Heute gibt es mal einen Lesebefehl für alle, die sich mit dem Internet der Dinge (IoT) beschäftigen. Dass in der Euphorie der Möglichkeiten, die das IoT bereithält, die Sicherheit nicht zu kurz kommen darf, ist ein wichtiger, aber gerne vernachlässigter Gedanke. Und auch wenn man an die Sicherheit denkt – dass die Umsetzung eines sicheren IoT alles andere als trivial ist, zeigt ein Artikel aus der aktuellen c’t.
Das Ganze begann damit, dass der ADAC wissen wollte, was moderne Autos denn so an Daten an den Hersteller senden. Viele Autos sind ständig online, um beispielsweise automatisch einen Notruf absetzen zu können, wenn das Auto einen Unfall erkennt. Der ADAC wandte sich an die IT-Spezialisten des Heise-Verlags, die einen Experten vermittelte. Dieter Spaar begann, das Connected Drive-Gerät eines BMW zu analysieren und stieß auf gewaltige Sicherheitslücken, die schnell interessanter waren als die Daten, die das Auto an BMW weitergibt. In der aktuellen c’t 5/15 beschreibt Spaar seine Vorgehensweise und wie er eine Möglichkeit fand, einen beliebigen BMW zu öffnen. Das Perfide daran: Selbst wenn der Besitzer die Funktion zum Öffnen des Autos per App abgeschaltet hat, lässt sich diese von außen aktivieren.
Ein Laptop reicht, um Autos von fern zu entriegeln
Das Equipment, das der potentielle Dieb benötigt, ist nicht allzu exotisch – jedenfalls nicht exotisch genug, um nicht mit entsprechender krimineller Energie beschaffbar zu sein: Laptop, ein sogenannter IMSI-Catcher und eventuell ein UMTS-Störsender. Dann stehen dem Dieb die Türen aller BMWs der Umgebung im Wortsinne sperrangelweit offen.
Im Artikel geht es um BMWs, das Problem lässt sich jedoch sicher auch auf andere Fahrzeugmarken und andere „Dinge“ übertragen. Die Menschen, die die IoT-Technologie in Produkte integrieren, sind meist keine Sicherheitsexperten; die Vorteile des IoT stehen im Vordergrund, die Nachteile werden verdrängt oder schlicht übersehen. Die c’t hatte schon einmal Mitte 2013 (Ausgabe 11/2013, Seite 78) gezeigt, wie einfach der Einbruch in die Fernwartung von Heizungen, Kraftwerken und Kirchturmuhren ist. Diese Artikel sollte jedem, der sich mit IoT beschäftigt, als Pflichtlektüre verordnet werden.