Kunden haben leider Pech: Volkswagen schlampt bei Verschlüsselung von Schließsystemen

Um den Einsatz von Verschlüsselung tobt ein erbitterter Kampf. CC BY-SA 2.0, via flickr/kris krüg

Funkbasierte Schließsysteme können bei Autos praktisch sein, um nicht ständig einen Schlüssel rein- und rausstecken zu müssen. Blöd wird es nur für die Kunden, wenn die Schließsysteme unsicher sind, denn dann gibt es keine Beweisspuren im Falle eines Autodiebstahles. Und dieser wird spielend einfach, wenn man die richtigen Informationen hat. Tagesschau.de berichtet, dass Sicherheitsforscher aus Bochum und Birmingham Sicherheitslücken in den Autoschlüsseln von verschiedenen Herstellern ausgemacht, besonders betroffen sind Autos von Volkswagen, die ab 1995 hergestellt wurden: 100 Millionen Autos betroffen – Sicherheitslücken bei Funkschlüsseln .

Den Forschern ist es gelungen, bei den betroffenen Volkswagen-Fahrzeugen das kryptographische Geheimnis aus dem Chip eines solchen Schließsystems zu extrahieren und damit die Funkfunktion eines Schlüssels beliebig zu reproduzieren. Der Vorgang dauert weniger als eine Sekunde. Dazu genügt es, dass die Forscher das verschlüsselte Signal des Autoschlüssels ein einziges Mal mitschneiden. Das unterscheidet die Methode von allen bislang bekannten Angriffen, die vor allem auf der Manipulation eines echten Funksignals basierten.

Bei Volkswagen soll es insgesamt nur eine Handvoll Masterschlüssel gegeben haben, die fest einprogrammiert worden seien. Wenn man den Masterschlüssel hat, den die Sicherheitsforscher gefunden haben, kann man beliebig Schlüssel nachbauen und Autos klauen. Die Dummen sind die Kunden, deren Autos mit dieser Methode geklaut werden können. Und die sich dann auf eigene Kosten ein neues Auto kaufen müssen.

Aber nicht alle Volkswagen-Autos sollen betroffen sein, einige wenige aktuelle Modelle haben wohl eine andere Verschlüsselung bekommen:

Ob neben den genannten Modellen weitere VW betroffen sind und wie Besitzer reagieren sollten, dazu schweigt der Konzern. Ein Sprecher teilte lediglich mit, dass die aktuellsten Generationen von Golf, Tiguan, Touran und Passat nicht betroffen sind. Auf die Nachfrage, ob das bedeute, dass alle anderen Fahrzeuge betroffen seien, antwortete er nicht.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. Man muss ja nicht nur das Auto klauen. Es reicht ja Wertgegenstände aus dem Auto zu entfernen. Oder für Geheimdienste Interessant, Dinge ins Auto tun. Bomben, Beweise, Drogen, …, der Fantasie sind da keine Grenzen gesetzt.

  2. Schlimme Sache, vor allem wenn der Fall X eintreten sollte und die geschädigten Autokäufer genötigt werden eventuellen Schadensersatz geltend zu machen, so haben sie wohl nicht besonders gute Karten bei der Gerichtsbarkeit in Deutschland. Reine Vemutung von mir, wenn man die Paralellen zu den Prozessen um Schadensersatz betreffend Abgasbetrugs sieht.

  3. @Martin: Bist Du so interessant, dass sich die Dienste mit Dir dahingehend beschäftigen? Warum wird immer gleich mit so hammerharten Beispielen argumentiert? Alle Paranoia? Geht einfach mal vom normalen Leben aus. Sofern das noch möglich ist …

    Wenn man eine Teilkasko hat ist der Diebstahl versichert. Man muss nicht beweisen wie das Auto gestohlen wurde. Zumal man es nicht weiß, wenn es weg ist. Und wenn es weg ist und nicht abgeschleppt wurde weil man in einer FAZ oder sonstwo besch*** geparkt hat, ist es gestohlen.
    Anzeige bei der hier allseits ungeliebten Polizei und Meldung an die Versicherung.

    1. … öhm … Heinrich vB … der Martin evtl. nicht!
      Aber evtl. Du?
      Ich liebe Szenarien!
      Nehmen wir mal an, dein PKW bzw. Du hast eine Zugangsberechtigungskarte … tja, wofür?
      Für ein Gelände mit viel Publikumsverkehr!
      … nun hat ein „verwirrter“ Mitarbeiter eines Dienstes, die Idee einen Fremdkörper, getränkt mit Pikrinsäure (Pikrinsäure inzwischen im KFZ getrocknet, höhö) in deinem Auto zu Platzieren … und hat es auch gemacht!
      Nun fährst du auf das Gelände, der verwirrte Mitarbeiter des Dienstes zündet den Fremdkörper … und … wie fühlst du dich nun bei diesem Szenario?

      100 Millionen Fahrzeuge, auch Dienstwagen der Polizei … ist doch Ideal für gefakte Anschläge, nicht?
      Der Polizist steigt aus, das Auto geht hoch … keiner ist mehr Sicher!
      Neue Gesetze … Ausgangssperren … Ausnahmezustand!
      Was hättest du gern für Pläne?
      Ich kann sie die Liefern … hier … einfach so aus dem Ärmel geschüttelt!
      Aber kann das ein Schreiber einfach so tun, oder parkt im Hintergrund etwas Böses?

      1. Ja, das alles war auch ohne diese Entdeckung möglich. Am wahrscheinlichsten ist daher immernoch der Diebstahl… Und der ist i. d. R. versichert. Wenn nicht, war es kein hochwertiges Auto (hochwertig aus Sicht des Besitzers es ausreichend zu versichern). Ich verstehe nicht, warum hier viele immer so übertreiben müssen.Wir sind für Dienste nicht interessant genug, akzeptiert das halt mal ;)

        1. Wenn keine Einbruchspuren vorhanden sind zahlt die Versicherung genau null komma nichts, nicht den Laptop, nicht den Hund, nichts, egal ob Auto oder Wohnung, es sei denn, es besteht ein gewisser öffentlicher medialer Druck ;)

        2. Klara hat recht!
          Einem Bekannten von mir ist folgendes passiert, Ihm wurde sein ML 350 geklaut, der blieb auf der Autobahn ohne Sprit stehen (defekte Tankanzeige, hing beim letzten Balken, wer es nicht wusste …) die Polizei stellte fest, keine Einbruchspuren!
          Rate mal mit Rosenthal, wer da den Ärger an der Backe hatte!
          … und seine Unschuld Nachweisen musste!
          Noch lustiger war dann der Brief, der vom Ordnungsamt kam … eines mit Foto!
          Mit diesem Ging er dann zur Polizei … Verfahren eingestellt!
          Das Ordnungsamt brummte meinem Bekannten ein Fahrtenbuch auf, weil er den Namen des Fahrers nicht benennen konnte!
          … wir haben ein zusätzliches Sicherheitssystem eingebaut … und zusätzlich die Fernentriegelung deaktiviert!

  4. Nun, die Allianz zahlt. Vielleicht sind deswegen die Prämien etwas höher, aber dort weiß man, dass heutzutage Autos auch ohne Spuren zu hinterlassen geöffnet werden können.
    Und deren Teil- und Vollkasko gilt auch fast weltweit. Gewisse Versicherungen nehmen bei speziellen Autos ja schon Süditalien aus …
    Der Fall des ML oben wäre nach genauem Studium der Hintergründe an einen guten RA zu übertragen.

  5. Wir sind nicht interessant genug, deswegen wird die Massenüberwachung ohne wenn und aber ausgebaut anstatt Techniken zu entwickeln mit denen man einzelne Überwachen kann. Ich wünschte ich wäre auch so Naiv.

    Und ich wünschte auch ich würde solchen Rhetorik Bullshit wie „Wieso muss man so übertreiben, wir sind nicht interessant genug“ nicht erkennen und könnte auch in so einer Rosa-Einhorn-Ponny Welt Leben. Ich hab nie gesagt, dass ich mich als Ziel von Geheimdiensten sehe, sondern nur eine Möglichkeit aufgezeigt. Aber schön schon mal das Buckeln üben. Dann werden bestimmt erst die anderen geholt.
    Nur mal so, Geheimdienste haben, ist noch gar nicht so lange her, einen Menschen mit Polonium vergiftet und dabei eine Radioaktive Spur durch halb Europa gezogen. Da ist das Ausnutzen von solchen Lücken für irgend etwas, sicherlich nicht ganz unwahrscheinlich da deutlich einfacher und billiger.

  6. Diese Lachnummer mit den elektronischen Schliessystemen ist schon viele Jahre bekannt. Ich denke, vor allem VW, hat den nächsten Skandal!

  7. Der IQ scheint proportional mit dem Gewicht des SUV’s abzunehmen.
    Die Lösung: die gute alte stählerne Schlosssperrstange zwischen Lenkrad und Bremspedal
    einhängen – fertig.
    Die Folge: der suchende, laptopbewaffnete Klauer guckt in’s Auto, sieht die Stange und sucht sich
    einen blöderen SUV Besitzer.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.