Handelsblatt

MenüZurück
Wird geladen.

24.11.2016

14:53 Uhr

Hacker-Kriminalität

Wie man einen Tesla stehlen kann

VonLukas Bay

Norwegische Hacker öffnen und starten ein Model S von Tesla, indem sie eine Sicherheitslücke ausnutzen und die App des kalifornischen Herstellers übernehmen. Der Elektropionier weist aber jede Verantwortung von sich.

Mit einem einfachen Notebook öffnet Benjamin Adolphi ein Model S von Tesla. Screenshot

Digitaler Türöffner

Mit einem einfachen Notebook öffnet Benjamin Adolphi ein Model S von Tesla.

DüsseldorfBenjamin Adolphi läuft mit seinem Notebook in der Hand durch die Straßen von Oslo. Der rothaarige Hacker ist auf der Suche nach einem Model S des kalifornischen Elektropioniers Tesla. Es ist das Auto seines Kollegen Lars Lunde Birkeland. Und Adolphi will es stehlen – ganz ohne Schlüssel, nur mit einer gehackten App. Adolphi arbeitet für die norwegische Sicherheitsfirma Promon, die mit diesem Experiment beweisen will, wie einfach sich vernetzte Fahrzeuge stehlen lassen. Es ist eine Promo-Aktion. Allerdings eine, die große Fragezeichen hinter der Sicherheit des schlüssellosen Systems hinterlässt.

Adolphi nutzt für seinen fingierten Diebstahl eine Sicherheitslücke im Betriebssystem Android, die auch andere Cyberkriminelle bereits nutzen – beispielsweise um Kreditkarten-Daten abzugreifen. In der Nähe einer Ladestation richtet er ein kostenloses Wlan-Netzwerk ein, das Tesla-Fahrer mit einem besonderen Angebot locken soll. Es gibt vor, zu einem benachbarten Fastfood-Restaurant zu gehören – und wer auch auch noch eine App installiert, bekommt sogar einen Burger gratis.

Was Tesla-Fahrer dabei nicht sehen: Das Programm verschafft sich heimlich Zugriff auf das Betriebssystem. Nach der Installation kann Adolphi daher die Kontrolle über die installierte Tesla-App übernehmen, indem er Nutzernamen und Passwort abgreift. Danach geht alles ganz schnell: Mit einem Notebook kann der Hacker das Model S suchen, öffnen und sogar starten.

Aus Sicht der Sicherheitsfirma ein klarer Schwachpunkt der Tesla-App. Demnach speichere die App unter anderem den Code für die Authentifizierung, Token genannt, im Klartext ab, was das Abgreifen deutlich erleichtere. Darüber hinaus verfüge das Programm über keine eigene Tastatur und sei so anfällig für Keylogger, die alle Eingaben aufzeichnen.

Zehn Tipps für mehr IT-Sicherheit

Geschäftsleitung involvieren

Oft beschneidet das Management aus Renditegründen das Budget. Daher: Informieren und sicherstellen, dass die Firmenlenker die Tragweite des Sicherheitsprojekts erkennen.

Bestandsanalyse durchführen

Geräte und Lösungen sowie ihre Eignung für die Abwehr von Cyberattacken katalogisieren - ebenso Rechteverwaltung, Sicherheitsbewusstsein sowie interne und externe Gefahren.

Einsatzteam aufbauen

Eine zentrale Abteilung stimmt alle sicherheitsrelevanten Punkte aufeinander ab. Silos sind wenig effizient und übersehen Sicherheitslücken. Ratsam: einen Chief Information Security Officers ernennen.

Sicherheitsstrategie entwickeln

Wie viel darf welche Sicherheitsmaßnahme kosten, welche Risiken werden in Kauf genommen? Anschließend Budget- und Personal-Szenarien entwerfen.

Budgets verhandeln

Je früher Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie nötige Ausgaben nachvollziehen - und desto konstruktiver gestalten sich Verhandlungen.

Sicherheitsrichtlinien ausarbeiten

Und zwar unternehmensweit: Diese sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen.

Systeme und Updates installieren

Nicht nur moderne Systeme und Lösungen, die es mit fortschrittlichen Attacken aufnehmen, sind essenziell - aktuelle Updates sind es ebenfalls.

Schulungen vorsehen

Auf Basis eines mittelfristigen Schulungsplans festlegen: Wer wird wie oft zu welchen Themen aus- beziehungsweise fortgebildet?

Der Geschäftsleitung berichten

Dann bleibt sie dem Sicherheitsprojekt gewogen. Eine grafische Aufbereitung der Sicherheitslogs sensibilisiert nachhaltig.

Kontrollschleife einbeziehen

Regelmäßig die Effizienz neuer Maßnahmen und Strukturen durchleuchten. Dabei neue Gefahren, Lösungen am Markt sowie Organisationsveränderungen berücksichtigen.

Quelle

Schluss mit dem Silodenken: Geht es nach den Experten von Dell, sollten Mittelständler ihre Sicherheitsstrategie im Rahmen eines abteilungsübergreifenden Projekts auf einheitliche Füße stellen - und zwar mit folgenden zehn Schritten (erschienen im Magazin creditreform 06/2016):

Bei Tesla sieht man das natürlich anders. „Diese Demonstration zeigt nur, dass die Apps eines Smartphones nicht mehr sicher sind, wenn das Smartphone gehackt wurde“, teilt das Unternehmen mit. Das sei allerdings kein spezifisches Problem der Tesla-App. Man empfehle seinen Nutzern darum, immer die aktuellste Version des Betriebssystems zu installieren. Damit schiebt der Elektropionier die Verantwortung in erster Linie auf die Entwickler des Betriebssystems ab. 

Kommentare (4)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Rainer von Horn

24.11.2016, 14:58 Uhr

Beitrag von der Redaktion gelöscht. Bitte bleiben Sie sachlich.

Herr Clemens Keil

24.11.2016, 15:06 Uhr

Beitrag von der Redaktion gelöscht. Bitte achten Sie auf unsere Netiquette: „Kommentare sind keine Werbeflächen“ http://www.handelsblatt.com/netiquette 

Account gelöscht!

24.11.2016, 15:07 Uhr

Ich stelle mir die schwerwiegendere Frage...wenn man das schon so leicht knacken kann, dann kann man auch die Kontrolle über den fahrenden Tesla erlangen. Sehr beruhingend ist das nicht gerade.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×