Reuning: Herr Schönherr, bevor wir in die Politik einsteigen, was genau haben die Forscher denn da heraus gefunden?
Schönherr: Die Forscher sind Flavio Garcia von der Universität Birmingham - er ist die zentrale Figur bei diesem gerichtlichen Vorstoß von VW - und zwei Kollegen in Holland. Sie haben herausgefunden, dass man einen ganz bestimmten Schlüssel-Chip, der sehr vielen Autos verbaut ist - unter anderem auch in High-end-Autos, also Porsche, große Audis und so weiter - dass man diese Schlüssel-Logik, sozusagen die Computerchips darin sozusagen nackt aussehen lassen kann. Man kann den Code darstellen, man kann das Zahnradwerk hinlegen und sehen, wie nun dieser Chip ganz genau funktioniert. Und damit ist quasi das ganze System gehackt und es betrifft Millionen von Fahrzeugen.
Reuning: Das heißt wer das hackt, hätte die Kontrolle über den Wagen?
Schönherr: Wer das hackt, hätte den Kontrolle über den Wagen. Das ist keine ganz neue Sache. Diese Technologie, die heißt Megamos crypt, so heißt dieser Chip, der ist so groß wie eine Fingernagelspitze vielleicht, befindet sich in der Halterung des Schlüssels. Also nicht da, wo der Bart ist, viele Autos haben ja auch gar keinen Bart mehr, keinen Schlüssel, den man eigentlich direkt reinsteckt, und die kommunizieren über Funk damit. Und es ist es einfach so, das sind zwei RFID-Chips, also Funkchips, die Wegfahrsperre im Auto und der Schlüssel, der sich annähert, und wende ich mich jetzt an ein fremdes Auto annähere und ich will da einsteigen, macht das Auto nicht auf, denn die beiden Funkchips haben miteinander kommuniziert und haben sich nicht miteinander gut verstanden. Deswegen geht das Auto einfach nicht auf und fährt nicht los. Wenn die Sache gut geht, bei meinem eigenen Auto idealerweise, dann wird der Chip im Auto ein kurzes Signal schicken, und der Schlüssel, der sagt: Ja, wir kennen uns. Dann wird eine kleine, immer neue, bei jeder Begegnung Auto-Schlüssel neue Kodierung gesendet, dann verstehen sie sich gut, und dann öffnet sich die Tür und dann kann ich damit losfahren. Und dazu gibt es schon lange Hacks, weil dieses System Megamos eben sehr alt ist, nämlich Mitte der 90er-Jahre. Und das ist Volkswagen natürlich ein bisschen peinlich, ich habe mit dem Pressesprecher gesprochen, der sagte: Wir haben dieses System natürlich dauernd nachbessern lassen, das ist von einem Zulieferer, haben unsere eigene IT-Security-Abteilung, die sich das immer wieder ansieht. Aber letzten Endes ist die Offenlegung durch diese politischen und holländischen Wissenschaftlern ein solcher Stich mitten ins Herz, weil es sehr, sehr viele Automodelle betrifft, auch ganz normale Kleinwagen.
Reuning: Wie groß könnte denn der Schaden sein, der entstehen könnte, wenn jemand diese Schwachstelle ausnutzt?
Schönherr: Also, wenn man diese Schwachstelle ausnutzt, dieses wissenschaftliche Papier, was eben jetzt nicht veröffentlicht werden darf, wenn man sich das in Ruhe durchlesen kann, kommt man an einen Datensatz, mit dem man die ganze Flotte von Millionen von Autos angreifen könnte. Das ist bisher ein bisschen umständlicher. Man kann bei einem Versteigerungshaus im Internet zum Beispiel für neun Euro Made in China schon länger einen Transceiver kaufen, der dann mit einem uniquen Schlüssel oder einem einzigartigen Auto zusammenarbeiten, da gibt es auch Software dafür. Aber das ist jetzt eine globale Lösung.
Reuning: Aber wäre es denn nicht Pflicht der Autohersteller, solche Schwachstellen schnellstmöglich zu schließen, wenn sie bekannt werden, und nicht die Veröffentlichung hinauszuzögern?
Schönherr: Nun, jedes System lässt sich hacken, und das wissen natürlich auch die Hersteller von solchen Programmen, die das Hecken ja auch unterbinden wollen. Aber im Grunde muss ein Konzern wie Volkswagen natürlich da auf jeden Fall die Sicherheitsstrategie anders fahren. Und dieser Fall zeigt es, und jetzt ist wieder mal die Forschung dran.
Reuning: Wie haben denn die Forscher reagiert auf das Urteil?
Schönherr: Die Forscher dürfen jetzt nicht mehr reagieren. Die Universitäten haben beide ihr Bedauern ausgedrückt, dass sie sich in ihrer Forschung eingeschränkt fühlen. Und jetzt muss man sehen, ob denn in zwei Wochen auf einem Sicherheitskongress in Washington doch noch ein Vortrag von dem holländischen Kollegen, Wissenschaftler, darüber gehalten wird.
Reuning: Und dann wäre die Information öffentlich.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
Schönherr: Die Forscher sind Flavio Garcia von der Universität Birmingham - er ist die zentrale Figur bei diesem gerichtlichen Vorstoß von VW - und zwei Kollegen in Holland. Sie haben herausgefunden, dass man einen ganz bestimmten Schlüssel-Chip, der sehr vielen Autos verbaut ist - unter anderem auch in High-end-Autos, also Porsche, große Audis und so weiter - dass man diese Schlüssel-Logik, sozusagen die Computerchips darin sozusagen nackt aussehen lassen kann. Man kann den Code darstellen, man kann das Zahnradwerk hinlegen und sehen, wie nun dieser Chip ganz genau funktioniert. Und damit ist quasi das ganze System gehackt und es betrifft Millionen von Fahrzeugen.
Reuning: Das heißt wer das hackt, hätte die Kontrolle über den Wagen?
Schönherr: Wer das hackt, hätte den Kontrolle über den Wagen. Das ist keine ganz neue Sache. Diese Technologie, die heißt Megamos crypt, so heißt dieser Chip, der ist so groß wie eine Fingernagelspitze vielleicht, befindet sich in der Halterung des Schlüssels. Also nicht da, wo der Bart ist, viele Autos haben ja auch gar keinen Bart mehr, keinen Schlüssel, den man eigentlich direkt reinsteckt, und die kommunizieren über Funk damit. Und es ist es einfach so, das sind zwei RFID-Chips, also Funkchips, die Wegfahrsperre im Auto und der Schlüssel, der sich annähert, und wende ich mich jetzt an ein fremdes Auto annähere und ich will da einsteigen, macht das Auto nicht auf, denn die beiden Funkchips haben miteinander kommuniziert und haben sich nicht miteinander gut verstanden. Deswegen geht das Auto einfach nicht auf und fährt nicht los. Wenn die Sache gut geht, bei meinem eigenen Auto idealerweise, dann wird der Chip im Auto ein kurzes Signal schicken, und der Schlüssel, der sagt: Ja, wir kennen uns. Dann wird eine kleine, immer neue, bei jeder Begegnung Auto-Schlüssel neue Kodierung gesendet, dann verstehen sie sich gut, und dann öffnet sich die Tür und dann kann ich damit losfahren. Und dazu gibt es schon lange Hacks, weil dieses System Megamos eben sehr alt ist, nämlich Mitte der 90er-Jahre. Und das ist Volkswagen natürlich ein bisschen peinlich, ich habe mit dem Pressesprecher gesprochen, der sagte: Wir haben dieses System natürlich dauernd nachbessern lassen, das ist von einem Zulieferer, haben unsere eigene IT-Security-Abteilung, die sich das immer wieder ansieht. Aber letzten Endes ist die Offenlegung durch diese politischen und holländischen Wissenschaftlern ein solcher Stich mitten ins Herz, weil es sehr, sehr viele Automodelle betrifft, auch ganz normale Kleinwagen.
Reuning: Wie groß könnte denn der Schaden sein, der entstehen könnte, wenn jemand diese Schwachstelle ausnutzt?
Schönherr: Also, wenn man diese Schwachstelle ausnutzt, dieses wissenschaftliche Papier, was eben jetzt nicht veröffentlicht werden darf, wenn man sich das in Ruhe durchlesen kann, kommt man an einen Datensatz, mit dem man die ganze Flotte von Millionen von Autos angreifen könnte. Das ist bisher ein bisschen umständlicher. Man kann bei einem Versteigerungshaus im Internet zum Beispiel für neun Euro Made in China schon länger einen Transceiver kaufen, der dann mit einem uniquen Schlüssel oder einem einzigartigen Auto zusammenarbeiten, da gibt es auch Software dafür. Aber das ist jetzt eine globale Lösung.
Reuning: Aber wäre es denn nicht Pflicht der Autohersteller, solche Schwachstellen schnellstmöglich zu schließen, wenn sie bekannt werden, und nicht die Veröffentlichung hinauszuzögern?
Schönherr: Nun, jedes System lässt sich hacken, und das wissen natürlich auch die Hersteller von solchen Programmen, die das Hecken ja auch unterbinden wollen. Aber im Grunde muss ein Konzern wie Volkswagen natürlich da auf jeden Fall die Sicherheitsstrategie anders fahren. Und dieser Fall zeigt es, und jetzt ist wieder mal die Forschung dran.
Reuning: Wie haben denn die Forscher reagiert auf das Urteil?
Schönherr: Die Forscher dürfen jetzt nicht mehr reagieren. Die Universitäten haben beide ihr Bedauern ausgedrückt, dass sie sich in ihrer Forschung eingeschränkt fühlen. Und jetzt muss man sehen, ob denn in zwei Wochen auf einem Sicherheitskongress in Washington doch noch ein Vortrag von dem holländischen Kollegen, Wissenschaftler, darüber gehalten wird.
Reuning: Und dann wäre die Information öffentlich.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.