Autoeinbruch: BMW Connecteddrive gehackt

Der ADAC hat eine Sicherheitslücke bei der Connecteddrive-Funktion von BMW gefunden, die auch bei Mini und Rolls Royce verwendet wird. Damit lässt sich das Auto aus der Ferne auch von Unbefugten öffnen. BMW hat für seine Fahrzeuge ein Sicherheitsupdate verteilt.

30. Januar 2015 um 12:21 Uhr / Andreas Donath

42 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Fernsteuerung des Fahrzeugs über BMW Connecteddrive (Bild: ADAC) — Fernsteuerung des Fahrzeugs über BMW Connecteddrive Bild: ADAC

Der Automobilclub ADAC hat bei BMWs System Connecteddrive(öffnet im neuen Fenster) eine Sicherheitslücke festgestellt(öffnet im neuen Fenster). Damit sollen sich nach Darstellung des Clubs die betroffenen Autos über Mobilfunk von außen öffnen lassen, was auch an mehreren Fahrzeugen nachgewiesen wurde. Die Kommunikation verlief unverschlüsselt Der Datenverkehr wurde über HTTP übermittelt, nun wurde auf HTTPS umgestellt. Auch die Klimaanlage und die Hupe lassen sich fernsteuern.

In einem kurzen Video wird die Software Wireshark eingeblendet, die den Netzwerkverkehr anzeigen kann. Erfolgt dieser ohne Verschlüsselung, lassen sich sämtliche Daten mitlesen und in dem Fall des Hacks wohl auch die Steuerbefehle abspielen. Dazu ist nach Informationen des Spiegel(öffnet im neuen Fenster) eine eigene Mobilfunk-Basisstation erforderlich. Der Preis dafür soll im überschaubaren Rahmen liegen: Etwa 1.000 Euro soll derartige Hardware kosten.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: ISO 42001 Foundation KI-Beauftragter mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: IT Sicherheitstests und Ethical Hacking mit Kali Linux (E-Learning)

zum Kurs

Nach Angaben von BMW sind 2,2 Millionen Fahrzeuge weltweit betroffen, in Deutschland etwa 423.000. Dabei handelt es sich um alle Modelle mit Connecteddrive ab Produktionsdatum März 2010 bis einschließlich 8. Dezember 2014 der Marken BMW, Mini und Rolls Royce.

BMW verteilt seit Dezember drahtlos ein Update, das eine Verschlüsselung mitbringt. Der Roll-out soll bis zum 31. Januar 2015 erfolgt sein. Ein Werkstattbesuch ist nicht erforderlich – allerdings kann der Fahrer auch nicht erkennen, ob das Update erfolgt ist. Das kann passieren, wenn die Batterie abgeklemmt oder das Auto zum Beispiel in einer Tiefgarage ohne Mobilfunkempfang über einen langen Zeitraum abgestellt wurde. Ob das Update erfolgte, ist nur über die BMW-Hotline (+49 89 1250 160 10) zu erfahren, teilte der ADAC mit.

"Als verantwortungsbewusster Verbraucherschützer haben wir mit der Veröffentlichung dieser Sicherheitslücke gewartet, bis sie laut Hersteller geschlossen wurde, um hier keine kriminellen Nachahmer auf den Plan zu rufen", so der ADAC-Vizepräsident für Technik, Thomas Burkhardt. Es ist nicht bekannt, ob die Vorgehensweise schon für Einbrüche verwendet wurde.

Der ADAC fordert alle Automobilhersteller auf, ihre IT-Technik in den Fahrzeugen zu schützen sowie auf Standards zu setzen und sich von neutraler Stelle bestätigen zu lassen, dass dies geschehen ist. Als Beispiel führte der ADAC die Common-Criteria-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) an.

Zur Startseite 42 Kommentare

Anzeige Hier geht es zu Echo Auto 2 bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen