Autos von heute sind vernetzt. Mobilfunkanschlüsse sind offen oder versteckt in beinahe allen Fahrzeugen zu finden. Diese Netzanschlüsse stellen wie auch in der klassischen IT grundsätzlich ein Sicherheitsrisiko dar − denn was vernetzt ist, kann angegriffen werden. Die Parallele zu Computersystemen ist offensichtlich.

Inwiefern diese Netzzugänge für Hackerangriffe genutzt werden können, hängt von zahlreichen Faktoren ab:

• Patch-Level der Soft- und Firmware des Fahrzeugs: Wer sich hier an handelsübliche Computer erinnert fühlt, liegt nicht falsch. Das Mantra «patche häufig, patche früh» ist abgedroschen, trifft aber ebenfalls auf moderne Fahrzeuge zu.
• Benutzerverhalten: Wo setze ich Passwörter ein und wie stark sind diese?
• 2-Factor-Authentisierung:Bietet der Hersteller diese an und setzt sie der Benutzer ein? Auch dies kennen wir von professionellen Computersystemen.
• 3rd-Party-Systeme: Werden solche eingesetzt, um das Fahrzeug zu kontrollieren oder seinen Einsatz zu protokollieren?

Unabhängig von der Herstellermarke, sind die meisten Autos von den oben genannten Faktoren betroffen, auch wenn Unterschiede festzustellen sind. So beispielsweise in der Häufigkeit, mit der Patches zur Verfügung gestellt werden oder hinsichtlich Umfang der über das Netzwerk angebotenen Funktionen. In der Vergangenheit sind Fahrzeuge verschiedener Marken gehackt worden oder mussten wegen Software-Schwächen für ein Update von der Werkstatt zurückgerufen werden.

Ein aktueller Hack gegen Autos

Im Folgenden betrachten wir ein Fallbeispiel, bei dem eine kleine Unachtsamkeit des Benutzers für sein Fahrzeug und ihn selbst schwerwiegende Folgen gehabt hat. Auch Ihr Fahrzeug könnte betroffen sein!

Am 10. Januar 2022 hat David Colombo, ein junger Sicherheitsspezialist, mit einer Twitter-Meldung überrascht. Es sei ihm gelungen, ca. zwanzig Teslas weltweit zu übernehmen. Link zur Twitter-Meldung.

Erster Tweet von David Colombo zu diesem Thema

Die erste Verunsicherung war gross. Wie konnte das geschehen und was alles konnte Colombo tatsächlich kontrollieren?
Wer mehr Details über seinen Angriff erfahren möchte, kann dies auf der Website von www.merkur.denachlesen.

Für diesen Blog ist es hinreichend zu wissen, dass die Firma Tesla selber Apps für iOS und Android herausgibt, mit denen Tesla-Nutzer ihre Fahrzeuge über die Apps steuern können; beispielsweise den Ladevorgang starten, abbrechen oder auch nur prüfen, das Auto verriegeln oder öffnen, die Klimaanlage bequem 15 Minuten vor der Abfahrt starten und vieles mehr. Der Funktionsumfang der Schnittstelle zwischen Auto und App ist grössten Teils bekannt. So sind zahlreiche 3rd-Party-Apps und Server-basierte Systeme verfügbar geworden. Die angebotenen Lösungen sind zahlreich, als Beispiele seien genannt:

• Tessie
• TezLab
• TeslaLogger
• TeslaMate

Die beiden letztgenannten − TeslaLogger und TeslaMate − sind kleine Log-Management-Systeme, die über zahlreiche nützliche und auf jeden Fall für Tesla-Nerds spannende Dashboards verfügen. Da der Hack von Colombo via TeslaMate erfolgte, sind zur Illustration Screenshots von TeslaMate eingefügt.

Für Nerds mit Interesse an Auswertungen ist dies ein äusserst interessantes Werkzeug. Es erinnert ein wenig an Log-Management oder SIEM-Systeme,wie sie heute bei grösseren Firmen nicht mehr wegzudenken sind. Auch bei terreActive bilden sie das Rückgrat komplexer Cyber-Security-Dienstleistungen.Es ist daher verständlich, dass diese und ähnliche Tools weltweit von vielen Autobesitzer verwendet werden.

Wie ist der Angriff auf Tesla abgelaufen?

TeslaMate verfügt über Standard-Credentials. Die Anleitung weist darauf hin, dass diese im Rahmen der Installation geändert werden sollen, was ein verbreitetes Vorgehen bei der Installation von Software darstellt. Zusätzlich wird auf die Gefahren hingewiesen, wenn das Systeme vom Internet her zugänglich gemacht wird. Es wird empfohlen mit einem Reverse-Proxy TeslaMate zu schützen, bspw. in dem eine vorgelagerte Authentisierung und Verschlüsselung genutzt wird. Zu dem Zweck können verschiedene Webserver, wie Apache, oder dedizierte Reverse-Proxies genutzt werden. Auch dies erinnert an die professionelle IT, wo zu diesem Zweck Systeme eingesetzt werden, die die Eingaben zusätzlich auf erlaubte und unerlaubte Befehle prüft − also Web-Application-Firewalls (WAF, z. B. AirLock).

Wenn diese Vorkehrungen nicht getroffen werden und insbesondere das System über ein Standardpasswort erreichbar ist, kann jeder, der im Internet auf einen solchen Server stösst, mit eben diesem Passwort einloggen.

David Colombo ist es gelungen ein paar Dutzend Installationen von TeslaMate zu finden, die mit dem Standardpasswort via Internet erreichbar waren. Ein eigentlicher Hack war das nicht und auch dem Hersteller von TeslaMate, noch Tesla selber kann man in dieser Situation einen Vorwurf machen. Jedes System, das erreichbar ist und das mit einem bekannten Default- oder Standardpasswort geschützt ist, ist de facto für jeden Besucher offen.

Remote Apps − ja oder nein?

Der Autor dieses Blogs, Mitarbeiter bei terreActive, benutzt seit Juni 2021 TeslaMate mit grossem Vergnügen. Seine TeslaMate-Instanz ist dank starkem Passwort und weiteren Schutzmassnahmen nicht via Internet zu erreichen. Die Bewertung von Chancen und Risikenhat ergeben, dass der Nutzen solcher Werkzeuge auch ohne Internetzugang hoch ist. Dafür ist das Risiko, dass Unbefugte das Auto öffnen oder gleich damit wegfahren können, stark reduziert.

Best Practices gegen Hackerangriffe auf Autos

Zusammengefasst nochmals alle Empfehlungen aus diesem Blog, die Sie als Autofahrer befolgen sollten:

• Regelmässig patchen
• Standardpasswort sofort ändern und starke Passwörter einsetzen
• Wenn immer möglich 2-Faktor-Authentisierungbenutzen
• Netzwerkzugänge prüfen und gegebenenfalls einschränken
• Zugänge durch starke Schutzsoftware absichern (WAF)
• Nicht nur die Fahrzeugsoftware selber prüfen, auch dazugehörige 3rd-Party-Systeme

Mit diesen Massnahmen kann das Risiko auf ein kleines, vertretbares Mass reduziert werden. Somit dürfte der Spass mit dem «am stärksten motorisierten Computer, den ich je besass» weiterhin gross bleiben.

Ein Blick zurück zu unserer Eingangsfrage «Sind Autos ein Ziel für Hackerangriffe?»
Unsere Antwort «Ja, aber...» Jetzt wissen Sie warum. Bleiben Sie sicher.