Viel wird nicht benötigt, um deinen Tesla zu klauen. Denn zwei Sicherheitsforscher haben nun eine riesige Sicherheitslücke entdeckt. Die Partner Tommy Mysk und Talal Haj Bakry von Mysk Inc. erzählen, dass, sobald die Anmeldeinformationen eines Tesla-Besitzers geklaut sind, Dieb:innen nicht mehr tun müssten, als die Tesla-App zu öffnen und wegzufahren.

In seinem Youtube-Video zeigt das Duo auf, wie einfach ein Tesla geklaut werden kann. Ein Phishing-Angriff kann ausreichen, um das ganze Auto zu verlieren. In ihrem Beispiel nutzten die beiden einen sogenannten Flipper Zero. Das Gerät kann Bluetooth- und WLAN-Verbindungen imitieren. An einer Ladestation könnte sich so das Gadget als Gast-WLAN ausgeben. Fallen nichts ahnende Fahrer:innen auf das falsche WLAN herein und geben sie ihre Nutzer:innendaten an, ist der Tesla so gut wie geklaut.

Mit den Zugangsdaten für das Tesla-Konto können Dieb:innen ihr Smartphone als Handyschlüssel ohne Tesla-Keycard aktivieren. Dadurch hat die Person Zugriff auf den Tesla und dessen Standort. Dieb:innen haben dann keinen Zeitdruck. Sie können das Auto klauen, wann sie wollen. Opfer würden davon nichts mitbekommen. Eine Benachrichtigung gibt es nämlich nicht. Diese Sicherheitslücke macht Teslas besonders anfällig für Phishing.

Mysk und Bakry konfrontierten nach der Entdeckung Tesla mit der Sicherheitslücke. Doch der Autobauer reagiert überraschend abweisend. In der Antwort wird die Nutzung laut den Forschenden als „beabsichtigtes Verhalten“ betitelt. In der Bedienungsanleitung werde laut Tesla nicht erwähnt, dass eine Schlüsselkarte erforderlich ist, um eine Telefontaste hinzuzufügen.

Für Tesla-Fahrer:innen bedeutet das ein enormes Risiko. Gelangen die Zugangsdaten zum Tesla-Konto an Dritte, dann ist das geklaute Auto nicht mehr weit entfernt. Checken, ob Dritte Zugriff auf das Konto haben, kann man im Auto selbst. Im Display des Autos finden sich nämlich alle mit dem Auto verknüpften Keys. Doch um den Handyschlüssel wieder zu deaktivieren, werden die Keycard und das Smartphone benötigt.

Um sich zu schützen, müssen Tesla-Nutzer:innen aufmerksam sein. Ihre Login-Daten sollten sie in keinem Fall herausgeben. Wer prüfen will, ob es sich bei Charging-Stationen um offizielles WLAN von Tesla oder um eine Phishing-Adresse handelt, sollte genau auf die URL achten.