BMW-Fahrzeuge mit dem System „ConnectedDrive“ können über Mobilfunk illegal von außen geöffnet werden/BMW hat diese Schwachstelle nach eigenen Aussagen jetzt behoben.
Der ADAC hat bei BMW-Pkw mit dem System ConnectedDrive eine Sicherheitslücke festgestellt. Diese führt unter anderem dazu, dass die Autos über Mobilfunk von außen geöffnet werden können. Der Club hat dies an mehreren Fahrzeugen nachgewiesen. Der Eingriff hinterlässt keine Spuren und läuft in Minutenschnelle ab. Laut BMW sind weltweit 2,2 Millionen, in Deutschland etwa 423 000 Autos der Marken BMW, Mini und Rolls Royce betroffen, die seit 2010 mit ConnectedDrive ausgeliefert wurden. BMW will das Problem nach eigenen Angaben bis zum 31. Januar 2015 durch Einschalten einer Verschlüsselung der Kommunikation mit dem Fahrzeug beseitigt haben.
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
„Als verantwortungsbewusster Verbraucherschützer haben wir mit der Veröffentlichung dieser Sicherheitslücke gewartet, bis sie laut Hersteller geschlossen wurde, um hier keine kriminellen Nachahmer auf den Plan zu rufen“, so der ADAC Vizepräsident für Technik, Thomas Burkhardt. Bisher liegen dem ADAC auch keine Erkenntnisse darüber vor, dass die Problematik für Straftaten wie Einbrüche oder Diebstähle genutzt wurde.
Für das Schließen der Sicherheitslücke sind kein Werkstattbesuch und kein Teiletausch erforderlich, da das Einschalten der Verschlüsselung seit dem 8. Dezember 2014 im Hintergrund über Mobilfunk erfolgt. Die BMW-Halter können nicht selbst erkennen, ob ihre Fahrzeuge bereits bearbeitet wurden. Wer hierzu Gewissheit haben will (etwa weil das Auto über einen längeren Zeitraum keinen Mobilfunkempfang hatte, z. B. in einer Tiefgarage oder wegen abgeklemmter Batterie), sollte sich an die BMW-Hotline (+49 89 1250 160 10) wenden.
Der ADAC fordert die Automobilhersteller auf, Computertechnik im Auto zeitgemäß gegen Manipulation oder andere illegale Zugriffe zu schützen. Dieser Schutz muss nach Standards erfolgen, wie sie in anderen Wirtschaftszweigen (z. B. in der IT-Branche) üblich sind. Außerdem muss dieser Schutz von neutraler Stelle bestätigt werden, etwa per Common-Criteria-Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn. Der ADAC legt auf die Feststellung Wert, dass der Club keine vollständige Sicherheitsüberprüfung von BMW-Fahrzeugen oder unternehmensinternen Prozessen durchgeführt hat. Diese Aufgabe obliegt alleine dem Hersteller.
Wie der ADAC Experte der Sicherheitslücke auf die Spur kam, sowie alle ausführlichen technischen Details zum Problem und zur Lösung können in der heute erschienenen Februar-Ausgabe der Clubzeitschrift „Motorwelt“ sowie auf www.adac.de/sicherheitsluecken (mit Liste aller betroffenen Modellreihen plus Video) nachgelesen werden.
Interview mit Arnulf Thiemel/ technischer Berater ADAC
