Auto & Technik auf PC-WELT

Audio- oder Multimedia-Systeme, Navis, eCall und mehr: Die Elektronik in modernen Autos wird immer ausgefeilter. Wir testen die Multimedia- und Multifunktionssysteme von Audi, BMW, Mercedes, Toyota und vielen Herstellern mehr.

2043715

Ernste Sicherheitslücke in allen BMWs und Minis mit ConnectedCrive

30.01.2015 | 13:35 Uhr |

Der ADAC warnt vor einer schweren Sicherheitslücke in allen(!) BMW-, Mini- und Rolls-Royce-Modellen mit ConnectedDrive, die in den letzten Jahren gebaut wurden. Diebe können damit unter anderem das abgesperrte Auto öffnen. Wir sagen, welche Jahrgänge konkret betroffen sind, wie Angreifer die Lücke ausnutzen können und wie BMW seine Kunden schützen will. Mit Demonstrations-Video.

Böse Schlappe für die erfolgsverwöhnten Bayern: Der ADAC hat bei BMW-Pkws mit dem Infotainmentsystem ConnectedDrive eine Sicherheitslücke festgestellt. Diese führt unter anderem dazu, dass die Autos über Mobilfunk von außen geöffnet werden können. Der ADAC hat dies laut eigenen Angaben an mehreren BMW-Fahrzeugen nachweisen können. Der Angriff hinterlasse keine Spuren und laufe in Minutenschnelle ab.

BMW bestätigt Lücke

BMW hat die Existenz dieser ernsten Schwachstelle bereits bestätigt: Laut BMW sind weltweit 2,2 Millionen Fahrzeuge betroffen. In Deutschland fahren oder fuhren etwa 423 000 Autos der Marken BMW, Mini und Rolls Royce mit dieser Sicherheitslücke herum. BMW betont, dass die Sicherheitslücke in dem Übertragungsweg per Mobilfunknetz und nicht in der Hardware im BMW stecke.

BMW macht ConnectedDrive günstiger und umfangreicher

Diese Fahrzeuge sind betroffen

Und zwar sind alle Modelle mit Connected Drive ab Produktion März 2010 bis einschließlich 8. Dezember 2014 betroffen . Also 1er, 2er inklusive Active Tourer, 3er, 4er, 5er, 6er, 7er, das Elektro-Auto i3 und der hybride Supersportwagen i8 sowie die SUVs X1, X3, X4, X5, X6 und der Roadster Z4. Dazu alle Mini-Modelle. Und von Rolls-Royce der Phantom, Ghost und Wraith. Fahrzeuge mit Produktionsdatum ab 9. Dezember 2014 oder später weisen laut BMW diese Sicherheitslücken nicht mehr auf.

Video: BMW ConnectedDrive im Test

So wird die Lücke geschlossen

BMW will das Problem nach eigenen Angaben bis zum 31. Januar 2015 durch Einschalten einer Verschlüsselung in der Kommunikation mit dem Fahrzeug beseitigt haben. Die Online-Dienste kommunizieren danach über das HTTPS-Protokoll (HyperText Transfer Protocol Secure), das bislang schon bei Online Entertainment und beim Internet zum Einsatz kommen soll. Vor den neugierigen Blicken der NSA sind BMW-Kunden durch die https-Verschlüsselung jedoch nicht geschützt.

Gratis-PC-WELT-Newsletter Auto & Technik abonnieren

Für das Schließen der Sicherheitslücke sei dem ADAC zufolge kein Werkstattbesuch und kein Teiletausch erforderlich, da das Einschalten der Verschlüsselung seit dem 8. Dezember 2014 im Hintergrund über Mobilfunk erfolgt (in allen BMW-, Mini- und RR-Modellen mit ConnectedDrive ist eine SIM-Karte fest in den Tiefen der Mittelkonsole verbaut).

Test 1: ConnectedDrive von BMW im Praxis-Test

Die BMW-Halter können nicht selbst erkennen, ob ihre Fahrzeuge bereits bearbeitet wurden. Wer hierüber Gewissheit haben möchte (etwa weil das Auto über einen längeren Zeitraum keinen Mobilfunkempfang hatte, z. B. in einer Tiefgarage oder wegen abgeklemmter Batterie), sollte sich an die BMW-Hotline 089 1250 160 10 wenden.

Test 2: BMW ConnectedDrive mit Online-Entertainment, Touchpad & Android-Support

Alternativ können Fahrzeugbesitzer die Aktualisierung aber auch selbst anstoßen, indem sie im ConnectedDrive-Menü ihres Autos "Dienste aktualisieren" auswählen.

Video: BMW i3 Rex im Praxistest

So lässt sich die Sicherheitslücke ausnutzen (laut ADAC)

Remote Services: unberechtigtes Ausführen von Fern-Funktionen, z. B. Tür öffnen

Last State Call: Auskundschaften von Fahrzeugstandort und Verriegelungszustand

Real Time Traffic Informations (RTTI): Mitlesen aktueller Fahrzeugstandorte und z. B. gefahrene Geschwindigkeiten, Tracking von Fahrzeugen (Datenschutz!)

Intelligenter Notruf: im Steuergerät hinterlegte Rufnummern, z. B. für Notrufe, können verändert werden

BMW Online: Mitlesen von privaten E-Mails (Datenschutz!)

ADAC gab BMW Zeit zum Schließen der Lücke

„Als verantwortungsbewusster Verbraucherschützer haben wir mit der Veröffentlichung dieser Sicherheitslücke gewartet, bis sie laut Hersteller geschlossen wurde, um hier keine kriminellen Nachahmer auf den Plan zu rufen“, so der ADAC-Vizepräsident für Technik, Thomas Burkhardt. Bisher liegen dem ADAC auch keine Erkenntnisse darüber vor, dass die Problematik für Straftaten wie Einbrüche oder Diebstähle genutzt wurde.

Infotainment und Mini Connected im Mini Countryman im Test

Ob noch weitere Sicherheitslücken in ConnectedDrive oder sonstwo in der Elektronik von BMW-Fahrzeugen verborgen sein könnten, kann der ADAC nicht sagen. Weil er überhaupt keinen bewusste Sicherheitstest durchgeführt habe, sondern diese Lücke nur durch Zufall entdeckt habe.

 

0 Kommentare zu diesem Artikel
2043715