Sicherheitslücke bei BMW: Millionen Autos ließen sich unbefugt öffnen

Schwerer Imageschaden für BMW: Monatelang waren Millionen Fahrzeuge der drei Konzernmarken mit einer Sicherheitslücke im Connected-Drive-System unterwegs. Sie ermöglichte nach ADAC-Recherchen das unbefugte Öffnen via Handy. Ein Update sorgt inzwischen für Sicherheit, BMW beschwichtigt. 2,2 Millionen BMW ließen sich über Mobilfunk von außen öffnen, weil ihr IT-System "Connected Drive" eine Sicherheitslücke aufwies. Das berichtet der ADAC heute, der die Schwachstelle schon im November oder Dezember 2014 ausfindig gemacht hatte und den Hersteller zunächst intern informierte, um keine kriminellen Nachahmer auf den Plan zu rufen.

Der ADAC hat die Problematik nach eigenen Angaben an mehreren Fahrzeugen nachgewiesen. "Der Eingriff hinterlässt keine Spuren und läuft in Minutenschnelle ab", erklärte ein Sprecher. Wie genau dieser vonstatten ging, erläuterte der Club nicht. Es heißt, Voraussetzung sei eine "einmalige Vorbereitung". Offenbar konnte die Verbindung zwischen Smartphone und Auto mit der fest verbauten SIM-Karte ohne die eigentlich vorgesehene Zwischenstation BMW, wo die Daten geprüft und autorisiert werden, ablaufen. Zudem erfolgte die Kommunikation ohne den üblichen HTTPS-Verschlüsselungsstandard.

Betroffen sind laut BMW weltweit 2,2 Millionen, in Deutschland etwa 423.000 Autos in über 50 Modellreihen der Marken BMW, Mini und Rolls Royce, die seit 2010 mit ConnectedDrive ausgeliefert wurden. Der Hersteller hat das Problem seit dem 8. Dezember 2014 mittels Updates, die ebenfalls über das Mobilfunknetz laufen, überwiegend beseitigt. Ein Werkstattbesuch oder ein Hardware-Tausch sind nicht erforderlich. Wer sein Fahrzeug in letzter Zeit jedoch längere Zeit in einem Funkloch, etwa einer Tiefgarage, abgestellt oder die Fahrzeugbatterie abgeklemmt oder leer hatte, sollte über die BMW-Hotline prüfen, ob sein Fahrzeug das Update korrekt erhalten und installiert hat. Alternativ können Fahrzeugbesitzer die Aktualisierung auch selbst im Menü des Systems anstoßen.

Bisher liegen dem ADAC keine Erkenntnisse darüber vor, dass die Problematik für Straftaten wie Einbrüche oder Diebstähle genutzt wurde. Der Club betonte, dass er keine vollständige Sicherheitsüberprüfung von BMW-Fahrzeugen durchgeführt habe. Die Lücke wurde bei Datenschutz-Tests durch einen vom ADAC beauftragten Experten der c't eher zufällig entdeckt. Es sollte untersucht werden, welche Daten das Auto überträgt und ob etwa bei einem Pannenruf freie Werkstätten benachteiligt werden.

Während der ADAC mit der Entdeckung seinen ramponierten Ruf als Verbraucherschützer etwas aufpolieren dürfte, ist man sich bei BMW des Imageschadens bewusst - und setzt auf Beschwichtigung. Der Konzern erklärte, man habe auf die ADAC-Hinweise schnell reagiert. Der Hersteller bezeichnete sich in diesem Zusammenhang als "führend bei der Vernetzung von Fahrer, Fahrzeug und Umwelt", beschreibt die Sicherheitsproblematik als "potentiell", und behauptet, die Lücke sei "schnell und sicher in allen Fahrzeugen" geschlossen werden. "Der Zugriff auf fahrrelevante Funktionen war zu jeder Zeit ausgeschlossen", heißt es, man habe zeitnah die Sicherheit erhöht, "bevor überhaupt von außen aktiv Daten von Unbefugten abgerufen werden konnten oder auch nur ein Versuch dieser Art gestartet wurde."