Die gute Nachricht zuerst: offensichtlich konnte BMW die Lücke über das Backup bzw. Update-Mechanism schließen, bevor sie allgemein bekannt wurde. Das ist doch schon mal positiv.
Weniger positiv ist, dass die IT-Sicherheitsmechnismen in der Automobilbranche offensichtlich so sind, wie man es sich vorstellt: nämlich ungenügend. Hier wiederholt sich dasselbe Drama wie in anderen Branchen: in IT-Belangen, d.h. auf zunächst ungewohntem Terrain, werden die immerselben Fehler wiederholt. Die Herangehensweise ist blauäugig, und unterschätzt die Gefahr, die von Connectivity ausgeht. Man fokussiert zunächst auf die zu implementierende Funktion, und fügt anschließend hier und da etwas Security hinzu. Und ist dann überrascht, dass ein Einbrecher die wenigen Lücken gefunden hat!
Security ist anders als reine Funktionsentwicklung, und auch anders als Safety. Die letzten beiden sind seid Jahrzehnten in der Automobilbranche implementiert und „gelebte Wirklichkeit“, Security ist – bis auf wenige Ausnahmen – neu. Und ein Auto, das mit dem Internet verbunden ist, stellt völlig neue Herausforderungen an die Entwicklung. BTW, das gilt auch für Kühlschränke-mit-Internet, Smart-TV oder Kernkraftwerke mit Fernwartungsfunktion.
Hier die (lesenswerten) Details zum BMW Hack: http://www.heise.de/ct/ausgabe/2015-5-Sicherheitsluecken-bei-BMWs-ConnectedDrive-2536384.html