Digital-Diebe im Dienst der guten Sache? Klingt absurd, doch viele Hacker decken Sicherheitslücken auf und melden sie an die Betreiber von Netzwerken. Auch an Autohersteller.
Hacker stellt man sich meist als finstere Typen vor. Als Menschen, die sich kriminell in Firmennetzwerke schleichen, sie lahmlegen oder Daten aus ihnen saugen. Die aus der Erpressung ihrer Opfer oder dem illegalen Verkauf von Daten Profit schlagen.
Legale Hacker-Wettbewerbe
Doch es gibt auch die Guten. Sie sind IT-Experten, die mit ihrem Wissen über Datensicherheit, das Aufspüren von Programmierfehlern und die Gefahren mangelhaft gesicherter Netzwerke ehrliches Geld verdienen. Der US-Amerikaner Sam Curry, 23, ist einer dieser Spezialisten. Er nimmt regelmäßig an Bug-Bounty-Wettbewerben von IT-Unternehmen teil. Die Auftraggeber fordern Hacker dazu auf, Sicherheitslücken, sogenannte bugs, in ihren Programmen oder Systemen aufzuspüren. Für jeden gefundenen Fehler bekommen die Teilnehmer eine Prämie; je sicherheitskritischer ihre Entdeckung ist, desto höher die Belohnung.
Ein Zufallsfund
Dass Sam Curry schier unglaublichen Sicherheitslücken in den digitalen Services der Automobilindustrie auf die Schliche kam, war allerdings eine Zufallsentdeckung. Zusammen mit einigen Freunden war Sam auf der Fahrt zu einer Konferenz für Cybersicherheit. Unterwegs machten sie Halt an einer Universität und sahen eine große Flotte von E-Scootern, die als Mietroller überall auf dem Campus standen. Einmal Hacker, immer Hacker: Sie konnten nicht widerstehen, mit der Mobil-App zu spielen, über die man die Scooter mieten konnte. Zu ihrer Überraschung gingen die Lichter und Hupen aller Scooter an, als sie die App manipulierten. Sie berichteten ihren Hack dem Betreiber und fragten sich, ob man auf so einfache Art nicht auch andere Fahrzeuge zum Hupen bringen könnte.
Schlimme Sicherheitslücken der Autohersteller
Autos zum Beispiel, die in den USA oft vergleichbare Telematik-Funktionen wie die Fernsteuerung von Licht und Hupe haben. Was Sam Curry und sein Team bei ihrer Suche nach Schwachpunkten von Telematik-Systemen, Schnittstellen und Netzwerken der Automobilhersteller fanden, ging allerdings viel weiter und offenbarte erschreckende Sicherheitsmängel. Sie hackten sich in Autos verschiedener Hersteller ein und kamen durch dieses Einfallstor teils bis in die Händler- und Werkstätten-Portale. Bei einigen Fabrikaten hätten sie auf Fahrzeug- und Kundendaten der gesamten Herstellerflotte zugreifen können.
Nur einige Beispiele von vielen
Bei BMW und Rolls-Royce konnten die Hacker mit wenigen Klicks auf das US-Händlerportal zugreifen und hätten dort Vertragsdaten einsehen können. Ihr Eindringen in das Ferrari-Netzwerk hätte es ihnen möglich gemacht, jeden Kundenaccount aufzurufen, zu manipulieren oder zu löschen. Für Ford-Fahrzeuge hätten sie die Standorte ermitteln und in den Bordrechnern Fahrzeugfunktionen umprogrammieren können. Bei Hyundai und Genesis genügten die Mailadresse eines Kunden und ihre Programmierkenntnis, um die Funktionen der Kunden-App zu kapern. Mit ihr lassen sich am Fahrzeug der Motor starten und stoppen, die Türen entriegeln, das Fahrzeug orten, das Licht einschalten und – ja, auch die Hupe betätigen, womit die Idee der Hacker begonnen hatte. Das Manipulieren der Hupe wäre allerdings nur das geringste Problem für die betroffenen Autohersteller.
Noch ein weiter Weg bis zum sicheren vernetzten Fahrzeug
Das Hacker-Team hat alle diese Fahrzeuge und Netzwerke nicht manipuliert, sondern die Hersteller über seine Ergebnisse informiert. Updates für solche Sicherheitslücken lassen sich zwar oft in wenigen Stunden umsetzen, doch das Gesamtbild ist alarmierend. Die Hacker waren ja nur durch Türen geschlüpft, auf die sie zufällig gestoßen waren. Vermutlich haben die Apps, Schnittstellen und Netzwerke noch viel mehr Sicherheitslücken, die systematischen Sabotageversuchen Tür und Tor öffnen würden. Nach den Vorstellungen der Industrie gehört die Zukunft vernetzten Fahrzeugen und automatisierten, sensor- und softwaregesteuerten Autos. Auf dem Weg zu dieser Vision haben die Hersteller noch eine Menge Hausaufgaben zu erledigen. Sam Curry gibt ihnen bestimmt gern Nachhilfe – gegen entsprechende Bezahlung.
