Zuerst die schlechte Nachricht: Es sind potenziell noch viel mehr Automarken als im Titel erwähnt betroffen. So auch:
Bei Fahrzeugen dieser Marken könne ein Sicherheitssystem eingebaut sein, das Kriminelle mit relativ einfachen Mitteln aushebeln könnten, wie golem.de berichtet.
Konkret geht es um die Möglichkeit, die elektronische Wegfahrsperre zu überlisten. Der sogenannte Immobilisierer ist mit dem Zündsystem des Fahrzeugs verbunden und erkennt, ob ein RFID-Chip in den Autoschlüssel eingebaut ist. Wenn dieser Chip fehlt, geht der Bordcomputer des Fahrzeugs von einem nachgemachten Schlüssel und einem Diebstahlversuch aus und verhindert den Start des Motors.
Forschern aus den Niederlanden und aus Grossbritannien gelang es vor Jahren, die Verschlüsselung zu knacken und Autos zum Teil innert weniger Minuten zu starten.
An einem internationalen Computer-Sicherheitskongress wollten die Forscher 2013 über ihre Erkenntnisse berichten. Doch liess ihnen VW gerichtlich untersagen, Detailinformationen über die Sicherheitslücke zu veröffentlichen. Der ungewöhnliche Schritt erfolgte, obwohl die Wissenschaftler den Autokonzern ein Dreivierteljahr vor dem geplanten Publikationstermin informiert hatten.
Die VW-Anwälte begründeten den Antrag an ein britisches Gericht laut «Guardian» damit, dass es die Veröffentlichung jedem und «besonders einer technisch raffiniert vorgehenden Bande ermöglicht, mit den passenden Werkzeugen die Sicherheitsbarriere zu überwinden und ein Auto zu stehlen».
Nun – zwei Jahre später – ist der wissenschaftliche Beitrag im Internet verfügbar (als PDF-Dokument). Und die Forscher werden an der Usenix-Konferenz vom 14. bis 16. August in Washington D.C. ihre Arbeit präsentieren. Dies hat der renommierte amerikanische Tech-Blog Ars Technica am Mittwoch berichtet.
Nachdem die Forscher über ein Jahr mit VW verhandelt hatten, stimmte das Unternehmen der Publikation des leicht redigierten Beitrages zu. Was wurde geändert? Laut Ars Technica musste ein einzelner Satz gelöscht werden.
VW will nicht auf die Details des «einvernehmlichen Vergleichs» eingehen, wie ein Pressesprecher erklärte.
Dass die Autohersteller so aggressiv reagiert hatten, liege an der Problematik des Hacks, fasst golem.de zusammen. Das Problem lasse sich nicht mit einem Software-Update lösen, da die Komponenten nicht updatefähig seien. Und: «Eine teure, weil arbeitsintensive Austauschaktion von Schlüsseln und Transpondern wäre erforderlich gewesen, wovor die Unternehmen wohl zurückschreckten.»
VW bestätigt: «Eine Änderung der Hardware an Fahrzeugen, die sich bereits in Serie befinden, ist in der Regel nicht möglich.» Stattdessen schickte man die Anwälte los.
Die Forscher betonten bei der Gerichtsverhandlung in London, dass sie «verantwortlich handelnde Akademiker» seien. Die Öffentlichkeit habe aber ein Recht darauf, die Schwächen eines Sicherheitssystems zu sehen. Ansonsten wüssten nur die Industrie und die Kriminellen Bescheid. Der Richter wiederum war anderer Ansicht. Zwar hätten die Wissenschaftler das Recht, zu veröffentlichen. Doch in diesem Fall würde das bedeuten, dass Autodiebstähle begünstigt würden.
Wissenschaftler haben auch schon früher die Sicherheitssysteme von Autoschlüsseln geknackt und auf Schwachstellen hingewiesen.
Gegenüber watson nimmt Volkswagen-Sprecher Peter Weisheit in einem längeren Schreiben Stellung. Die Hürde für den Diebstahlschutz werde ständig weiter nach oben gelegt, trotzdem könne es letztlich keine 100-prozentige Sicherheit geben. «Einerseits rüsten sich Kriminelle mit entsprechend aufwendigen Angriffswerkzeugen aus, die über das Internet jedem verfügbar sind, andererseits wird der Diebstahlschutz dadurch herab gesetzt, dass wir beispielsweise, die vom Gesetzgeber geforderte OBD-Schnittstelle (On Board Diagnose) sowie die dazugehörigen Prozesse und Dokumente jedermann zur Verfügung stellen müssen.»
Daneben gebe es Wissenschaftler wie die Mitarbeiter der Universität Nijmegen und Universität Birmingham, die sich die Aufgabe gestellt hätten, Sicherheitstechnologien auf systematische Schwächen zu analysieren. Bei der Untersuchung habe sich gezeigt, das die Wegfahrsperren älterer Fahrzeugmodelle nicht das gleiche Sicherheitsniveau hätten wie die von aktuellen Fahrzeug-Modul-Baukästen (z.B. aktueller Golf 7, und aktueller Passat B8). «Das lässt sich nicht vermeiden», so der Pressesprecher.
Auch bei den älteren Modellen aus der VW-Produktpalette, mit deren Wegfahrsperre sich die Forscher befassten, benötige der Angreifer «grundsätzlich mindestens einen fahrberechtigten Schlüssel, sowie die technisch aufwendige Protokollierung von mindestens zwei erfolgreichen Startvorgängen.» Aus diesen Gründen sei der Diebstahlschutz auch bei diesen älteren Fahrzeuge grundsätzlich weiterhin gewährleistet.
