Moderne Autos lassen sich mit dem Smartphone verbinden und per App steuern. Das Handy wird so zur Fernbedienung für vernetzte Autos. Aus der Distanz kann man die Klimaanlage regeln oder das Fahrzeug auf- und abschließen. Die Schattenseite: Unbefugte können das Auto aufspüren, Routen abbilden oder sogar Fahrzeugfunktionen manipulieren. Reportern des BR-Politikmagazins "Kontrovers" gelang es wochenlang über einen Fernzugriff per Auto-Handy-App, ein fremdes Fahrzeug zu orten und die gesamte Lebenssituation eines völlig ahnungslosen Autofahrers und seiner Familie abzubilden. Und das alles, weil die Apps der Automobilhersteller schlecht gesichert sind.
Handy noch nach Jahren mit Auto verbunden
Audi und viele andere Automobilhersteller bieten solche Apps mittlerweile an. Mit einer PIN, der Fahrgestellnummer und noch ein paar weiteren Klicks kann man sein Fahrzeug mit dem Handy verbinden. Diesen Service hat auch Sven Prang bei seinem ehemaligen Auto genutzt. 2017 hatte er einen Audi A3 e-tron als Geschäftswagen geleast und 2019 an ein Audi-Zentrum zurückgegeben. Jetzt hat er verblüfft festgestellt, dass er immer noch sein früheres Auto auf dem Smartphone nachverfolgen kann. Dabei hatte er sich damals aus der App abgemeldet.
Bewegungsdaten zugänglich: Schock für neuen Autobesitzer
Aus den Bewegungsdaten des Fahrzeugs konnte Sven Prang schließen, wo der neue Fahrer wohnt, dass er in seiner Freizeit Golf spielt und dass er wohl in Tirol im Urlaub war. Die Reporter nehmen mit dem jetzigen Halter des Audis Kontakt auf. Der ahnungslose Autobesitzer ist schockiert darüber, welche Daten für andere zugänglich sind. Die Rückschlüsse, die der ehemalige Besitzer aus den Bewegungsdaten gezogen hat, bestätigt er.
Video: Die Story: Risiko Hightech-Auto: Spionage per Handy-App
Problem bei IT-Experten bekannt
Dieser Vorfall ist kein bedauerlicher Einzelfall. Bei der Computerzeitschrift c‘t ist das Problem bekannt. Redakteur Sven Hansen hat bei Tests von Fahrzeugen bereits selbst die Erfahrung gemacht, dass er über die App noch lange Zugriff auf Fahrzeuge hatte, obwohl sie bereits einen neuen Besitzer hatten. Dabei mache es keinen Unterschied, von welcher Marke das Fahrzeug ist oder wie teuer es war, berichtet IT-Experte Hansen. Auch hier machen die "Kontrovers"-Reporter das Experiment: Bei einem Mazda, den c’t vor Kurzem testete, kann Sven Hansen die Funktionen des Fahrzeugs aus der Ferne bedienen. Über die App kann er nicht nur den Standort feststellen, sondern das Fahrzeug sogar entriegeln – obwohl er über 200 Kilometer entfernt ist.
ADAC fordert besseren Sicherheitscheck durch Hersteller
Der Automobilclub ADAC kritisiert, dass die Hersteller diese Apps und Services anbieten, ohne dass es einen echten Sicherheitscheck der IT gebe. Zwar seien die Vorbesitzer gemäß den Datenschutzbestimmungen und AGB verpflichtet, sich von der App abzumelden. Diese Abmeldung funktioniere allerdings nicht immer, denn nicht alle Services und Datenströme würden dadurch unterbunden werden, erklärt ADAC Sprecherin Katrin van Randenborgh. Der Automobilclub fordert die Hersteller deshalb auf, strengere Passwortrichtlinien einzuführen.
Hersteller sehen Halter in der Verantwortung
Audi, Mazda und viele andere Hersteller werben mit ihren Connect-Funktionen. Wenn sie nach einem Fahrzeugwechsel noch zugänglich sind, machen die Automobilfirmen hauptsächlich die vorherigen Halter dafür verantwortlich. Der Verband der Automobilindustrie weist eine Verantwortung der Hersteller zurück. Auf Anfrage des BR-Politikmagazins "Kontrovers" heißt es: "Der Hersteller darf Daten ohne die Zustimmung der Kunden (…) nicht löschen. Der Fahrzeughalter hat die uneingeschränkte Souveränität über die eigenen Daten und natürlich die Möglichkeit, Daten wieder zu löschen."
Regelmäßige Aktualisierung könnte Sicherheit schaffen
Die Hersteller sehen also allein die Fahrzeughalter in der Pflicht. Bei einem Wechsel müsse die Verbindung des Smartphones zum Fahrzeug gelöscht werden.
Sven Hansen von der Computerfachzeitschrift c’t plädiert für eine weitergehende Lösung: Würden die Nutzer die Verbindung ihres Smartphones in regelmäßigen Abständen erneuern müssen, würden automatisch diejenigen aus dem System fallen, die das Fahrzeug gar nicht mehr nutzen.
Das könnte eine einfache Lösung sein, damit das Auto nicht zur Datenschleuder wird.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!