Schwerer Imageschaden für BMW: Monatelang waren Millionen Fahrzeuge der drei Konzernmarken mit einer Sicherheitslücke
im Connected-Drive-System unterwegs. Sie ermöglichte nach ADAC-Recherchen das unbefugte Öffnen via Handy. Ein Update
sorgt inzwischen für Sicherheit, BMW beschwichtigt.
BMW
Es wird nicht der letzte Lapsus dieser Art sein: Über zwei Millionen
Autos von BMW und Mini ließen sich via "Connected Drive" von außen unbefugt öffnen
2,2 Millionen BMW ließen sich über Mobilfunk von außen öffnen, weil ihr IT-System "Connected Drive" eine Sicherheitslücke aufwies.
Das berichtet der ADAC heute, der die Schwachstelle schon im November oder Dezember 2014 ausfindig gemacht hatte und den
Hersteller zunächst intern informierte, um keine kriminellen Nachahmer auf den Plan zu rufen.
Der ADAC hat die Problematik nach eigenen Angaben an mehreren Fahrzeugen nachgewiesen. "Der Eingriff hinterlässt keine Spuren und
läuft in Minutenschnelle ab", erklärte ein Sprecher. Wie genau dieser vonstatten ging, erläuterte der Club nicht. Es heißt, Voraussetzung sei
eine "einmalige Vorbereitung". Offenbar konnte die Verbindung zwischen Smartphone und Auto mit der fest verbauten SIM-Karte
ohne die eigentlich vorgesehene Zwischenstation BMW, wo die Daten geprüft und autorisiert werden, ablaufen. Zudem erfolgte die Kommunikation
ohne den üblichen HTTPS-Verschlüsselungsstandard.
Betroffen sind laut BMW weltweit 2,2 Millionen, in Deutschland etwa 423.000 Autos in über 50 Modellreihen der Marken BMW, Mini und Rolls Royce, die
seit 2010 mit ConnectedDrive ausgeliefert wurden. Der Hersteller hat das Problem seit dem 8. Dezember 2014 mittels Updates, die ebenfalls
über das Mobilfunknetz laufen, überwiegend beseitigt. Ein Werkstattbesuch oder ein Hardware-Tausch sind nicht erforderlich. Wer sein
Fahrzeug in letzter Zeit jedoch längere Zeit in einem Funkloch, etwa einer Tiefgarage, abgestellt oder die Fahrzeugbatterie abgeklemmt
oder leer hatte, sollte über die BMW-Hotline prüfen, ob sein Fahrzeug das Update korrekt erhalten und installiert hat. Alternativ
können Fahrzeugbesitzer die Aktualisierung auch selbst im Menü des Systems anstoßen.
Bisher liegen dem ADAC keine Erkenntnisse darüber vor, dass die Problematik für Straftaten wie Einbrüche oder Diebstähle genutzt wurde.
Der Club betonte, dass er keine vollständige Sicherheitsüberprüfung von BMW-Fahrzeugen durchgeführt habe. Die Lücke wurde bei
Datenschutz-Tests durch einen vom ADAC beauftragten Experten der c't eher zufällig entdeckt. Es sollte untersucht werden, welche Daten
das Auto überträgt und ob etwa bei einem Pannenruf freie Werkstätten benachteiligt werden.
Während der ADAC mit der Entdeckung seinen ramponierten Ruf als Verbraucherschützer etwas aufpolieren dürfte, ist man sich bei BMW des
Imageschadens bewusst - und setzt auf Beschwichtigung. Der Konzern erklärte, man habe auf die ADAC-Hinweise schnell reagiert. Der Hersteller
bezeichnete sich in diesem Zusammenhang als "führend bei der Vernetzung von Fahrer, Fahrzeug und Umwelt", beschreibt die Sicherheitsproblematik
als "potentiell", und behauptet, die Lücke sei "schnell und sicher in allen Fahrzeugen" geschlossen werden. "Der Zugriff auf fahrrelevante
Funktionen war zu jeder Zeit ausgeschlossen", heißt es, man habe zeitnah die Sicherheit erhöht, "bevor überhaupt von außen aktiv Daten von
Unbefugten abgerufen werden konnten oder auch nur ein Versuch dieser Art gestartet wurde."