BMW schließt eine Sicherheitslücke in der ConnectedDrive Software, die es Hackern ermöglicht, Fahrzeugtüren von 2.2 Millionen Fahrzeugen mit einfachen Mobiltelefonen zu öffnen.

Neben BMW-Fahrzeugen nutzen Rolls-Royce und Mini die BMW ConnectedDrive Software. Die Software funktioniert mit einer integrierten Sim-Karte, die Zutrittskontrolle, Klimaanlage sowie Verkehrsmeldungen steuert. BMW gibt an, dass diese keine Fahr-Firmware, wie beispielsweise die Bremsen oder die Lenkung beeinflusst.

Die Sicherheitslücke wurde vom ADAC festgestellt, bevor Autos von Hackern angegriffen werden konnten. Die ADAC-Experten fanden heraus, dass die Software über ein gefälschtes Telefonnetz kommuniziert und dass ein Außenstehender mit Hilfe eines Mobiltelefons SIM-abhängige Funktionen steuern kann.

Laut ADAC-Vizepräsident Thomas Burkhardt wurde – um Verbrechen zu verhindern – die Nachricht der Sicherheitslücke erst öffentlich gemacht, nachdem BMW nachgerüstet hatte.

Das Sicherheitsupdate, das sich nachträglich zur Korrektur automatisch anwendet, verschlüsselt die Daten über HTTPS (HyperText Transfer Protocol Secure). Online-Banking verwendet dieselbe Technik. Das HTTPS-Protokoll verschlüsselt die Daten und der BMW Group Server überprüft die Identität, bevor das Mobilnetz diese überträgt.

BMW zufolge wird das Update der Software automatisch ausgeführt. Bei Fahrzeugen, die in einer Tiefgarage oder einem Funkloch parken, kann das Update nachträglich manuell durchgeführt werden. Dies betrifft ebenfalls Wagen mit abgeklemmter Batterie.

Kritik wurde vom Sicherheitsexperten Graham Cluley geäußert, der folgende Aussage auf seinem Blog veröffentlichte:

„Man hätte sich wahrscheinlich erhofft, dass die Ingenieure von BMW von Vornherein [an die HTTPS-Nutzung] gedacht hätten.“

Artikel von bbc.com, 02.02.2015: BMW fixes security flaw that left locks open to hackers

Artikel von theregister.co.uk, 02.02.2015: Can’t afford a BMW or Roller? Just HACK its doors open!