Vault 7: Was macht die CIA mit gehackten Autos?

Die Enthüllungsplattform Wikileaks trägt gerne mal dick auf, wenn es darum geht, die Brisanz von veröffentlichten Dokumenten aufzubauschen. Mit Blick auf die Anfang der Woche geleakten Unterlagen des US-Geheimdienstes CIA stach ein Satz besonders hervor: "Im Oktober 2014 wollte die CIA auch eine Fahrzeugsteuerung infizieren, wie sie moderne Autos und Lkw verwenden. Der Zweck einer solchen Kontrolle wird nicht genannt, aber sie würde es der CIA erlauben, nahezu nicht erkennbare Mordanschläge zu begehen", hieß es in der Pressemitteilung. Vernetzte Autos als potenzielle Mordwerkzeuge? Das ist wirklich der Alptraum von Sicherheitsexperten.

Doch womit wird diese Behauptung belegt? In dem Dokument, das Wikileaks als Quelle angibt, finden sich allgemeine Überlegungen der CIA zu Angriffszielen im Internet der Dinge (IoT). Dort steht unter anderem: "Vehicle Systems (e.g. VSEP)" sowie "QNX - not addressed by any EDB work, big player in VSEP". Während die Abkürzung EDB für "Embedded Devices Branch" steht, hat bislang offenbar noch niemand herausgefunden, was mit VSEP gemeint ist. Selbst ein von Golem.de angefragter erfahrener Entwickler von vernetzten und automatisierten Autos hat diese Abkürzung noch nie gehört.

Autohacks sind längst Realität

QNX ist wiederum ein Mikrokernel-Betriebssystem, das in Fahrzeugen unter anderem für Navigations- und Unterhaltungssysteme eingesetzt wird. Blackberry hatte QNX Software Systems im Jahr 2010 übernommen. Auf der CES 2017 hatten Blackberry und Ford mitgeteilt, das QNX-System für die Anforderungen vernetzter Autos weiterzuentwickeln.

Was lässt sich also an dem Interesse der CIA an QNX und Fahrzeugsystemen schließen? Zunächst geht aus dem veröffentlichten Dokument nicht hervor, dass es dem Geheimdienst bereits gelungen ist, ein vernetztes Fahrzeug zu hacken und damit sogar in dessen Steuerung einzugreifen. Das dies möglich ist, hatten die beiden US-Sicherheitsforscher Charlie Miller und Chris Valasek beim spektakulären Hack eines Chrysler Cherokee-Jeep im Jahr 2015 gezeigt. Warum sollten Geheimdienste das nicht auch versuchen?

Auch Navigationssysteme sind interessant

Allerdings sind die Autohersteller spätestens mit dem Chrysler-Hack wachgeworden und geben der IT-Sicherheit eine hohe Priorität. Schließlich wollen Autofahrer nicht das Risiko eingehen, dass ihre hochautomatisierten und autonomen Fahrzeuge aus der Ferne manipuliert und gesteuert werden können. Sollte es Hackern immer wieder gelingen, über die Internetverbindung der Autos in die Steuerung vorzudringen, wäre das Vertrauen in die Technik schnell zerstört.

Aber vielleicht streben die Geheimdienste dies gar nicht an. Schließlich kann ihnen schon von Nutzen sein, wenn lediglich das Navigations- und Unterhaltungssystem gehackt wird. Auf diese Weise könnten sie beispielsweise den Standort eines Autos überwachen, ohne einen eigenen Sender anbringen zu müssen. Da die Systeme inzwischen in der Lage sind, online mit Sprachassistenten wie Cortana oder Alexa zu kommunizieren, könnten die Mikrofone von der CIA genutzt werden, um die Gespräche zu belauschen.