Wie man ein Fahrrad hackt

Ich arbeite seit Jahren in der Cybersicherheit und denke manchmal, ich hätte alles gesehen: Es gibt nichts, was mich überraschen, geschweige denn schockieren könnte. Babymonitore? Gehackt. Autos? Immer und immer wieder gehackt – und zwar alle möglichen Marken. Und nicht nur Autos, sondern auch Autowaschanlagen. Spielzeugroboter, Futterautomaten, TV-Fernbedienungen … sogar Aquarien. Nein – wirklich: Sogar die wurden schon gehackt!

Aber wie sieht es mit Fahrrädern aus? Sie schienen vor Hackern sicher zu sein – bisher. Mitte August 2024 veröffentlichten Forscher einen Artikel, in dem ein erfolgreicher Cyberangriff auf ein Fahrrad beschrieben wurde. Genauer gesagt – auf ein Fahrrad, das mit der Schalttechnologie Shimano Di2 ausgestattet ist.

Elektronische Schaltungen – Shimano Di2 und Co.

Zunächst ein paar Worte zur Klarstellung für diejenigen, die mit den neuesten Trends in der Radsporttechnologie nicht vertraut sind. Das japanische Unternehmen Shimano ist der weltweit größte Hersteller von Schlüsselkomponenten für Fahrräder – im Grunde aller Hauptteile, die zu einem Rahmen hinzugefügt werden, um ein funktionierendes Fahrrad zu bilden, z. B. Antrieb, Bremssystem und so weiter. Obwohl sich das Unternehmen auf traditionelle mechanische Geräte spezialisiert hat, experimentiert es seit vielen Jahren (seit 2001) mit Elektronik.

Klassische Fahrradschaltsysteme basieren auf Kabeln, die die Umwerfer und Schaltwerke (Fahrradkettenführungen über Ritzel) mit den Schalthebeln am Lenker physisch verbinden. Bei elektronischen Systemen gibt es diese physische Verbindung jedoch nicht: Normalerweise sendet der Schalthebel drahtlos einen Befehl an die Kettenschaltung, die mithilfe eines kleinen Elektromotors den Gang wechselt.

Auch elektronische Schaltsysteme können verdrahtet sein. In diesem Fall verbindet anstelle eines Kabels ein Draht den Schalthebel mit dem Umwerfer bzw. Schaltwerk, über die die Befehle übertragen werden. Am stärksten im Trend liegen in letzter Zeit jedoch drahtlose Systeme, bei denen der Schalthebel über ein Funksignal Befehle an den Umwerfer bzw. das Schaltwerk sendet.

Die elektronischen Schaltsysteme Shimano Di2 dominieren derzeit das High-End-Segment der Produktpalette des Unternehmens. Dasselbe gilt für die Modelle seiner Hauptkonkurrenten: SRAM aus Amerika (das zuerst drahtlose Schalthebel auf den Markt brachte) und Campagnolo aus Italien.

Das heißt, dass schon seit geraumer Zeit sehr viele Rennräder, Gravel– und Mountainbikes im oberen Preissegment mit elektronischen Gangschaltungen ausgestattet sind, die zunehmend drahtlos sind.

Die drahtlose Version des Shimano Di2-Systems ist eigentlich gar nicht so drahtlos. Im Inneren des Fahrradrahmens befindet sich eine Reihe von Drähten: A und B bezeichnen die Drähte, die vom Akku zum Umwerfer bzw. Schaltwerk führen. Quelle

Der Wechsel von der Mechanik zur Elektronik ist auf den ersten Blick sinnvoll – elektronische Systeme bieten unter anderem mehr Geschwindigkeit, Präzision und Benutzerfreundlichkeit. Trotzdem sieht der Umstieg auf ein drahtloses System nach einer Innovation um der Innovation willen aus, da die praktischen Vorteile für den Radfahrer nicht allzu offensichtlich sind. Gleichzeitig gilt: Je intelligenter ein System wird, desto mehr Probleme können auftreten.

Und nun ist es an der Zeit, zum Kern dieses Beitrags zu kommen: Wie man ein Fahrrad hackt …

Sicherheitsstudie zum drahtlosen Schaltsystem Shimano Di2

Ein Forscherteam der Northeastern University (Boston) und der University of California (San Diego) hat die Sicherheit des Shimano Di2-Systems analysiert. Konkret untersuchten sie die Systeme Shimano 105 Di2 (für Rennräder der Mittelklasse) und Shimano DURA-ACE Di2 (das Spitzenmodell für professionelle Radsportler).

In Bezug auf die Kommunikationsfähigkeiten sind diese beiden Systeme identisch und vollständig kompatibel. Beide verwenden Bluetooth Low Energy für die Kommunikation mit der Smartphone-App von Shimano und das Protokoll ANT+ für die Verbindung mit den Computern des Fahrrads. Noch wichtiger ist jedoch, dass die Schalthebel und Umwerfer bzw. Schaltwerke mithilfe des proprietären Shimano-Protokolls auf der festen Frequenz von 2,478 GHz kommunizieren.

Diese Kommunikation ist in der Tat recht primitiv: Der Schalthebel befiehlt dem Umwerfer bzw. dem Schaltwerk, den Gang hoch- oder runterzuschalten, und der Umwerfer bzw. das Schaltwerk bestätigt den Empfang des Befehls; erfolgt keine Bestätigung, wird der Befehl erneut gesendet. Alle Befehle werden verschlüsselt und der Verschlüsselungsschlüssel scheint für jedes Paar von Schalthebel und Umwerfer bzw. Schaltwerk eindeutig zu sein. Alles sieht gut aus, bis auf eine Sache: Die übertragenen Pakete haben weder einen Zeitstempel noch einen Einmalcode. Dementsprechend sind die Befehle für jede Paarung immer gleich, was das System anfällig für einen Replay-Angriff macht. Das bedeutet, dass Angreifer die übertragenen Nachrichten nicht einmal entschlüsseln müssen – sie können die verschlüsselten Befehle abfangen und damit die Gänge auf dem Fahrrad des Opfers schalten.

Um Befehle abzufangen und wiederzugeben, verwendeten die Forscher ein handelsübliches softwaredefiniertes Funkgerät. Quelle

Mithilfe eines softwaredefinierten Funkgeräts (SDR) konnten die Forscher Befehle abfangen und wiedergeben und so die Kontrolle über die Gangschaltung erlangen. Darüber hinaus betrug die effektive Angriffsreichweite – selbst ohne Modifikationen der Ausrüstung oder Verwendung von Verstärkern oder Richtantennen – 10 Meter, was in der Praxis mehr als ausreichend ist.

Warum die Shimano Di2-Angriffe gefährlich sind

Wie die Forscher anmerken, ist der professionelle Radsport ein hart umkämpfter Sport, bei dem es um viel Geld geht. Betrug – insbesondere die Einnahme verbotener Substanzen – ist in diesem Sport kein Fremdwort. Ein ebenso unrechtmäßiger Vorteil könnte durch das Ausnutzen von Schwachstellen in den Geräten eines Mitbewerbers erzielt werden. Daher könnten Cyberangriffe in der Welt des professionellen Radsports leicht zu einem Problem werden.

Die für solche Angriffe verwendete Ausrüstung kann miniaturisiert und entweder an einem betrügerischen Radfahrer oder einem Begleitfahrzeug versteckt oder sogar irgendwo auf der Rennstrecke oder der Rennbahn aufgestellt werden. Darüber hinaus können bösartige Befehle von einer Unterstützergruppe aus der Ferne gesendet werden.

Ein Befehl zum Hochschalten während einer Steigung oder eines Sprints beispielsweise könnte die Leistung eines Gegners ernsthaft beeinträchtigen. Und ein Angriff auf den Umwerfer, der die Gänge abrupter wechselt, kann das Fahrrad zum Stehen bringen. Im schlimmsten Fall kann ein unerwarteter und abrupter Gangwechsel die Kette beschädigen oder zum Abspringen der Kette führen, wodurch der Radfahrer verletzt werden kann.

Schwachstellen im Shimano Di2-System ermöglichen es einem Angreifer, die Schaltung eines Fahrrads aus der Ferne zu steuern oder einen DoS-Angriff auszuführen. Quelle

Neben böswilligen Schaltvorgängen untersuchten die Forscher auch die Möglichkeit des sogenannten „gezielten Störens“ der Kommunikation zwischen Schalthebel und Umwerfer bzw. Schaltwerk. Die Idee dahinter ist, kontinuierlich wiederholte Befehle mit einer bestimmten Frequenz an das Fahrrad des Opfers zu senden. Wenn der Befehl zum Hochschalten beispielsweise immer wieder wiederholt wird, legt die Gangschaltung den höchsten Gang ein und bleibt dort, wobei sie nicht mehr auf echte Schaltbefehle (basierend auf der Auswahl des Fahrers) reagiert. Dies ist im Wesentlichen ein DoS-Angriff auf das Schaltsystem.

Das Fazit

Wie die Autoren anmerken, haben sie Shimano als Untersuchungsgegenstand einfach deshalb gewählt, weil das Unternehmen den größten Marktanteil hat. Sie haben die drahtlosen Systeme der Shimano-Konkurrenten SRAM und Campagnolo nicht untersucht, räumen aber ein, dass auch diese für solche Angriffe anfällig sein können.

Shimano wurde über die Schwachstelle informiert und scheint sie ernst genommen zu haben, da das Unternehmen bereits ein Update entwickelt hat. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hatten jedoch nur professionelle Radsportteams das Update erhalten. Shimano hat zugesagt, das Update später der Öffentlichkeit zur Verfügung zu stellen – Fahrräder können über die E-TUBE PROJECT Cyclist-App aktualisiert werden.

Die gute Nachricht für Hobbyradfahrer ist, dass das Risiko eines Angriffs vernachlässigbar ist. Wenn dein Fahrrad jedoch mit der drahtlosen Version des Shimano Di2-Systems ausgestattet ist, solltest du das Update installieren, sobald es verfügbar ist – nur für alle Fälle.