In der heutigen digitalen Welt bieten nahezu alle Autohersteller mobile Apps an, die das Remote-Management der Fahrzeuge ermöglichen. Man kann damit das Auto öffnen, schließen, den Akkustand überprüfen oder sogar den Motor aktivieren – alles sehr praktisch und komfortabel für die Autobesitzer. Doch diese Technologie birgt auch erhebliche Sicherheitsrisiken, da sie es Hackern erleichtert, Fahrzeuge zu stehlen, ohne dass es Hinweise auf ihre Taten.

Ein Forschungsteam unter der Leitung von Matthias Hübeling, einem Sicherheitsexperten an der Universität Bonn, hat alarmierende Schwachstellen in diesen Autofunktionen entdeckt. Im vergangenen Jahr stießen die Forscher auf rund 250.000 Datensätze mit sensiblen Zugangsinformationen zu verschiedenen Auto-Apps. Diese Daten beinhalteten E-Mail-Adressen, Passwörter und Informationen zu den jeweiligen Automarken, die Autobesitzern gestohlen wurden, teilweise sogar aus deren Passwortmanagern. Hübeling erklärt: "Viele Menschen speichern die Zugangsdaten für ihre Auto-Apps in Passwortmanagern, was das Risiko einer Kompromittierung erhöht."

Durch eine Zusammenarbeit mit einem Reporterteam der ZDF-Sendung "Wiso" konnte das Forschungsteam betroffene Autobesitzer identifizieren. Die Apps zeigen den genauen Standort des Fahrzeugs sowie die Heimadresse der Besitzer an – eine verlockende Information für Autodiebe.

Die Tesla-App stellte sich als die größte Schwachstelle heraus. Während eines Experiments überraschten die Forscher mehrere Autohalter in ihrem Zuhause und konnten deren Fahrzeuge ohne Probleme öffnen, starten und sogar wegfahren – insbesondere bei Tesla-Modellen. In einem besonders krassen Fall gelang es den Forschern, gleich vier Teslas einer Familie zu hacken.

Das Sicherheitsproblem bei der Tesla-App liegt darin, dass die sensiblen Daten nicht ausreichend gesichert sind. Es gibt beispielsweise keine standardmäßig aktivierte Zwei-Faktor-Authentifizierung, die einen zusätzlichen Schutz bieten würde.

Weitere Automarken wie Ford und BMW weisen ebenfalls Sicherheitslücken auf. Die Datenanalyse ergab, dass Passwörter zu mehreren Automarken im Umlauf waren, jedoch die Schwere der Sicherheitsprobleme variierte. Bei einem Elektro-VW konnten die Forscher das Fahrzeug zwar orten und den Akkustand einsehen, aber nicht öffnen oder starten. Im Gegensatz dazu war es bei einem Ford problemlos möglich, das Fahrzeug zu öffnen und zu starten, jedoch nicht wegzufahren. Ford blieb zu diesem Thema eine Stellungnahme schuldig.

Bei BMW hingegen konnten die Sicherheitsexperten über die App und die erlangten Zugangsdaten die Türen entriegeln, was Dieben die Möglichkeit eröffnet, Wertsachen aus dem Fahrzeug zu stehlen.

Matthias Hübeling empfiehlt dringend, die Zwei-Faktor-Authentifizierung zu aktivieren, wo dies möglich ist, da dies den Schutz erheblich erhöht. Bei einigen Herstellern, wie etwa Tesla, muss diese Funktion allerdings erst manuell aktiviert werden. Selbst wenn ein PIN als zusätzlicher Sicherheitsfaktor vorhanden war, konnte das Team problemlos Zugang erhalten, indem sie die gestohlenen Daten zur Rücksetzung des PINs verwendeten. Auf Anfragen hinsichtlich dieser Sicherheitslücken reagierte Tesla nur allgemein und wies darauf hin, dass man an der Behebung möglicher Schwachstellen arbeite. Dieses Experiment verdeutlicht, dass letztlich nur die Hersteller durch effektive Sicherheitsmaßnahmen wirklichen Schutz bieten können – ein Aspekt, den Autobesitzer dringend im Auge behalten sollten.