+
Das sogenannte ConnectedDrive-System sei über Jahre unzureichend gegen Hackerangriffe geschützt gewesen.

ADAC findet IT-Sicherheitslücke bei BMW-Modellen

Der ADAC hat eine Sicherheitslücke bei BMW-Modellen entdeckt: Die Autos ließen sich per Mobilfunk öffnen. Der Hersteller hat bereits reagiert, die Schwachstelle ist behoben.

Technisch versierte Autodiebe hätten bis vor wenigen Wochen unter Umständen bei weltweit 2,2 Millionen BMW-Fahrzeugen via Mobilfunk die Türen öffnen können. Die Funktionen zum Entriegeln oder zum Steuern der Heizung seien bei Autos mit dem sogenannten ConnectedDrive-System über Jahre unzureichend gegen Hackerangriffe geschützt gewesen, teilte der ADAC mit. Das Problem wurde inzwischen behoben, wie eine BMW-Sprecherin sagte.

Sicherheitslücke durch Zufall entdeckt

Der Autoclub hatte die Sicherheitslücke zufällig bei Tests entdeckt. Betroffen waren Autos, die seit März 2010 mit dem Vernetzungs-System ConnectedDrive ausgeliefert wurden.

Der ADAC hatte BMW vor der Veröffentlichung bereits im Juli 2014 über seine Entdeckung informiert. So habe die BMW die Sicherheit des Systems erhöhen können, "bevor überhaupt von außen aktiv Daten von Unbefugten abgerufen werden konnten oder auch nur ein Versuch dieser Art gestartet wurde", sagte die Sprecherin. Eine Fahrt in die Werkstatt sei dafür unnötig gewesen, betonte BMW. Die Anpassungen seien automatisch online erfolgt, ohne dass die Kunden etwas tun mussten.

Via Smartphone ins System 

ConnectedDrive vernetzt Fahrzeuge mit BMW über ein eingebautes Mobilfunkmodul. Das ermöglicht neben Internetfunktionen die Übertragung von Servicedaten sowie die Bedingung von Funktionen wie Heizung, Türverriegelung oder Klimaanlage via Smartphone-App. Genau diese Funktionen waren betroffen, denn anders als etwa der Internetzugang war dieses System weniger geschützt. Diese Verschlüsselung habe BMW inzwischen angepasst. Nun übertragen auch diese Systeme die Daten über eine geschützte https-Verbindung, wie etwa beim Online-Banking.

Problem bei BMW ConnectedDrive

Der Autoclub hatte das Schlupfloch zufällig gefunden. "Wir haben gar nicht nach Sicherheitslücken gesucht. Wir wollten vor allem wissen, was für Daten solche Autos übertragen", sagte ADAC-Technikexperte Arnulf Thiemel. "Um das herauszufinden, hat unser Mobilfunkexperte das Steuergerät des Fahrzeugs angeschaut. Dort haben wir die Lücke gefunden." Mit der nötigen Ausrüstung sei das Fahrzeug dann in wenigen Minuten geöffnet worden.

Zu hoher technischer Aufwand für Autodiebe

"Der technische Aufwand, um das Auto mit diesem Wissen zu öffnen, ist überschaubar. Es ist Hardware im Wert von unter 1000 Euro nötig und eine frei verfügbare Software", sagte Thiemel. Allerdings: Für einen Autodieb dürfte das Verfahren erheblich mehr Aufwand bedeuten, als das Fahrzeug mechanisch zu öffnen.

Top 10 der Autodiebe

Top 10 der Autodiebe

dpa

Auch interessant

Mehr zum Thema

Meistgelesene Artikel

Mit diesen einfachen Tricks sparen Sie Sprit
Die Spritkosten auf einer längeren Autoreise werden oft unterschätzt. Damit am Ende keine böse Überraschung wartet, sollten Autofahrer ihre Fahrweise anpassen.
Mit diesen einfachen Tricks sparen Sie Sprit
Dafür steht das "E" auf Auto-Kennzeichen wirklich
Haben Sie sich schon mal gefragt, warum manche Autos auf dem Nummernschild am Ende ein "E" stehen haben? Wir verraten Ihnen, was das bedeutet.
Dafür steht das "E" auf Auto-Kennzeichen wirklich
Steht hier der schlechteste Parker Oberbayerns - oder gar Deutschlands?
Klar, Einparken ist oft nicht so leicht - wenn die Lücke eng ist oder die Verkehrssituation knifflig. Und wenn nicht? Wir präsentieren: den vielleicht schlechtesten …
Steht hier der schlechteste Parker Oberbayerns - oder gar Deutschlands?
Fahrräder mit dem Auto transportieren - darauf müssen Sie achten
Das Wetter lädt wieder zu ausgiebigen Radtouren ein. Aber oft muss der Drahtesel zum Start gebracht werden. Mit diesen Tipps transportieren Sie Räder richtig.
Fahrräder mit dem Auto transportieren - darauf müssen Sie achten

Kommentare

Ab dem 25.5.2018 gilt die Datenschutzgrundverordnung. Dazu haben wir unser Kommentarsystem geändert. Um kommentieren zu können, müssen Sie sich bei unserem Dienstleister DISQUS anmelden. Sollten Sie zuvor bereits ein Profil bei DISQUS angelegt haben, können Sie dieses weiter verwenden. Nutzer, die sich über den alten Portal-Login angemeldet haben, müssen sich bitte einmalig direkt bei DISQUS neu anmelden.