Fahrzeuge von BMW waren eine ganze Weile lang problemlos entwendbar, weil die Kommunikation zwischen Fahrzeugcomputer und Funkschlüssel des Inhabers ungesichert mittels des HTTP-Protokolls, das auch in ungesicherten Web-Seiten verwendet wird, geführt wurde. Mit Bordmitteln jedes PCs konnte das mitgeschnitten und anschließend genutzt werden, um die Türen zu öffnen. Danach bestand Zugriff auf den Bordcomputer per Schnittstelle im Fahrzeug, und um den Rest zu verstehen, muss man keinen polnischen Spezialisten bemühen (Quelle ADAC).
Nachdem BMW auf die Lück aufmerksam gemacht wurde, hat das Unternehmen so natürlich geschlossen. Dazu wurden nicht etwa die betroffenen Kunden informiert, sondern heimlich im Rahmen der nächste Inspektion – noch nicht einmal die Werkstätten wussten davon – per Internet die Schnittstelle auf HTTPS konfiguriert.
Mal ganz davon abgesehen, ob die BMW-Ingenieure diese Konfiguration sicher hinbekommen haben (ich bezweifle das entschieden): für diese Änderung, initiiert über eine unsichere Netzverbindung, benötigt man Root-Rechte. Root-Rechte auf dem zentralen Fahrzeug-PC über eine ungesicherte Leitung? Wie dumpfbackig darf man eigentlich sein, um in D Ingenieur in der Automobilindustrie zu werden? Ich dachte, solche Leute gibt es nur beim BSI, wo sie für die Abschirmung zuständig sind.
Derzeit wird eifrig an autonom fahrenden Autos gebastelt – IT-Sicherheit Null oder negativ. Fahrzeuge von Jeep wurden in den USA bereits komplett von Hackern während der Fahrt übernommen (Quelle ADAC). Stellt euch vor, ein Hacker befiehlt auf der A3 bei Köln sämtlichen LKWs Vollgas und sämtliche PKWs Vollbremsung. Bei der Vernetzung, die für autonomes Fahren notwendig ist, und bei der Sicherheit, die von der Autoindustrie in die IT-Sicherheit gesteckt wird, keine Utopie, sondern ziemlich wahrscheinlich. Man kann sich leicht ausmahlen, dass Mad Max ein armseliges Würstchen gegen das ist, was sich dann auf der Autobahn abspielt.