Reifendruckkontrollsysteme (Tire Pressure Monitoring Systems, TPMS) gelten als sicherheitsrelevante Komfortfunktion – doch aktuelle Forschung zeigt, dass die Funkprotokolle dieser Systeme sich in eine flächendeckende Infrastruktur zur Fahrzeugortung verwandeln lassen. Entscheidend ist dabei weniger Hightech, sondern vor allem eine unzureichend geschützte Funkkommunikation.
Was Reifendruckkontrollsysteme leisten – und welche Schwachstelle sie offenbaren
TPMS sind in den USA seit 2007 für Neuwagen vorgeschrieben (NHTSA TREAD Act) und in der EU über UNECE-Regelung Nr. 141 faktisch Standard. Sie überwachen den Reifendruck und melden kritische Abweichungen an das Borddisplay, um Reifenschäden und Unfälle zu verhindern.
Dafür sitzt in jedem Rad ein Sensor mit Funkmodul, der regelmässig Messwerte wie Druck und Temperatur an ein Steuergerät im Fahrzeug überträgt. Nach Analyse einer internationalen Forschergruppe aus Spanien, der Schweiz und Luxemburg senden viele dieser Sensoren die Daten jedoch im Klartext, ohne Verschlüsselung, ohne Authentifizierung und mit einem statischen, eindeutigen Sensor‑Identifier.
Damit strahlt jedes Rad quasi dauerhaft eine funkbasierte Kennung aus, die über die gesamte Lebensdauer des Sensors unverändert bleibt. Diese Kennung ist technikbedingt weltweit einmalig und kann so als Proxy für das konkrete Fahrzeug dienen – und damit für dessen Fahrer.
Europaeische Studie: Fahrzeugueberwachung mit SDR-Empfaengern fuer wenige hundert Dollar
In ihrem Experiment installierten die Forschenden entlang stark befahrener Strassen ein Netz aus fünf Empfangsstationen auf Basis von Software Defined Radio (SDR). Die Hardwarekosten pro Empfänger lagen bei rund 100 US‑Dollar – handelsübliche SDR-Sticks, einfache Antennen, ein stromsparender Rechner.
Über einen Zeitraum von zehn Wochen wurden so mehr als 6 Millionen TPMS-Funktelegramme von etwa 20.000 Fahrzeugen aufgezeichnet. Dank der unveränderlichen Identifikatoren liessen sich die Funksignale einzelnen Fahrzeugen zuordnen und über verschiedene Messpunkte hinweg verknüpfen.
Aus den Empfangszeitpunkten und Standorten der Sensor-IDs konnten die Forschenden Wegverläufe, Aufenthaltszeiten und Wiederkehrrhythmen rekonstruieren – also faktisch Bewegungsprofile, wie sie sonst nur aus Mautdaten oder Kennzeichenerfassungssystemen bekannt sind.
Welche Informationen sich aus TPMS-Daten ableiten lassen
Die abgefangenen TPMS-Nachrichten enthalten primär technische Telemetrie. In der Masse und im Kontext liefern sie jedoch überraschend aussagekräftige Metadaten. Laut Analyse lassen sich insbesondere folgende Informationen ableiten:
- Praesenznachweis: Ob ein bestimmtes Fahrzeug zu einem bestimmten Zeitpunkt an einem bestimmten Ort war.
- Fahrzeugtyp und ungefaehre Masse: Aus Druckprofilen und bekannten Reifendimensionen lassen sich Rückschlüsse auf Fahrzeugklasse (PKW, SUV, Transporter, LKW) ziehen.
- Fahrstil und Beladung: Dynamische Druckschwankungen und Temperaturverläufe geben Hinweise auf Beschleunigungsverhalten, Kurvenfahrten und typische Lastzustände.
- Alltaegliche Muster: Wiederkehrende Routen, typische Parkorte, Reisetaktung – also Gewohnheiten der Halterin oder des Halters.
Wer TPMS-Daten mit anderen Quellen kombiniert – etwa Videoüberwachung, Mautsystemen, Wi‑Fi-Tracking oder Datenbanken mit Kennzeichen –, kann die Anonymität der Funk-IDs leicht aufheben. Aus Sicht des Datenschutzrechts entsteht damit ein personenbeziehbares Bewegungsprofil, das klar in den Anwendungsbereich der DSGVO fällt.
Angriffsszenarien: Von versteckter Fahrzeugverfolgung bis zu erzwungenen Stopps
Heimliche Langzeitverfolgung von Fahrzeugen
Da die benötigte Infrastruktur günstig und kompakt ist, lässt sie sich einfach skalieren: Zusätzliche Empfänger an Stadtzufahrten, Parkhäusern, Tankstellen, Einkaufszentren oder Bürostandorten erhöhen die Abdeckung. Wird eine TPMS-ID einmal einem Kennzeichen oder einer Person zugeordnet, ist eine gezielte, langfristige Ueberwachung dieses Fahrzeugs technisch trivial.
Denkbare Akteure reichen von Kriminellen, die Abwesenheitszeiten für Einbrüche auswerten, über Wirtschaftsspionage bis hin zu staatlichen Stellen in Ländern mit schwachem Rechtsrahmen. Technisch ist dafür keine Spezialausrüstung im Geheimdienststil notwendig, sondern lediglich Know-how über Funkprotokolle und SDR.
Aktive Funkangriffe: Spoofing von Warnmeldungen und Erpressung
Noch kritischer ist, dass viele TPMS-Implementierungen keine kryptografische Authentifizierung der Funkpakete vorsehen. Ein Angreifer, der im richtigen Frequenzbereich senden kann, ist daher prinzipiell in der Lage, manipulierte TPMS-Nachrichten (Spoofing) zu übertragen.
Praktisch bedeutet das: Es lassen sich falsche Warnungen über vermeintlich zu niedrigen Reifendruck oder einen drohenden Reifenschaden erzeugen. Bei Nutzfahrzeugen und LKW eröffnet dies Szenarien, in denen Fahrerinnen und Fahrer zu einem Stopp an einem vorab ausgewählten Ort gedrängt werden – ein potentieller Ansatzpunkt für Ueberfaelle, Diebstahl oder Erpressung. Zusätzlich besteht das Risiko, dass Menschen echte Warnungen künftig ignorieren, weil sie Manipulation vermuten.
Konsequenzen fuer Hersteller, Zulieferer und Regulierer
Die Untersuchung macht deutlich, dass TPMS zwar als Sicherheitsfunktion konzipiert wurden, Privacy-by-Design jedoch in den ursprünglichen Standards kaum berücksichtigt wurde. Typische Probleme sind: unverschlüsselte Funkübertragung, unveränderte IDs über die gesamte Lebensdauer und fehlende Integritätssicherung der Nachrichten.
Aus Sicht der Cybersicherheit sind folgende Gegenmassnahmen naheliegend und technisch realisierbar:
- Einfuehrung dynamischer, rotierender Identifikatoren, die eine langfristige Verfolgung erschweren.
- Verschluesselung der Telemetriedaten zwischen Sensor und Steuergeraet.
- Starke Authentifizierung der Sensoren, um Spoofing und Injektion fremder Funkpakete zu verhindern.
- Minimierung der übertragenen Daten auf das sicherheitstechnisch Notwendige.
Solche Mechanismen sind in anderen Bereichen des Internet of Things (z. B. laut NIST- und ENISA-Empfehlungen) längst etabliert und werden mit Standards wie ISO/SAE 21434 und UNECE R155 nun auch im Automobilbereich eingefordert. Die TPMS-Problematik zeigt, wie wichtig es ist, jede vernetzte Fahrzeugkomponente frühzeitig unter Sicherheits‑ und Datenschutzaspekten zu bewerten.
Die Ergebnisse der europäischen Studie sind ein deutliches Signal: Selbst scheinbar harmlose Komfortfunktionen können unbeabsichtigt zu Werkzeugen für Massenüberwachung und gezielte Angriffe werden. Hersteller und Zulieferer sollten bestehende TPMS-Designs überprüfen, Sicherheitsupdates einplanen und künftige Fahrzeugsysteme konsequent nach „Security & Privacy by Design“ auslegen. Fahrzeugbesitzerinnen und ‑besitzer wiederum sollten die Bedeutung solcher Funkfunktionen kennen, bei Neufahrzeugen gezielt nach Sicherheitskonzepten fragen und verfügbare Software‑Updates zeitnah einspielen, um das eigene Cyberrisiko zu reduzieren.
