Sicherheitslücken bei BMW Connected Drive

25.2.2019

Der ADAC hat bei BMW-Fahrzeugen mit der Ausstattung Connected Drive 2014 Sicherheitslücken festgestellt. Weltweit sind davon 2,2 Millionen Fahrzeuge betroffen. Wir sagen, welche Modelle betroffen sind und was Autobesitzer beachten sollten. 

1902-bmw-connected-drive-926x383
Wir fordern, dass Computertechnik im Auto zeitgemäß gegen Manipulation und illegale Zugriffe geschützt wird.
Zurück

Was sollen betroffene Autobesitzer tun?

Laut Hersteller sind keine Werkstattbesuche und auch kein Teiletausch für das Schließen der Sicherheitslücken erforderlich. Die Abhilfe erfolgt vielmehr per Mobilfunk direkt an die betroffenen Fahrzeuge. Die Fahrzeugbesitzer können nicht selbst erkennen, ob ihr Fahrzeug abgearbeitet wurde.

Wer hierüber Gewissheit erlangen will, soll die BMW-Hotline-Nummer 089 / 12 50 16 01 0 anrufen. Dies wird insbesondere bei Fahrzeugen empfohlen, die in den vergangenen Monaten in Tiefgaragen oder an anderen Orten ohne Mobilfunkempfang gestanden haben oder bei denen die Starterbatterie zeitweise abgeklemmt war. Alternativ können Fahrzeugbesitzer die Aktualisierung auch selbst anstoßen, indem sie im Menü ihres Autos "Dienste aktualisieren" auswählen.

BMW Connected Drive erlaubt den damit ausgestatteten Fahrzeugen, via Mobilfunk (und mittels fest verbauter SIM-Karte) Informationen mit dem Auto-Hersteller auszutauschen (je nach Modell u.a. Wartungsfälligkeiten, Batterie-Zustand, Stau-Daten). Außerdem können dem Fahrzeug per Smartphone-App über einen Hersteller-Server Befehle wie "Fahrertür öffnen", "Hupe aktivieren" etc. gesendet werden.

 

Zurück

Um diese Modelle geht es

Betroffene Fahrzeuge (laut Hersteller-Angaben): Alle Modelle mit Connected Drive ab Produktion März 2010 bis einschließlich 8. Dezember 2014.

In Deutschland sind insgesamt 423.000 Fahrzeuge betroffen; in Europa 1,2 Millionen und weltweit 2,2 Millionen. Fahrzeuge mit Produktionsdatum ab 9. Dezember 2014 oder später weisen laut Hersteller diese Sicherheitslücken nicht mehr auf.

Die Umstellung der betroffenen Fahrzeuge auf verschlüsselte Kommunikation erfolgt durch BMW per Mobilfunk und soll bis 31. Januar 2015 weitgehend erreicht sein. Es ist kein Werkstatt-Besuch erforderlich, es werden keine Teile oder Software ausgetauscht. BMW hat nach eigenen Aussagen das Kraftfahrtbundesamt (KBA) informiert.

BMW

1er mit Cabrio, Coupé und Touring (E81, E82, E87, E88, F20, F21) 2er Active Tourer, Coupé und Cabrio (F22, F23, F45) 3er mit Cabrio, Coupé, GT, M3 und Touring (E90, E91, E92, E93, F30, F31, F34, F80) 4er Coupé, Cabrio, GranCoupé und M4 (F32, F33, F36, F82, F83) 5er mit GT und Touring (F07, F10, F11, F18) 6er mit Cabrio und GranCoupé (F06, F12, F13) 7er (F01, F02, F03, F04) I3 (I01), I8 (I12) X1 (E84), X3 (F25), X4 (F26), X 5 (E70, F15, F85), X6 (E71, E72, F16, F86), Z 4 (E89)  

Mini

Dreitürer und Fünftürer (F55, F56) 

Rolls Royce

Phantom mit Coupé und Drophead Coupé (RR1, RR2, RR3) Ghost (RR4) Wrait (RR5)

Zurück

Sicherheitslücken im Detail

  • Remote Services: unberechtigtes Ausführen von Fern-Funktionen, z. B. Türöffnen
  • Last State Call: Auskundschaften von Fahrzeugstandort und Verriegelungszustand
  • Real Time Traffic Informations (RTTI): Mitlesen aktueller Fahrzeugstandorte und z. B. gefahrene Geschwindigkeiten, Tracking von Fahrzeugen (Datenschutz!)
  • Intelligenter Notruf: im Steuergerät hinterlegte Rufnummern, z.B. für Notrufe, können verändert werden

  • BMW Online: Mitlesen von privaten E-Mails (Datenschutz!)


Zurück

ADAC Forderungen

Der ADAC hat in seiner Eigenschaft als Verbraucherschützer den Hersteller BMW aufgefordert, diese Sicherheitslücken umgehend zu schließen und über den Fortgang der Arbeiten laufend zu informieren. Die Sicherheitslücken sollen laut BMW bis 31. Januar 2015 durch Einschalten einer Verschlüsselung der Kommunikation mit dem Fahrzeug geschlossen worden sein. Wir konnten nicht überprüfen, ob die Sicherheitslücken wirklich bei allen betroffenen Autos geschlossen wurden.

Um keine Nachahmer auf den Plan zu rufen und die Fahrzeuge der betroffenen Verbraucher keinem erhöhten Einbruchs- oder Diebstahlsrisiko auszusetzen, hat der ADAC mit einer Veröffentlichung gewartet, bis die Sicherheitslücke vom Hersteller geschlossen wurde. Bisher liegen dem ADAC keine Erkenntnisse vor, dass diese für Straftaten genutzt worden wären.

Der ADAC fordert, dass Computertechnik im Auto zeitgemäß gegen Manipulation und illegale Zugriffe geschützt wird. Dieser Schutz muss nach Standards erfolgen, wie sie in anderen Branchen (z. B. IT-Industrie) längst üblich sind. Außerdem muss dieser Schutz von neutraler Stelle bestätigt werden, etwa per Common-Criteria-Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Bonn.