fahrzeug-Software per Funk zu aktualisieren. Die jetzt von Fiat Chrysler aufgrund eines spektakulären Hack bei einem Jeep gewählte Möglichkeit, hat 1,4 Millionen internetfähige Fahrzeuge zurückzurufen, basiert auf alten Geschäftsmodellen der Automobilbranche, wo fehlerhafte Teile tatsächlich physisch Teile ausgetauscht werden mussten. In der Software-Welt, in der Fehler quasi zwangsläufig auftreten, sei das überholt: „Vernetzte Fahrzeuge sind eigentlich nichts anderes als Compute auf Rädern. PCs werden aber natürlich nicht bei jeder Schwachstelle, die in ihrer Software gefunden werden, in die Werkstatt beordert“, so Mahaffey.

Die zweite Empfehlung ist noch offensichtlicher und wird nicht das erste Mal gegeben: Die Infotainmentsysteme sind streng von den Systemen für die Fahrzeugsteuerung zu trennen. Dritten sei eine enge Zusammenarbeit zwischen Automobilherstellern und Sicherheitsexperten erforderlich. Cybersecurity müsse von Anfang an eingebaut, nicht erst nachträglich angetackert werden. Aber auch hier sind die meisten Hersteller auf einem guten Weg. BMW und Jeep hatten schon ihre ersten Nackenschläge und werden alles tun, um weitere zu vermeiden. Tesla ist die Sache jetzt mit Lookout und Cloudflare offensiv angegangen. Andere Hersteller führen ebenfalls Gespräche – sind aber zurückhaltender.

Ein großer Vorteil der Branche ist es, dass man vielfach schon gewohnt ist, Standards zu akzeptieren und sich auf andere Weise zu differenzieren. Viele Zulieferer in dem Bereich bedienen schließlich mehrere Marken. Und obwohl dieselbe Lenkung, dieselbe Lichtmaschine oder derselbe Luftmassenmesser unter der Motorhaube steckt, haben jedes Fahrzeug und jede Marke ihr eigenes Gesicht. Da dürfte es bei den für die Käufer letztendlich ja in der Regel nicht einmal sichtbaren Sicherheitsvorkehrungen ein Leichtes sein, sich zu verständigen.