München:

BMW musste Sicherheitslücke schließen: Autos konnten per Handy geöffnet werden

Stand: 30.01.15 19:09 Uhr

Der Autokonzern BMW hat eingeräumt, dass er eine brisante Sicherheitslücke schließen musste: Der ADAC hatte bei BMWs mit dem System ConnectedDrive festgestellt, dass die Autos über Mobilfunk von außen geöffnet werden konnten. Der Club hatte dies an mehreren Fahrzeugen nachgewiesen. Mit einer neuen Konfiguration hat die BMW Group die Lücke nun geschlossen. Sie wurde online auf die Fahrzeuge aufgespielt. "Der Zugriff auf fahrrelevante Funktionen war zu jeder Zeit ausgeschlossen", betont BMW.

Laut BMW sind weltweit 2,2 Millionen, in Deutschland etwa 423 000 Autos der Marken BMW, Mini und Rolls Royce betroffen, die seit 2010 mit ConnectedDrive ausgeliefert wurden. BMW hat das Problem durch eine Verschlüsselung der Kommunikation mit dem Fahrzeug beseitigt.

„Als verantwortungsbewusster Verbraucherschützer haben wir mit der Veröffentlichung dieser Sicherheitslücke gewartet, bis sie laut Hersteller geschlossen wurde, um hier keine kriminellen Nachahmer auf den Plan zu rufen", so der ADAC Vizepräsident für Technik, Thomas Burkhardt. Bisher liegen dem ADAC auch keine Erkenntnisse darüber vor, dass die Problematik für Straftaten wie Einbrüche oder Diebstähle genutzt wurde.

Für das Schließen der Sicherheitslücke sind kein Werkstattbesuch und kein Teiletausch erforderlich, da das Einschalten der Verschlüsselung seit dem 8. Dezember 2014 im Hintergrund über Mobilfunk erfolgt. Die BMW-Halter können nicht selbst erkennen, ob ihre Fahrzeuge bereits bearbeitet wurden. Wer hierzu Gewissheit haben will (etwa weil das Auto über einen längeren Zeitraum keinen Mobilfunkempfang hatte, z. B. in einer Tiefgarage oder wegen abgeklemmter Batterie), sollte sich an die BMW-Hotline (+49 89 1250 160 10) wenden.

Die Aktualisierung erfolgt laut BMW automatisch, sobald sich das Fahrzeug mit dem BMW Group Server verbindet oder der Fahrer die Dienstkonfiguration manuell aufruft. Die Online-Dienste von BMW Group ConnectedDrive kommunizieren seitdem über das HTTPS-Protokoll (HyperText Transfer Protocol Secure), das bislang schon bei Online Entertainment und beim Internet zum Einsatz kommt. Damit nutzen die BMW Group ConnectedDrive Angebote im Fahrzeug die Verschlüsselung, die in den meisten Fällen auch von Geldinstituten für das Online-Banking angewandt wird. Mit dem HTTPS-Protokoll werden einerseits die Daten verschlüsselt und zusätzlich wird die Identität des BMW Group Servers vom Fahrzeug geprüft, bevor Daten über das Mobilfunknetz ausgetauscht werden.

Der ADAC fordert die Automobilhersteller auf, Computertechnik im Auto zeitgemäß gegen Manipulation oder andere illegale Zugriffe zu schützen. Dieser Schutz muss nach Standards erfolgen, wie sie in anderen Wirtschaftszweigen (z. B. in der IT-Branche) üblich sind. Außerdem muss dieser Schutz von neutraler Stelle bestätigt werden, etwa per Common-Criteria-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn. Der ADAC legt auf die Feststellung Wert, dass der Club keine vollständige Sicherheitsüberprüfung von BMW-Fahrzeugen oder unternehmensinternen Prozessen durchgeführt hat. Diese Aufgabe obliegt alleine dem Hersteller.