ADAC deckt auf: Sicherheitslücken im BMW-Connected Drive

Einbruch per Laptop: IT-Experte des ADAC öffnet den BMW mit Connected Drive Technologie. Bild: ADAC

Der ADAC hat eine Sicherheitslücke im Fahrassistenzsystem Connected Drive von BMW entdeckt. „Dadurch können die Autos nach einmaliger Vorbereitung per Mobilfunk minutenschnell von außen geöffnet werden, ohne dass dies Spuren hinterlässt“, so der Automobilclub auf seiner Internetseite. Davon sollen weltweit über 2,2 Millionen Fahrzeuge und in Deutschland etwa 423.000 Fahrzeuge betroffen sein. Konkret handelt es sich um zahlreiche Modellreihen des bayrischen Autobauers sowie der Marken Mini und Rolls Royce, die seit 2010 mit Connected Drive ausgeliefert wurden.

Um das Einbruchs- und Diebstahlrisiko für die Fahrzeuge betroffener Halter nicht unnötig zu erhöhen, hat der in München ansässige Automobilclub eigenen Angaben zufolge mit der Veröffentlichung des Problems gewartet, bis der Hersteller die Sicherheitslücke in der Fahrzeugelektronik geschlossen hat. Laut ADAC hat BMW dies bis zum 31. Januar 2015 erledigt. Die Lösung: Der Autobauer hat die Kommunikation mit dem Fahrzeug verschlüsselt.

Für das Schließen der Sicherheitslücke …

… sind kein Werkstattbesuch und kein Teiletausch erforderlich, da das Einschalten der Verschlüsselung seit dem 8. Dezember 2014 im Hintergrund über Mobilfunk erfolgt. Die BMW-Halter können selbst nicht erkennen, ob ihr jeweiliges Fahrzeug bereits bearbeitet wurde. Wer hierzu Gewissheit haben will (etwa weil das Auto über einen längeren Zeitraum keinen Mobilfunkempfang hatte, z. B. in einer Tiefgarage oder wegen abgeklemmter Batterie), sollte sich an die BMW-Hotline (+49 89 1250 160 10) wenden.

Der ADAC fordert …

….die Automobilhersteller auf, Computertechnik im Auto zeitgemäß gegen Manipulation oder andere illegale Zugriffe zu schützen. Dieser Schutz muss nach Standards erfolgen, wie sie in anderen Wirtschaftszweigen (z. B. in der IT-Branche) üblich sind. Außerdem muss dieser Schutz von neutraler Stelle bestätigt werden, etwa per Common-Criteria-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn.

Der ADAC legt Wert auf…

…die Feststellung, dass der Club keine vollständige Sicherheitsüberprüfung von BMW-Fahrzeugen oder unternehmensinternen Prozessen durchgeführt hat. Diese Aufgabe obliegt allein dem Hersteller.
Wie der ADAC Experte der Sicherheitslücke auf die Spur kam, sowie alle ausführlichen technischen Details zum Problem und zur Lösung, finden sich auf www.adac.de/sicherheitsluecken.

Hier steht auch eine Liste aller betroffenen Modellreihen sowie ein Video parat.

Erklärung BMW Connected Drive:
Das System erlaubt den damit ausgestatteten Fahrzeugen, via Mobilfunk (und mittels fest verbauter SIM-Karte) Informationen mit dem Auto-Hersteller auszutauschen (je nach Modell u.a. Wartungsfälligkeiten, Batterie-Zustand, Stau-Daten). Außerdem können dem Fahrzeug per Smartphone-App über einen Hersteller-Server Befehle wie z. B. „Fahrertür öffnen“, „Hupe aktivieren“ etc. gesendet werden. Quelle: ADAC