Volkswagen verhindert Veröffentlichung von Sicherheits-Forschern

Martin Schindler,

Auch moderne Luxuskarossen sind vor Hackern nicht gefeit. Das haben Sicherheitsforscher herausgefunden. Doch anstatt die Sicherheit nachzubessern, lassen Autofirmen lieber die Veröffentlichung eines Papers gerichtlich unterbinden.

Megamos CryptoDer britsche Forscher Flavio Garcia, der Universität Birmingham hat es geschafft, den Sicherheitscode von elektronischen Autoschlüsseln zu knacken. Er war in der Lage, Luxus-Autos wie Bentley, Audi oder Porsche auch ohne entsprechenden Token zu starten. Dafür hat er den Algorithmus geknackt, der dieser Sicherheitstechnologie zu Grunde liegt.

Doch Volkswagen hatte gegen die Veröffentlichung des Forschungs-Papers “Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobiliser” geklagt und vor dem britischen High Court recht bekommen.

Die Veröffentlichung einer abgespeckten Version ohne Code-Beispiel haben Garcia und seine Kollegen von der Stichting Katholieke Universiteit in den Niederlanden abgelehnt. Ursprünglich wollten die Forscher ihre Ergebnisse auf dem Usenix Security Symposium in Washington DC vorstellen, das im August statt findet.

Ganz von der Hand sind die Argumente von Volkswagen indes nicht. Die Megamos-Verschlüsselungs-Technologie bildet die Grundlage für Millionen von Fahrzeugen und eine Veröffentlichung der Lücken, würde eine ernsthafte Bedrohung für die Sicherheit bedeuten.

Mit den Informationen der Wissenschaftler, so meldet der britische Guardian, könnten vor allem gut organisierte Verbrecher mit den richtigen Werkzeugen die Fahrzeuge entwenden. Garcia und seine Kollegen Baris Ege und Roel Verdult jedoch erklären, dass sie verantwortungsbewusste Akademiker sind, die legale akademische Arbeit leisten.

Ihre Absicht sei, die Sicherheit zu verbessern und nicht Kriminiellen ein Werkzeug an die Hand zu geben. Und auch die Öffentlichkeit habe ein Recht darauf, die Sicherheitslecks zu kennen. Vielleicht sollte man noch erwähnen, dass die komplexen mathematischen Studien seit 2009 im Internet veröffentlicht waren.

Der Richter sehe zwar auch das Recht auf freie akademische Forschung, dennoch würde die Veröffentlichung Verbrechen begünstigen.

Auf der Hacker-Konferenz Defcon wollen die Forscher Charlie Miller und Chris Valasek ebenfalls ihre Forschungsergebnisse vorstellen. In einem Interview mit Forbes erklärten sie, dass sie in der Lage seien, das Lenkrad zu kontrollieren oder auch die Bremsen eine Fahrzeugs abzustellen, ohne dass der Fahrer seine Einwilligung geben muss. Dafür hätten die Forscher die Software der Control-Units der Fahrzeuge überschrieben.

[mit Material von Tom Brewster, TechWeekEurope]