IT-Sicherheit und Datenschutz

Datenkrake Auto

d'Lëtzebuerger Land du 27.01.2017

Vor zwei Jahren verschafften sich US-Hacker über das Infotainmentsystem eines Jeep Cherokee, Baujahr 2014, Zugang zu zentralen Funktionen: Sie drehten über Funk das Radio laut, sie manipulierten an der Temperatur, bis der Motor ausfiel. Die Sicherheitslücke veranlasste den Hersteller Fiat Chrysler, 1,4 Millionen Jeeps zurückzurufen. Ein Jahr später wiederholten die Hacker die Aktion. Über Funk bekamen sie keinen Zugriff, dafür gelang es ihnen, ihren Laptop über die OBD-Büchse anzuschließen. Die On-Board-Diagnose dient dazu, alle abgasbeeinflussenden Systeme zu überwachen. Über die Schnittstelle drangen die Hacker ein und manipulierten das Betriebssystem: Sie konnten den Wagen steuern und in einen Graben lenken.

Nicht so spektakulär, aber bemerkenswert ist der Hack, der dem iranischen Doktoranden Sasan Jafarnejad und seine Kollegen aus dem VehicularLab des Zentrums für Computersicherheit (SnT) der Uni Luxemburg gelang: Sie verschafften sich von außen Zugang zur Bordelektronik eines Renault Twizy. „Alles, was wir brauchten, war eine Software, die man für 100 Euro im Internet kaufen kann und etwas Zeit.“ Zwei Monate tüftelten Jafarnejad und sein Team, um das System zu hacken, auch der Zugangscode hielt sie nicht ab. „Das war nicht schwer.“ Die Studenten konnten das Elektroauto über ein Handy starten und beschleunigen. Ihren Hack wiederholten sie später, in etwas anderer Form, mit einem Toyota Prius.

Es sind Hacks wie diese, die dazu führen, dass in der Autobranche allmählich ein Umdenken erfolgt. „Mit der zunehmenden Digitalisierung werden Fragen der IT-Sicherheit immer dringlicher“, weiß Sasan Jafarnejad. Der Computerwissenschaftler hat sich auf Sicherheits- und Datenfragen rund ums Auto spezialisiert. Die Kehrtwende der Autohersteller kommt keine Minute zu früh, denn bereits heute sind diverse digitale Anwendungen in allen herkömmlichen Autos üblich: Radar und Kameras für die Einparkhilfe, Sensorsysteme, die die Außentemperatur messen, Antiblockiersystem und Einparkhilfen, Software, die die Abgaswerte und den Spritverbrauch kontrolliert, Wifi im Auto und digitales Radio: Das moderne Auto ist eine fahrende Messstation mit angeschlossenem Computer. Normalerweise haben außer dem Hersteller nur die Autowerkstatt und der Nutzer Zugriff auf die Daten. Dass Hacker über Schnittstellen in die digitalen Funktionskreisläufe eindringen und sie manipulieren könnten, darüber verschwendeten Entwickler zunächst weniger Gedanken. „Da spielte sicherlich die Kostenfrage eine Rolle“, mutmaßt Jafarnejad: „Digitale Sicherheit ist teuer.“

Inzwischen steuert die Branche auf das selbstfahrende Auto zu; vernetzt, in Kommunikation mit anderen Autos, der Infrastruktur, den Insassen. Hacker könnten diese Vernetzung stören oder so manipulieren, dass Unfälle geschehen, Autos verschwinden, Verkehrsflüsse behindert werden. Datenschützer warnen vor dem Hintergrund auch vor E-Call. Das europaweite Notrufsystem soll ab 2018 verpflichtend in alle Neuwagen eingebaut werden. Bei einem Unfall soll es automatisch per Mobilfunk einen Notruf an eine zentrale Leitstelle übermitteln. Das setzt voraus, dass das Auto stets geortet werden kann; was aber, wenn diese Funktion missbraucht wird?

Der US-Autohersteller Tesla ist ein Schwergewicht bei der Entwicklung selbstfahrender Elektroautos. Aber auch seine Fahrzeuge sind nicht vor Hacks geschützt. 2016 brachen chinesische Sicherheitsforscher über das schlüssellose Einstiegsystem und die mobile App in die Bordelektronik eines Tesla S ein und konnten ihn über Funk fernsteuern, den Kofferraum während der Fahrt öffnen, bremsen. Tesla stellte seinen Kunden daraufhin ein Sicherheits-Update zur Verfügung.

Der Schutz vor unerlaubten Zugriffen auf das Auto ist nur ein, wenngleich kruzialer Aspekt, in der Datenschutzfragen für Hersteller und Käufer relevant werden. Autos zeichnen unzählige Daten auf, über und für die Fahrfunktionen, die Umgebung, die Reiseroute, aber auch über das Fahrverhalten. Das ist sinnvoll und notwendig, wenn es darum geht, dass sich das Auto auf die jeweilige Fahrweise bestmöglich einstellt. Oder wenn ein Auto am Fahrstil des Fahrers bemerkt, ob er bei der Sache ist oder vielleicht ein erhöhtes Unfallrisiko besteht. Ein kleines Signal mahnt dann zu mehr Aufmerksamkeit.

Für Hersteller und Zulieferer sind Daten zum Fahrverhalten interessant, um Erkenntnisse für weitere technische Verbesserungen und die Entwicklung neuer Produkte und Applikationen zu gewinnen. Allerdings dürfen sie diese Informationen nicht einfach unbegrenzt nutzen. Die Europäische Datenschutz-Grundverordnung, die im Mai 2018 in Kraft treten wird, stärkt das Recht des Verbrauchers auf informationelle Selbstbestimmung. Was das für die Autoindustrie bedeuten wird, darüber machen sich Experten in ganz Europa derzeit Gedanken. Denn deren Leitprinzipien sind Datenvermeidung und Einwilligung, Hersteller sind angehalten, nur so viele Daten zu erheben, wie sie für die Funktionsfähigkeit und Entwicklung ihrer Produkte benötigen – und ihre Kunden zu informieren, deren Einwilligung sie brauchen. Es ist eine schwierige Gratwanderung in einer Welt, die zunehmend auf datenbasierte Geschäftsmodelle baut. Auch sollen Kunden über die gesammelten Daten und Verwendungszweck Bescheid wissen – und sie gegebenenfalls mitnehmen können, etwa wenn sie den Anbieter wechseln.

„Das ist klingt gut, bringt aber viele praktische Probleme. Ich wüsste schon aus Forschungsinteresse gerne, welche Daten mein Auto über mich sammelt, aber das ist oft nicht transparent“, kritisiert Sasan Jafarnejad. Eine Lösung wären Auto-Datenlisten: Sie würden alle Daten, die rund ums Auto erhoben werden, sowie ihren Verwendungszweck, für den Verbraucher nachvollziehbar aufführen. „Wir denken oft gar nicht darüber nach, wo welche Daten über uns entstehen und wozu sie verwendet werden können“, sagt Sasan Jafarnejad. „Wichtig wäre mehr Datenschutzbewusstsein beim Verbraucher“, so der IT-Forscher.

Nicht nur für Fahrzeughersteller sind die Autodaten interessant. Versicherungen können über Daten zur Fahrweise Telematik-Tarifsysteme entwickeln, die vorsichtigen Fahrern Preisnachlässe gewähren. Wer bei schlechtem Wetter über die Autobahn brettert oder häufig stark bremst, wäre im Nachteil, oder bekäme zumindest keinen Bonus. Auf einer App kann der Versicherte die Daten nachlesen, ein Sensor zeichnet Daten zur Geschwindigkeit, Bremsen und Beschleunigen auf, manche können Straßenart und Uhrzeit erfassen, weil Nachtfahrer mit einem größeren Risiko behaftet sind. Das ist keine Fiktion, Deutschlands größte Versicherung, die Allianz, bietet bereits solche Telematik-Tarife an, auf freiwilliger Basis. Auch bei Luxemburgs Versicherungen besteht großes Interesse: Sasan Jafarnejad wird in einem seiner nächsten Projekte zur Entwicklung einer solchen Telematik-App forschen. Mehr will der IT-Forscher aber vorerst nicht verraten.

Ines Kurschat
© 2017 d’Lëtzebuerger Land