So schützt man das Tesla Konto

Für Teslafahrer ist das eigene Konto auf der Webseite von Tesla mehr als nur ein Benutzerkonto. Die Zugangsdaten werden gleichzeitig auch in der Tesla App verwendet und dadurch ist auch das Entsperren und Fahren des Fahrzeugs möglich. Entsprechend wichtig ist ein sicherer Umgang mit diesen Logindaten. In diesem Gastbeitrag gibt Alexander Nassian von Custom Tesla* wertvolle Tipps, wie man sein Tesla Konto schützen sollte.

Dein Tesla-Spezialist mit Strom im Herzen
Dämmung - Aufbereitung - Zubehör - Individuelle Lösungen

Sicherheit ist gerade bei einem hochvernetzten Fahrzeug wie einem Tesla besonders wichtig. Durch meine Erfahrungen als Spezialist für Netzwerksicherheit und Tätigkeit in meinem Softwareunternehmen bin ich öfter mit diesem Thema konfrontiert.

Daher möchte ich in diesem Beitrag einige wichtige Tipps geben, wie es Kriminellen möglichst schwer gemacht werden kann.

Was kann überhaupt passieren?

1. Shop Einkäufe: Mit den für das Supercharging hinterlegten Zahlungsdaten kann der Angreifer auf Shoppingtour gehen, die Waren an eine fremde Adresse schicken lassen und diese Waren anschließend verkaufen.
2. Diebstahl des Fahrzeugs: Der Angreifer könnte einen, mit Fake-Daten angelegten, Tesla Account als zusätzlichen Fahrer für das/die Fahrzeug/e hinterlegen und bekäme innerhalb weniger Minuten vollen Zugriff. Über die Smartphone-App kann er das Fahrzeug öffnen und wegfahren. Sobald er das Fahrzeug in D geschaltet hat, deaktiviert er den Mobilzugriff und/oder stört das LTE Signal bzw. entfernt die Antenne oder SIM. Somit wird auch der rechtmäßige Eigentümer ausgesperrt.
3. Entfernen des Fahrzeugs aus dem Account: Das Entfernen aus dem Account wird regulär zum Eigentümerwechsel genutzt. Einen wirklichen Profit kann der Angreifer hieraus nicht schlagen, allerdings kann es den rechtmäßigen Eigentümer einiges an Nerven kosten.

Wie kann ich mich schützen?

Einen hundertprozentigen Schutz gibt es selbstverständlich nie im Leben. Allerdings lässt sich mit wenigen, einfachen Maßnahmen ein hohes Maß an Sicherheit herstellen. Sofern der Angreifer keine persönlichen Motive verfolgt, lässt er sich in aller Regel allein dadurch abschrecken – er sucht sich schlicht ein leichteres Opfer.

Tesla-Spezifische Empfehlungen

• Pin 2 Drive: Über das Fahrzeugmenü kann ein 4-stelliger PIN vergeben werden, der vor jedem Fahrtantritt eingegeben werden muss. Dieser hilft gut gegen einfache Kriminelle, die den Fahrzeugschlüssel stehlen oder, bei älteren Model S und X, das Signal des in der Nähe befindlichen Schlüssels verstärken. Es hilft auch gegen Gelegenheitsdiebe, wenn man seinen Schlüssel im Fahrzeug vergessen hat, oder Wohnungseinbrecher, die sich den Schlüssel physisch aneignen.
  Gegen ein gekapertes Tesla Konto hilft dies allerdings nicht so gut, da der PIN aus Sicherheitsgründen mithilfe des Account-Logins im Fahrzeug zurückgesetzt werden kann.

• E-Mails prüfen und Tesla zu den Favoriten hinzufügen: Sobald ein neuer Fahrer zu einem Fahrzeug hinzugefügt wird, sendet Tesla eine E-Mail zur Information an den Eigentümer und den neuen berechtigten Fahrer.
  Wer seine Notifications auf neue E-Mails deaktiviert hat, sollte die E-Mail-Adresse noreply@tesla.com zu seinen Favoriten hinzufügen, sodass E-Mails von Tesla immer eine Benachrichtigung auslösen. Mit Glück ist man schnell genug und kann sich rechtzeitig einloggen und den Zugriff auf das Fahrzeug wieder entfernen, sowie das Passwort resetten.

• Keine Passwortänderung möglich: Tesla ermöglicht es nicht über die Benutzerkonto-Webseite sein eigenes Passwort zu ändern. Es ist lediglich möglich, es zurückzusetzen. Dabei erhält man eine E-Mail mit einem Link auf eine Website, auf der man sein neues Passwort festlegen kann. So wird verhindert, dass jemand mit Kontozugriff den tatsächlichen Eigentümer aussperren kann. Hat ein Angreifer jedoch zusätzlich Zugriff auf die E-Mails, dann kann er diese abfangen, die Passwortänderung selbst abschließen und damit den Eigentümer aussperren.
  Um dem entgegenzuwirken, sollte besonderes Augenmerk auf die Absicherung des persönlichen E-Mail-Postfachs gelegt werden – mehr hierzu unten bei den allgemeinen Empfehlungen.

Allgemeine Empfehlungen

• Passwortmanager verwenden: Die folgenden Empfehlungen wären ohne einen Passwortmanager nur sehr umständlich umzusetzen – mit einem solchen verursachen sie jedoch praktisch keinerlei Mehraufwand im täglichen Gebrauch. Ein Passwortmanager sollte zur absoluten Grundausstattung jedes Internetnutzers gehören. Wir haben zum Beispiel sehr gute Erfahrungen mit 1Password gemacht, es bietet zudem die Möglichkeit auch Zweifaktor-Authentifizierungen geräteübergreifend zu verwalten und bietet viele nützliche Funktionen. Als großer und bekannter Anbieter, auch aus dem Unternehmensumfeld, muss die Firma 1Password ihre Sicherheit auch tagtäglich unter Beweis stellen.

• Kein Passwort, das man sich merken kann: Passwörter sollten völlig zufällig generiert, so lang sein wie es der Anbieter zulässt (oder z.B. 64 Zeichen) und alle Zeichen nutzen, die der Anbieter zulässt (Groß-/Kleinschreibung, Ziffern, Sonderzeichen). 1Password bietet genau so eine Passwortgenerierung an und mit den Browser-Plugins und den Apps für alle Desktop- und Mobilplattformen gehört damit das manuelle Einloggen ebenfalls der Vergangenheit an.

• Kein Passwort doppelt nutzen: Mehrfach verwendete Passwörter sind eine der größten Angriffsflächen in der IT-Sicherheit. Wird ein schlecht gesicherter Dienst von einem Angreifer kompromittiert, kann er hierdurch auch das Passwort erlangen, das man für das Tesla Konto nutzt. Nutzt man einen Passwortmanager, gibt es keinen Grund dasselbe Passwort für mehrere Dienste zu nutzen – auch nicht die Bequemlichkeit.

• Mehrfaktor-Authentifizierung (2FA oder MFA) nutzen: Bei der Zwei- oder Mehrfaktorauthentifizierung geht es darum, seine Berechtigung nicht nur durch einen Faktor “Wissen” (des Passworts), sondern durch mindestens einen zweiten Faktor wie zum Beispiel “Besitz” (der Codegenerator) oder “Sein” (Biometrische Verfahren) nachzuweisen.
  Tesla unterstützt das Standardverfahren eines Codegenerators (ebenfalls von 1Password und anderen Passwortmanagern unterstützt). Zudem lassen sich bis zu zwei Generatoren registrieren. Das sollte man auch tun, um eine unabhängige Sicherungskopie zu haben. Bei der Verwendung von 1Password in der Cloud ergibt sich der zusätzliche Vorteil, dass der Codegenerator auf alle Geräte repliziert wird. Das heißt, ich kann mich auch bequem (oder zur Not) mit meinem Tablet oder PC noch einloggen und bin nicht einzig von meinem Smartphone abhängig.
  Durch den Einsatz von MFA ändert sich für den Anwender nur, dass nach der Passworteingabe bei einem Login zusätzlich ein Code eingegeben werden muss, der durch den Generator (z.B. die 1Password App) regelmäßig neu generiert wird.

• Accounts nicht teilen: Accounts wie das Tesla Konto sind in aller Regel persönliche Accounts – und an eine Person, also einen bestimmten Menschen gebunden. Egal, wie sehr man seinen Partner liebt oder Freunden vertraut – Accounts sollten niemals geteilt werden. Tesla ermöglicht es zusätzliche Fahrer im Konto hinzuzufügen – das sollte auch wie vorgesehen genutzt werden.
  Das Problem am Teilen von Accounts ist nicht nur, dass auch eine Partner- oder Freundschaft unschön in die Brüche gehen kann, sondern auch ein zusätzlicher Angriffsvektor. Vielleicht bin ich selbst so erfahren, dass ich mich nicht durch eine Phishing-Mail täuschen lasse – mein Partner jedoch vielleicht schon.

• Keinen Mails vertrauen: Sobald es um die Zugangssicherheit geht (oder Kreditkartendaten und dergleichen), sollte das Misstrauen einsetzen. Wenn eine angebliche E-Mail von Tesla oder einem anderen Anbieter mich auffordert, dass ich mein Passwort irgendwo eintippe, werde ich misstrauisch.
  Natürlich gibt es gelegentlich auch berechtigte Aufforderungen, zum Beispiel um das Passwort zu erneuern, wenn es lange nicht geändert wurde. Dann jedoch sollte man nicht auf den praktischen “Login-Button” in der Mail klicken – diese Verlinkung kann genauso wie der Absender recht einfach gefälscht worden sein. Stattdessen sollte man von Hand den Webbrowser öffnen, die Adresse des Anbieters eintippen und dort die Login-Funktion verwenden.

• Methoden der Passwortwiederherstellung prüfen: Trotz Passwortmanager kann es unter Umständen passieren, dass man ein Passwort verliert und es zurücksetzen muss. Bei allen Diensten im Internet sollte geprüft werden, wie der Anbieter diesen Fall behandelt. Erlaubt ein Anbieter das Zurücksetzen durch das Hinterlegen von Antworten zu Fragen wie “Was ist deine Lieblingsfarbe” oder gar das Zusenden des Passworts im Klartext – dieses kennt der Anbieter bei einer korrekten Implementierung eigentlich gar nicht – sollte dieser Anbieter tunlichst vermieden werden. Offensichtlich hat er kein Sicherheitskonzept, oder ignoriert es schlichtweg.

• Mails besonders absichern: Nüchtern betrachtet ist das eigene E-Mail-Postfach mit Abstand einer der wichtigsten Zugänge, die man haben kann. Nicht zuletzt, weil Warnungen vor unberechtigten Logins oder Anfragen zum Zurücksetzen des Passworts hierüber laufen. Viele Angriffe zielen darauf ab, über Umwege Zugang zu dem E-Mail-Postfach des Opfers zu erhalten, um dann das eigentliche Ziel – zum Beispiel den Zugang zum Tesla Konto – anzugreifen.

Alle oben genannten Empfehlungen sollten daher auch und insbesondere für das eigene E-Mail-Postfach gelten!

Das bedeutet auch, dass ein Anbieter, der zum Beispiel Einschränkungen bei der Passwortwahl macht, oder keine MFA anbietet, von vornherein ausgeschlossen oder gewechselt werden sollte.

 

 

Ergänzung: Passwortmanager

Wir haben bei Custom Tesla eine Zuschrift von Rolf erhalten, in der er uns sein alternatives Setup zu 1Password beschreibt. Da dies für alle, die OpenSource-Lösungen und Synchronisierungen ohne Cloud-Dienste bevorzugen, interessant sein könnte, möchten wir euch diese nicht vorenthalten:

“Keepass ist eine OpenSource-Lösung, die kostenlos für alle üblichen Plattformen wie MacOS, Windows, Linux, Android und iOS verfügbar ist. In der Kombination mit ResilioSync (für den persönlichen, privaten Einsatz ebenfalls kostenlos) oder SyncThing (ebenfalls OpenSource) kann so die gleiche Datenbank mit Passwörtern auf allen persönlichen Geräten ohne Cloudunterstützung auf dem gleichen Stand gehalten werden.
Keepass kann mit einem Plugin auch OTP, dies sollte dann aber auch auf allen genutzten Geräten, leider manuell, zusätzlich installiert werden.”

Für Mac und PC bietet sich auch KeepassXC an. Es ist eine Neuimplementierung von Keepass. Sie ist vollständig rückwärts kompatibel und hat TOTP (das ist die übliche OTP-Variante, die auch Tesla nutzt) ohne Plugin eingebaut.

Ergänzung: Fremde Dienste wie “A Better Routeplanner” oder “Teslalogger”

Antonino hatte mich noch gebeten ein paar Gedanken zur Nutzung von Fremddiensten wie ABRP oder Teslalogger, im Hinblick auf die Weitergabe des Zugriffstoken oder gar der Zugangsdaten, zu ergänzen.

Grundsätzlich funktioniert mit dem Tesla API-Token mittlerweile alles, was auch mit dem Login über das Webinterface funktioniert (Fahrer hinzufügen/entfernen, …). Vorteil des Tokens bleibt aber, dass ich keine Zugangsdaten teilen muss und die einfachere Sperrbarkeit im Notfall. Die vollständigen Zugangsdaten würde ich in keinem Fall bei einem Fremddienst angeben – alleine weil er diese dann speichern müsste.
Das Risiko der Weitergabe eines Zugangs besteht aus zwei möglichen Szenarien:

1. Der Anbieter hat böse Absichten. Also der Anbieter selbst macht mit dem Zugang Dinge, die er nicht tun soll.
2. Ein Angreifer dringt beim Anbieter ein und entwendet die Token, mit denen er dann Schaden anrichten kann.

Die erste Variante sehe ich bei etablierten Anbietern nicht “so” dramatisch, da sie eine vertrauensbildende Vergangenheit haben (“Track-Record”). Aber auch hier kann zum Beispiel ein wütender gekündigter Mitarbeiter die Daten missbrauchen, wenn der Anbieter bei der eigenen IT-Sicherheit geschludert hat.

Schludern bei der IT-Sicherheit ist auch das primäre Thema bei Variante 2.

Mir ist kein Anbieter bekannt, der seine Verarbeitung und Infrastruktur transparent (öffentlich) dokumentiert hat oder auditieren hat lassen. Streng genommen würde ich daher solchen Anbietern keinen Zugriff erteilen. Für den Ottonormalnutzer, der aus dem betreffenden Dienst einen für ihn wichtigen Vorteil zieht, kann man aber bei etablierten Diensten, wie zum Beispiel ABRP, das Sicherheitsniveau durchaus als akzeptabel einstufen. Dennoch sollte man sich dem Risiko zumindest bewusst sein.

Anwendungen wie zum Beispiel der bekannte Teslalogger, die Opensource und von jedem mit entsprechenden Programmierkenntnissen auditiert werden können, sehe ich da deutlich unkritischer. Zudem lässt sich zum Beispiel Teslalogger auch lokal installieren, sodass keinem Drittanbieter Vertrauen geschenkt werden muss. Allerdings, darf man auch nicht vergessen, bin ich dann für die Absicherung selbst verantwortlich. Völlig ohne Fachwissen, oder Unterstützung von fachkundigen Personen, würde ich daher ein solches System nicht unbedingt in Betrieb nehmen, ohne mich vorher über die möglichen Risiken zu informieren.

---

Beitrag teilen:

 

 

Enthält dieser Beitrag Fehler oder veraltete Informationen?
Dann sende mir bitte eine Nachricht. Danke!

Nachricht senden