Remote-Apps: Fernbedienung fürs Auto

7.9.2018

Sie haben Ihr Auto abgestellt und fragen sich später, ob das Fahrzeug wirklich abgesperrt ist? Oder Sie haben in einer fremden Stadt geparkt – können sich aber nicht mehr an den Ort erinnern? Jetzt den Wagen ferngesteuert verriegeln oder per GPS-Ortung wiederfinden, wäre eine Lösung. Das geht mit sogenannten Remote-Apps, die zahlreiche Hersteller anbieten. Wir haben drei dieser Apps detailliert untersucht.

Handydisplay mit Remote App im Vordergrund, im Hintergrund fährt eine Frau Auto
Mit Remote-Apps können Sie über das Smartphone Fahrzeugfunktionen fernsteuern.

Mehr als 20 Fahrzeughersteller bieten aktuell Remote-Apps an. Die Fernsteuerungsfunktion ist dabei an Ausstattungspakete gebunden (meist in der Oberklasse) oder als Einzelfunktion wählbar. Auch in der Angebotsbreite unterscheiden sich die Apps zum Teil massiv. 

Das können die Remote-Apps verschiedener Hersteller (PDF-Download1,4 MB)

Prinzipiell bieten alle führenden deutschen Pkw-Hersteller Remote-Apps mit zahlreichen Funktionen an. Wichtige asiatische Hersteller wie Mazda, Toyota, KIA und Hyundai oder auch die Franzosen Citroën und Peugeot hatten hingegen zum Zeitpunkt der Untersuchung Ende 2017 keine Fernsteuerungs-Apps im Angebot.

Die angebotenen Funktionen der Remote-Apps lassen sich in zwei Hauptgruppen unterteilen: 

  • informativ: Fahrzeuginformationen wie Standort, Restreichweite oder Inspektionsintervalle werden in der App angezeigt. Ein Eingriff ist nicht möglich.
  • steuernd: Funktionen wie Tür-/Fensterverriegelung, Ladedauer oder Standheizung können über das Smartphone angewählt und gesteuert werden.

IT-Sicherheit von Remote-Apps

Zentraler Punkt der von der ERNW Enno Rey Netzwerke GmbH im Auftrag des ADAC durchgeführten Untersuchung war die IT-Sicherheit. Denn Remote-Apps rücken zunehmend ins Visier versierter Angreifer. Gelänge es Autodieben etwa, Benutzerkonten zu übernehmen, wäre nicht nur eine exakte Ortung, sondern auch eine direkte Entriegelung des Fahrzeugs möglich. Stichprobenartig wurden folgende Android-Apps in einem sogenannten Penetrationstest einer statischen, dynamischen und einer Netzwerk-Analyse unterzogen:

  • BMW Connected (Version 3.1.1.3078)
  • Renault My Z.E. (Version 1.0.3.)
  • VW Car-Net (Version 4.3.4.)


Die Sicherheit wurde bei allen drei Apps in den meisten Bereichen eingehalten. Dennoch gab es u.a. folgende Mängel: Die Renault-App speichert sensible Daten in einer unverschlüsselten Datenbank direkt auf dem Smartphone. Nutzerdaten können dadurch bei Angriffen manipuliert werden.

Durch Ausnutzung einer weiteren Sicherheitslücke könnten versierte Angreifer hier, ebenso wie bei der VW-Car-Net-App, den Datenverkehr zur Cloud lesen und verändern.

Die BMW-Connected App übermittelt die Anmeldeinformationen über eine unsichere Methode und verlangt ein schwaches, einfach zu überwindendes Passwort. Alle drei Remote-Apps beenden außerdem nach einem Log-out die Sitzung nicht korrekt. Deshalb kann ein Angriff von außen durch den Nutzer nicht unterbunden werden. 

Fazit: Es wurde bei keiner der drei Apps eine kritische Sicherheitslücke gefunden, das Risiko der festgestellten Mängel ist als „mittel“ einzuschätzen. Im Extremfall können diese Mängel allerdings zu einem Fremdzugriff auf das Benutzerkonto und zu einer Steuerung aller Remote-Funktionen führen.

Die von uns informierten Hersteller BMW, Renault und Volkswagen haben die Schwachstellen bestätigt und Verbesserungen angekündigt.

Unsere Tipps und Forderungen

Die durch den Hersteller gesammelten Daten sollten für den Fahrzeugbesitzer frei einsehbar sein, eine Deaktivierung der Datenübertragung im Fahrzeug muss jederzeit möglich sein. Die Hersteller sollten außerdem strengere Passwortrichtlinien implementieren und dafür sorgen, dass bestimmte Funktionen in der App aus Sicherheitsgründen während der Fahrt deaktiviert werden. Die Konzeption, Entwicklung und Umsetzung von Remote-Apps durch den Hersteller muss nach aktuellen IT-Sicherheitsrichtlinien erfolgen.