Mit Hilfe eines kleinen unscheinbaren Gerätes können Autodiebe Fahrzeuge stehlen. Dazu müssen sie aber weder Kryptoschlüssel ermitteln, Autoschlüssel klonen noch das Entertainment-System hacken. Sie müssen nur einen Scheinwerfer ausbauen.
Kriminelle haben schon lange begriffen, dass Elektronik und Autos eine immer größere Rolle spielt. Und sie haben auch verstanden, dass sie Teile der Elektronik für ihre Zwecke missbrauchen können. Und hier geht es nicht um Eingriffe in das Entertainment-System oder Replay-Attacken mit Funkschlüsseln. Es ist viel einfacher, und im Mittelpunkt von Autodieben steht hier ein System, das seit etwa 30 Jahren unverändert in vielen Autos vorhanden ist: Der CAN-Bus.
So stellte Sicherheitsforscher Ian Tabor eines Tages fest, dass an seinem Fahrzeug nicht nur Beschädigungen vorhanden waren, sondern dass jemand auch einen der Scheinwerfer am Fahrzeug ausgesteckt hatte. Nachdem der Scheinwerfer wieder angeschlossen und der Kotflügel wieder provisorisch befestigt war, schien ihm die Sache vorerst erledigt. Doch ein paar Tage später war das Auto plötzlich verschwunden.
Was passiert war, war nach einer Analyse des Automotive Security-Experten Ken Tindell recht schnell klar. Denn das Fahrzeug (ein aktueller Toyota Rav 4) war auch über eine App an das Smartphone des eigentlichen Fahrzeugeigentümers gekoppelt. Unter anderem übermittelt das Fahrzeug auch Statusmeldungen und Diagnosedaten. Diese waren bis vor einigen Jahren nur mit Hilfe eines extrem teuren Diagnosegerätes zugänglich, welches nur in Werkstätten zur Verfügung steht. In den im Smartphone hinterlegten Daten war schnell ersichtlich, dass mitten in der Nacht eine ganze Menge neuer Fehlermeldungen hinzugekommen war. Diese ließen unter anderem darauf schließen, dass hier sich hier jemand am CAN-Bus des Fahrzeuges zu schaffen gemacht hatte.
Was ist der CAN-Bus?
Dieser ursprünglich in den späten Achtzigerjahren von Bosch entwickelte CAN-Bus (Control Area Network) ist ein Netzwerkbus, der unter anderem in Fahrzeugen zum Einsatz kommt. Er steuert neben ABS, Wegfahrsperre und Start/Stop-Automatik auch Dinge wie die Beleuchtung, und ist ganz nebenbei auch für die Übermittlung von Motorkontrolldaten zuständig.
Alle Steuerbefehle und Messdaten laufen über eine einzige Leitung, an die alle relevanten Geräte angeschlossen sind. So sparen sich Hersteller die sonst erforderlichen armdicken und damit schweren, sperrigen sowie teuren Kabelbäume. Schon lange ist nicht mehr jeder einzelne Schalter direkt mit seiner Gegenstelle verbunden. Alles geht über eine Leitung zu einem Steuergerät, welches die Befehle auf die Reise schickt. Jedes Gerät hat innerhalb des CAN-Bus eine einmalige ID. Das angesprochene Gerät „erkennt“, wenn es gemeint ist und agiert dann entsprechend. Systeme, die auf CAN-Bus basieren, gibt es nicht nur in Autos, sondern auch in Passagierflugzeugen und in einigen Haus-Automatisierungssystemen. Kurz: Überall dort, wo wenig Platz für viele Kabel ist.
Dass Menschen versuchen, sich über den CAN-Bus Zugriff auf Systeme in einem Auto zu verschaffen, ist kein ganz neues Phänomen. Auf den gängigen Plattformen im Internet finden sich mittlerweile Diagnosestecker, die Autobesitzer*innen an den entsprechenden Anschluss im Fahrzeug anschließen können (Der Anschluss befindet sich oftmals entweder hinter einer Verkleidung in der Mittelkonsole oder im Fußraum). So können auch Hobbyschrauber*innen selbst Fehlercodes auslesen. Hier gibt es auch eine Menge Scharlatanerie, wo Betrüger angebliche „Sprit-Spar-Stecker“ anbieten, die jedoch außer einer eingebauten blinkenden LED keinerlei Funktion besitzen.
Doch zurück zu unserem Beispiel. An den CAN-Bus heranzukommen, erforderte bis vor kurzem Zugang zum Innenraum des Fahrzeugs. Wer mit kriminellen Absichten agierte, musste das Auto also aufbrechen. In einigen aktuelleren Fahrzeugen haben sich allerdings weitaus mehr Zugangspunkte ergeben als die innerhalb des Fahrzeugs. Zum Beispiel solche, die – zwar mit einem gewissen Aufwand, aber dennoch – auch von außen zugänglich sind, wie die Scheinwerfer.
Hier haben es Kriminelle geschafft, eigene Geräte zu entwickeln, die mit der Fahrzeugelektronik interagieren können. Sie spielen (vereinfacht gesagt) eine Nachricht in den CAN-Bus ein, die dem System zuerst sagt „Korrekter Schlüssel identifiziert – Türschloss entriegeln“ und dann „Gültiger Autoschlüssel gefunden – Wegfahrsperre deaktivieren“. So müssen Diebe nicht einmal mehr Türen aufhebeln oder Scheiben einschlagen, um das Fahrzeug zu öffnen und damit weg zu fahren.
Bewerkstelligen tun sie das mit Hilfe selbst gebauter Geräte, die etwa in Bluetooth-Lautsprechern eingebaut sind. Ein USB-Kabel mit einem improvisierten Adapter, der einen Anschluss an die offengelegte Buchse des CAN-Busses im Scheinwerfer ermöglicht, liegt bei. Verkauft werden diese Geräte im Netz als „Notstart-Systeme“. Das soll suggerieren, dass es einen legitimen Einsatzzweck für die Geräte gibt – etwa für Werkstätten oder Pannendienste, die Fahrer*innen helfen sollen, wenn sie ihren Schlüssel verloren haben.
Herzstück dieses Diebstahlwerkzeugs ist ein Mikrocontroller, der etwa 10 US-Dollar kostet und der mit einer speziellen Firmware bespielt ist. Um seine Befehle absetzen zu können, muss das illegale „Notstart-Gerät“ jedoch dafür sorgen, dass niemand anders auf dem CAN-Bus unterwegs ist. Dazu überlastet es das Netzwerk kurzfristig – was in zahlreichen Fehlercodes resultiert, die der Sicherheitsforscher hinterher in seiner App gesehen hat. Diese Fehlercodes können dann von den Kriminellen hinterher einfach aus dem Fehlerspeicher des Fahrzeugs gelöscht werden.
Ein solcher „Notstarter“ kostet in etwa 5000 US-Dollar. Wie Tindell schreibt, ist das zwar ein Preis, „der normalen Menschen die Tränen in die Augen treibt“, aber für professionelle Autodiebe „durchaus eine sinnvolle Investition“ ist.
Der Elefant im Raum
Der geneigte Leser oder die interessierte Leserin fragt sich jetzt vermutlich, wie das überhaupt funktionieren kann, wo doch heutzutage alles (inklusive der smarten Funkschlüssel) kryptografisch gesichert ist. Die Antwort ist einfach: Der CAN-Bus verfügt über keine eigenen Sicherheits- oder Authentifizierungsmechanismen und kümmert sich nicht darum, ob ein bestimmter Absender für einen Befehl (wie etwa „Wegfahrsperre ausschalten“) legitim ist – oder ob dieser überhaupt zum Fahrzeug gehört. Auch hinterfragt das System nicht, welche Informationen übermitteln werden. Die Entscheidung darüber, ob etwa die Tür entriegelt oder der Airbag ausgelöst wird, trifft ein Steuercomputer. Und die angesteuerten Komponenten „wissen“ nicht, ob der erhaltene Befehl wirklich vom Steuercomputer kommt oder von einem Angreifer.
Bevor nun allerdings ein Sturm der Entrüstung losbricht: Dafür war der CAN-Bus auch nie gedacht. Das System stammt aus den Achtzigern, als das Internet in der heutigen Form noch überhaupt kein Thema war, und ist seit Anfang der Neunzigerjahre in jedem Neufahrzeug enthalten. Es hat sich in 30 Jahren gut bewährt. Mit der Zeit haben die Autohersteller allerdings immer mehr Dinge an den CAN-Bus angeschlossen. Wo früher ausschließlich die Motorsteuerung und Motorkontroll- sowie Getriebedaten relevant waren, sind heute große Teile der Fahrzeugelektronik über dieses System vernetzt. Dazu gehören Schlüssel und Fahrwerk, Assistenzsysteme wie auch Beleuchtung. Insgesamt wird es schon recht eng im CAN-Bus, da hier sehr viele Systeme zusammenlaufen.
Warum sichern Hersteller den CAN-Bus nicht besser ab?
Der CAN-Bus ist wie oben erwähnt knapp 30 Jahre alt und war nie für eine Vernetzung mit der Außenwelt gedacht. Bestehende Systeme nachträglich abzusichern, ist so gut wie unmöglich. Sicherere Systeme für die interne Bordkommunikation existieren, sind aber noch nicht Standard. Die Kommunikation zwischen den einzelnen Bordsysteme zu verschlüsseln, ist nur eine der Herausforderungen. Zudem muss ein entsprechendes System auch gegen die hier beschriebene CAN-Injection geschützt werden.
Hier spielt auch noch eine weitere Überlegung eine Rolle: Autos haben eine wesentlich längere Lebensdauer als andere Geräte wie etwa Smartphones. Die Hardware muss also auch entsprechend dimensioniert sein, sodass sie zukunftssicher ist – zumindest so lange wie die Fahrzeuge fahren. Und das können gut und gerne 10, 15 oder auch 20 Jahre und mehr sein. Das ist nicht nur in der Security-Welt eine sehr lange Zeit. Um aktuelle kryptografische Methoden zu unterstützen, hätte der Hersteller eines Steuergerätes schon 2003 die Elektronik für die Erfordernisse von 2023 auslegen müssen. Das wäre jedoch realitätsfern.
Ein zugegeben etwas hinkender, aber anschaulicher Vergleich: Ein PC mit einer für heutige Maßstäbe ausreichender Rechenleistung hätte 2003 – zu dieser Zeit waren Intels Pentium 4 und der Opteron aus dem Hause AMD gerade neu auf den Markt gekommen – einen ganzen Schrank gefüllt und hätte zehntausende Euro gekostet. Diese Kosten wäre niemand bereit gewesen zu zahlen, vom horrenden Stromverbrauch einmal abgesehen. Zumal die meisten Anwender*innen ihren PC weniger als 10 Jahre nutzen.
Müssen wir jetzt alle Angst um unsere Autos haben?
Kurze Antwort: Jein. Um Autos auf diese Art stehlen zu können, brauchen Diebe Zeit. Sie müssen gegebenenfalls Teile der Karosserie abnehmen, um an die Scheinwerfer zu kommen. Das fällt auf, vor allem wenn Fahrzeuge am Straßenrand geparkt sind. In Gegenden mit wenig Auto- und Fußgängerverkehr besteht natürlich ein Restrisiko, dass Täter auch über einen längeren Zeitraum unbehelligt agieren können. Zudem sind auch (noch) nicht alle Fahrzeuge für diese Art des Diebstahls anfällig. Und professionell organisierte Banden konzentrieren sich in der Regel auf höherwertige Neufahrzeuge, die ihnen auf dem Schwarzmarkt höhere Profite bringen. Andere Fahrzeuge lassen sich aber noch immer auf die althergebrachte Art stehlen oder ausrauben: Mit Kleiderbügel, Luftkissen und Federkörner.
Die meisten Kriminellen haben es jedoch meist auf Dinge abgesehen, die sie schnell zu Geld machen können: Bargeld, Schmuck oder Teile des Fahrzeugs. Hier demontieren Diebe meist Autoradios und Airbags oder sägen sogar Katalysatoren ab, denn diese enthalten Platin, Rhodium und andere wertvolle Metalle.
Tim Berghoff
Security Evangelist