Sicherheit ist gerade bei einem hochvernetzten Fahrzeug wie einem Tesla besonders wichtig. Durch meine Erfahrungen als Spezialist für Netzwerksicherheit und Tätigkeit in meinem Softwareunternehmen bin ich öfter mit diesem Thema konfrontiert.
Daher möchte ich in diesem Blog einige wichtige Tipps geben wie es Kriminellen möglichst schwer gemacht werden kann.
Was kann überhaupt passieren?
Hat ein Angreifer ersteinmal Zugriff auf meinen Tesla Account gibt es einige Möglichkeiten mit denen er mir schaden zufügen kann.
- Shop Einkäufe: Mit den für das Supercharging hinterlegten Zahlungsdaten kann der Angreifer auf Shoppingtour gehen, die Waren an eine fremde Adresse schicken lassen und diese Waren anschließend verkaufen.
- Diebstahl des Fahrzeugs: Der Angreifer könnte einen, mit Fake-Daten angelegten, Tesla Account als zusätzlichen Fahrer für das/die Fahrzeug/e hinterlegen und bekäme innerhalb weniger Minuten vollen Zugriff. Über die Smartphone App kann er das Fahrzeug öffnen und wegfahren. Sobald er das Fahrzeug in D geschalten hat, deaktiviert er den Mobilzugriff und/oder stört das LTE Signal bzw. entfernt die Antenne oder SIM. Somit wird auch der rechtmäßige Eigentümer ausgesperrt.
- Entfernen des Fahrzeugs aus dem Account: Das Entfernen aus dem Account wird regulär zum Eigentümerwechsel genutzt. Einen wirklichen Profit kann der Angreifer hieraus nicht schlagen, allerdings kann es dem rechtmäßigen Eigentümer einiges an Nerven kosten.
Wie kann ich mich schützen?
Einen 100%igen Schutz gibt es selbstverständlich nie im Leben. Allerdings lässt sich mit wenigen, einfachen Maßnahmen ein hohes Maß an Sicherheit herstellen. Sofern der Angreifer keine persönlichen Motive verfolgt lässt er sich in aller Regel alleine dadurch abschrecken - er sucht sich schlicht ein leichteres Opfer.
Tesla-Spezifische Empfehlungen
-
Pin 2 Drive: Über das Fahrzeugmenü kann ein 4stelliger PIN vergeben werden der vor jedem Fahrtantritt eingegeben werden muss. Dieser hilft gut gegen einfache Kriminelle die den Fahrzeugschlüssel stehlen oder, bei älteren Model S und X, das Signal des in der Nähe befindlichen Schlüssels verstärken. Es hilft auch gegen Gelegenheitsdiebe wenn man seinen Schlüssel im Fahrzeug vergessen hat, oder Wohnungseinbrecher die sich den Schlüssel physisch aneignen.
Gegen einen gekaperten Account hilft es allerdings nicht sehr gut, da der PIN aus Sicherheitsgründen mithilfe des Account-Login im Fahrzeug zurückgesetzt werden kann. -
E-Mails prüfen und Tesla zu den Favoriten hinzufügen: Sobald ein neuer Fahrer zu einem Fahrzeug hinzugefügt wird, sendet Tesla eine E-Mail an den Eigentümer und den neuen berechtigten Fahrer zur Info.
Wer seine Notifications auf neue E-Mails deaktiviert hatte, sollte die E-Mailadresse noreply@tesla.com zu seinen Favoriten hinzufügen sodass E-Mails von Tesla immer eine Benachrichtigung auslösen. Mit Glück ist man schnell genug und kann sich rechtzeitig einloggen und den Zugriff auf das Fahrzeug wieder entfernen, sowie das Passwort resetten. -
Keine Passwortänderung möglich: Tesla ermöglicht es nicht über die Account-Seite sein eigenes Passwort zu ändern. Es ist lediglich möglich es zurückzusetzen. Dabei erhält man eine E-Mail mit einem Link auf eine Website auf der man sein neues Passwort festlegen kann. So wird verhindert, dass jemand mit Accountzugriff den tatsächlichen Eigentümer aussperren kann. Hat ein Angreifer jedoch zusätzlich Zugriff auf die E-Mails, dann kann er diese abfangen, die Passwortänderung selbst abschließen und damit den Eigentümer aussperren.
Um dem entgegenzuwirken sollte besonderes Augenmerk auf die Absicherung des persönlichen E-Mail Postfachs gelegt werden - mehr hierzu unten bei den allgemeinen Empfehlungen.
Allgemeine Empfehlungen
- Passwortmanager verwenden: Die folgenden Empfehlungen wären ohne einen Passwortmanager nur sehr umständlich umzusetzen - mit einem jedoch verursachen sie praktisch keinerlei Mehraufwand im täglichen Gebrauch. Ein Passwortmanager sollte jedoch zur absoluten Grundausstattung jedes Internetnutzers gehören. Wir haben sehr gute Erfahrungen zum Beispiel mit 1Password gemacht, es bietet zudem die Möglichkeit auch Mehrfaktorauthentifizierungen geräteübergreifend zu verwalten und bietet viele nützliche Funktionen. Als großer und bekannter Anbieter, auch aus dem Unternehmensumfeld, müssen sie ihre Sicherheit auch tagtäglich unter Beweis stellen.
- Kein Passwort das man sich merken kann: Passwörter sollten völlig zufällig generiert, so lang wie es der Anbieter zulässt (oder zB. 64 Zeichen) und alle Zeichen nutzen die der Anbieter zulässt (Groß-/Kleinschreibung, Ziffern, Sonderzeichen). 1Password bietet genau so eine Passwortgenerierung an und mit den Browserplugins und den Apps für alle Desktop- und Mobilplattformen gehört das manuelle Einloggen ebenfalls der Vergangenheit an.
- Kein Passwort doppelt nutzen: Mehrfach verwendete Passwörter sind eine der größten Angriffsflächen in der IT-Sicherheit. Wird ein schlecht gesicherter Dienst von einem Angreifer kompromittiert kann er hierdurch das Passwort erlangen das man für den Tesla Account nutzt. Nutzt man einen Passwortmanager gibt es keinen Grund mehr das selbe Passwort für mehrere Dienste zu nutzen - auch die Bequemlichkeit nicht.
-
Mehrfaktor-Authentifizierung (2FA oder MFA) nutzen: Bei der Zwei- oder Mehrfaktorauthentifizierung geht es darum seine Berechtigung nicht nur durch einen Faktor "Wissen" (des Passworts), sondern durch mindestens einen Zweiten wie zum Beispiel "Besitz" (der Codegenerator) oder "Sein" (Biometrische Verfahren) nachzuweisen.
Tesla unterstützt das Standardverfahren eines Codegenerators (ebenfalls von 1Password und anderen Passwortmanagern unterstützt). Zudem lassen sich bis zu 2 Generatoren registrieren. Das sollte man auch tun um ein unabhängiges Backup zu haben. Bei der Verwendung von 1Password in der Cloud ergibt sich der zusätzliche Vorteil, dass der Codegenerator auf alle Geräte repliziert wird. Das heißt ich kann mich auch bequem (oder zur Not) mit meinem Tablet oder PC noch einloggen und bin nicht einzig von meinem Smartphone abhängig.
Das Einzige das sich durch den Einsatz von MFA für den Anwender ändert ist, dass nach der Passworteingabe bei einem Login zusätzlich ein Code eingegeben werden muss, der durch den Generator (zB. die 1Password App) regelmäßig neu generiert wird. -
Accounts nicht teilen: Accounts wie der Tesla-Account sind in aller Regel Persönliche Accounts - also an eine Person, einen bestimmten Menschen gebunden. Egal wie sehr man seinen Partner liebt oder Freunden vertraut - Accounts sollten niemals geteilt werden. Tesla ermöglicht es zusätzliche Fahrer hinzuzufügen - das sollte auch wie vorgesehen genutzt werden.
Das Problem am Account Teilen ist nicht nur, dass auch eine Partner- oder Freundschaft unschön in die Brüche gehen kann, sondern auch ein zusätzlicher Angriffsvektor. Vielleicht bin ich selbst so erfahren, dass ich mich nicht durch eine Phishing-Mail täuschen lasse - mein Partner jedoch vielleicht schon. -
Keinen Mails vertrauen: Sobald es um die Zugangssicherheit (oder Kreditkartendaten udgl.) geht, sollte das Misstrauen einsetzen. Wenn eine angebliche E-Mail von Tesla oder einem anderen Anbieter möchte, dass ich mein Passwort eingebe werde ich misstrauisch.
Natürlich gibt es gelegentlich auch berechtigte Aufforderungen, zum Beispiel um das Passwort zu erneuern wenn es lange nicht geändert wurde. Dann jedoch sollte man nicht auf den praktischen "Login" Button in der Mail klicken - diese Verlinkung kann genauso wie der Absender recht gut gefälscht sein - sondern von Hand der Browser geöffnet und die Adresse des Anbieters eintippen. - Methoden der Passwortwiederherstellung prüfen: Trotz Passwortmanager kann es unter Umständen passieren, dass man ein Passwort verliert und es zurücksetzen muss. Bei allen Diensten im Internet sollte geprüft werden wie der Anbieter diesen Fall behandelt. Erlaubt ein Anbieter das Zurücksetzen durch das hinterlegen von Antworten zu Fragen wie "Was ist deine Lieblingsfarbe" oder gar das zusenden des Passworts im Klartext - dieses kennt der Anbieter bei einer korrekten Implementierung niemals! - sollte dieser Anbieter tunlichst vermieden werden. Offensichtlich hat er kein Sicherheitskonzept, oder ignoriert es schlichtweg.
-
Mails besonders absichern: Nüchtern betrachtet ist das eigene E-Mail Postfach mit Abstand einer der wichtigsten Zugänge die man haben kann. Nicht zuletzt weil Warnungen vor unberechtigten Logins oder Anfragen zum Zurücksetzen des Passworts hierüber laufen. Viele Angriffe zielen darauf ab über Umwege Zugang zu dem E-Mail Postfach des Opfers zu erhalten um dann das eigentliche Ziel - zum Beispiel den Tesla Zugang - anzugreifen.
Alle oben genannten Empfehlungen sollten daher auch und insbesondere für das eigene E-Mail Postfach gelten!
Das bedeutet auch, dass ein Anbieter der zum Beispiel Einschränkungen bei der Passwortwahl macht, oder keine MFA anbietet von vornherein ausgeschlossen, oder gewechselt, werden sollte.
Ergänzung: Passwortmanager
Wir haben eine Zuschrift von Rolf erhalten in der er uns sein alternatives Setup zu 1Password beschreibt. Da dies für alle, die OpenSource Lösungen und Synchronisierungen ohne Clouddienste bevorzugen, interessant sein könnte möchten wir euch diese nicht vorenthalten:
"Keepass ist eine OpenSource-Lösung, die kostenlos für alle üblichen Plattformen wie MacOS, Windows, Linux, Android und iOS verfügbar ist. In der Kombination mit ResilioSync (für den persönlichen, privaten Einsatz ebenfalls kostenlos) oder SyncThing (ebenfalls OpenSource) kann so die gleiche Datenbank mit Passwörtern auf allen persönlichen Geräten ohne Cloudunterstützung auf dem gleichen Stand gehalten werden.
Keepass kann mit einem Plugin auch OTP, dies sollte dann aber auch auf allen genutzten Geräten, leider manuell, zusätzlich installiert werden."
Ergänzung: Fremde Dienste wie ABRP oder Teslalogger
Antonino hatte mich noch gebeten ein paar Gedanken zur Nutzung von Fremddiensten wie ABRP oder Teslalogger, im Hinblick auf die Weitergabe des Zugriffstoken oder gar der Zugangsdaten, zu ergänzen.
Grundsätzlich läuft mit dem Token mittlerweile alles was auch mit dem Login über das Webinterface funktioniert (Fahrer hinzufügen/entfernen, ...). Vorteil des Token bleibt aber dass ich keine Zugangsdaten teilen muss und die einfachere Sperrbarkeit im Notfall. Die vollständigen Zugangsdaten würde ich in keinem Fall bei einem Fremddienst angeben - alleine weil er diese dann speichern müsste.
Das Risiko der Weitergabe eines Zugangs besteht aus zwei möglichen Szenarien:
- Der Anbieter hat böse Absichten. Also der Anbieter selbst macht mit dem Zugang Dinge die er nicht tun soll.
- Ein Angreifer dringt beim Anbieter ein und entwendet die Token mit denen er dann Schaden anrichten kann.
Die erste Variante sehe ich bei etablierten Anbietern nicht "so" dramatisch da sie eine vertrauensbildende Vergangenheit haben ("Track-Record"). Aber auch hier kann zB. ein wütender gekündigter Mitarbeiter die Daten missbrauchen wenn der Anbieter bei der eigenen IT-Sicherheit geschludert hat.
Mir ist kein Anbieter bekannt der seine Verarbeitung und Infrastruktur transparent (öffentlich) dokumentiert hat oder auditieren hat lassen. Streng genommen würde ich daher solchen Anbietern keinen Zugriff erteilen. Für den Ottonormalnutzer, der aus dem betreffenden Dienst einen für ihn wichtigen Vorteil zieht, kann man aber bei Etablierten wie zum Beispiel ABRP das Sicherheitsniveau durchaus als akzeptabel einstufen. Dennoch sollte man sich dem Risiko zumindest bewusst sein.
Anwendungen wie zum Beispiel der bekannte Teslalogger, die Opensource und von jedem mit entsprechenden Programmierkenntnissen auditiert werden können, sehe ich da deutlich unkritischer. Zudem lässt sich zum Beispiel Teslalogger auch lokal installieren, sodass keinem Drittanbieter Vertrauen geschenkt werden muss. Allerdings, darf man auch nicht vergessen, bin ich dann für die Absicherung selbst verantwortlich. Völlig ohne Fachwissen, oder Unterstützung von fachkundigen Personen, würde ich daher ein solches System nicht unbedingt in Betrieb nehmen, ohne mich vorher über die möglichen Risiken zu informieren.
2 Kommentare
I installed Tesla app to place a deposit for cybertruck some years ago under email address asimpson7@tampabay.rr.com. Tesla account is now locked as I thought I knew the password. How can I get the PW reset and my account moved to current email address archieredz06@gmail.com?
I need to reset my password