Eine neu entdeckte Sicherheitslücke in einem Autohersteller-Portal hat Fachleute der IT-Sicherheitsbranche alarmiert. Die Schwachstelle ermöglichte es Angreifern, Fahrzeuge theoretisch aus der Ferne zu steuern – mit potenziell katastrophalen Folgen für Insassensicherheit und Datenschutz. Der Vorfall wirft ein grelles Licht auf die dringende Notwendigkeit robuster Sicherheitsstandards in der modernen, vernetzten Mobilität.
Der Vorfall: Wenn Autos ferngesteuert werden können
Im Juni 2025 entdeckte eine Gruppe unabhängiger Sicherheitsforscher der norwegischen Firma PenTestPartners eine gravierende Schwachstelle im Kundenportal eines großen europäischen Autoherstellers. Über eine fehlerhafte API-Funktionalität konnten sie unautorisierte Serveranfragen senden und auf Automobilfunktionen wie das Ver- und Entriegeln von Türen, das Starten des Motors und die Ortung per GPS zugreifen. Die betroffenen Marken wurden nicht offiziell benannt, Experten gehen aber von einem in Europa weit verbreiteten Fahrzeughersteller aus.
Die Sicherheitsforscher kontaktierten den Hersteller unter Einhaltung der Responsible-Disclosure-Prinzipien. Innerhalb von 48 Stunden wurde der Zugangspoint deaktiviert, dennoch hatte die Schwachstelle monatelang Bestand. Die Forscher bezeichneten den Fehler gegenüber TechCrunch als „völlig vermeidbar“ und kritisierten mangelnde Sicherheitsprüfungen beim API-Design.
Was technisch schiefging
Das Sicherheitsleck beruhte auf einer schlecht gesicherten REST-API im Online-Kundenportal. Authentifizierungsdaten konnten leicht durch einfache Manipulation von Anfrage-Körpern ersetzt werden, wodurch Zugriff auf Benutzerkonten und verknüpfte Fahrzeuge möglich wurde. Ein Angreifer konnte so massenhaft Fahrzeugdaten abrufen oder sogar die Fahrzeuge fernbedienen – sofern die Fahrzeuge mit dem Internet verbunden waren und Remote-Funktionen aktiv waren.
Besonders kritisch: Die Komplexität des nötigen Angriffs war gering, sodass auch technisch weniger versierte Täter ernsthaften Schaden hätten anrichten können. Laut Aussage der Sicherheitsforscher wäre sogar ein automatisiertes Scannen und Kapern von Hunderten Fahrzeugen über ein Botnetz denkbar gewesen.
Gefahren für Fahrer und Hersteller
Die unmittelbare Gefahr betrifft die Fahrzeuginhaber selbst, die Ziel von Diebstählen, Spionage oder physischen Angriffen werden könnten. Auch die Manipulation während der Fahrt wäre theoretisch denkbar gewesen, etwa ein Blockieren der Türen oder das Anlassen des Motors in der Garage mit vergifteter Abluft.
Für die Hersteller entstehen massive unternehmerische Risiken: Reputationsschäden, mögliche Klagen, Rückrufaktionen oder empfindliche Bußgelder drohen, insbesondere im Kontext der DSGVO. Laut einer Studie von Capgemini Research Institute (2024) gaben 74 % der befragten Autoindustrie-Manager an, dass IT-Sicherheit die größte technische Herausforderung in der Fahrzeugentwicklung darstellt – und das aus gutem Grund.
Ein systemisches Problem in der Branche
Die zunehmende Digitalisierung von Fahrzeugen stellt OEMs und Zulieferer vor völlig neue Herausforderungen. Connected-Cars, Over-the-Air-Updates, mobile Apps und Cloud-Plattformen sind längst Standard. Doch die etablierten Qualitätsprozesse der Automobilfertigung sind auf Fertigungstoleranzen und Materialprüfung optimiert, nicht auf agile Sicherheitsprozesse und Penetrationstests.
Ein Bericht des IT-Sicherheitsunternehmens Upstream (2024) verzeichnete allein zwischen 2022 und 2023 einen Anstieg von 225 % bei „Remote Vehicle Attacks“ weltweit. In über 68 % dieser Fälle waren APIs direkt oder indirekt betroffen. Zudem ergab eine Untersuchung der Sicherheitsplattform Synopsys im gleichen Zeitraum, dass 84 % aller untersuchten Automotive-Applikationen mindestens eine kritische Schwachstelle aufwiesen.
Verantwortung und Prävention: Was Hersteller tun müssen
Die Verantwortung für die Sicherheit digitaler Fahrzeugsysteme liegt bei den Herstellern – rechtlich und ethisch. Sicherheit muss von Beginn an Teil des Entwicklungsprozesses sein („Security by Design“), nicht nachträglich aufgesetzt („Security by Obscurity“). Neben sicheren APIs sind auch sichere Authentifizierungsprozesse, systematische Code-Audits und regelmäßige Sicherheits-Penetrationstests zentral.
Regulatorische Initiativen wie die UNECE WP.29-Vorgaben (Cybersecurity Management System, ab 2022 verpflichtend für Neuzulassungen in Europa) oder das ISO/SAE 21434 Framework fordern bereits konkrete Maßnahmen. Doch die Umsetzung hinkt vielerorts hinterher.
Praktische Empfehlungen für OEMs und IT-Verantwortliche
Um Risiken wie die kürzlich entdeckte Schwachstelle zu vermeiden, sollten Unternehmen der Automobilbranche folgende Schritte umsetzen:
- API Security konsequent priorisieren: Einsatz von API-Gateways mit Authentifizierung, Rate-Limiting, Monitoring und automatischem Anomalie-Detection.
- Sicherheitsprozesse integrieren: DevSecOps-Ansätze in alle Entwicklungsphasen fest einbetten, inkl. automatisierter statischer Analyse und Blackbox-Tests.
- Regelmäßige externe Audits durchführen: Unabhängige Penetrationstests mindestens jährlich, idealerweise quartalsweise, zur Identifikation neuer Angriffsvektoren.
Was Nutzer tun können
Neben den Herstellern können auch Fahrzeughalter selbst zur Verringerung von Risiken beitragen. Dazu zählen:
- Firmware- und App-Updates regelmässig installieren: Diese schließen häufig bekannte Sicherheitslücken.
- Multi-Faktor-Authentifizierung aktivieren: In Herstellerportalen, sofern verfügbar, schützt dies besser vor Account-Übernahmen.
- Offene WLAN-Verbindungen meiden: Insbesondere bei Nutzung von Hersteller-Apps sollten nur sichere Netzwerke verwendet werden.
Ein Weckruf für eine digitalisierte Branche
Die rasante Entwicklung von Software-defined Vehicles, intelligenter Infotainmentsysteme und Fahrzeugvernetzung führt zu einer nie dagewesenen Angriffsfläche. Wenn grundlegende Sicherheitsstandards missachtet werden, könnte das Vertrauen in digitalisierte Fahrzeuge massiv erodieren. Die aktuelle API-Sicherheitslücke war ein Glücksfall, weil sie rechtzeitig entdeckt wurde – doch längst nicht alle Schwachstellen bleiben folgenlos.
Die Automobilindustrie steht am technologischen Wendepunkt. Nur Hersteller, die IT-Sicherheit als strategisches Kernthema behandeln, etablieren sich langfristig im Zukunftsmarkt der Mobilität. Jetzt ist der Moment für mehr Transparenz, mehr Kooperation mit Sicherheitsexperten – und klare Verantwortlichkeiten.
Diskutieren Sie mit! Welche Maßnahmen erwarten Sie von Autoherstellern? Haben Sie selbst Sicherheitsbedenken bei Connected-Cars? Teilen Sie Ihre Erfahrungen und Meinungen in den Kommentaren und helfen Sie mit, den digitalen Straßenverkehr sicherer zu gestalten.
