Ethische Hacker: Die Messlatte für die Cybersicherheit im Automobilbereich höher hängen

Ethische Hacker: Cybersicherheit im Automobilbereich

/ Allgemein / Von

Ethische Hacker: Die Messlatte für die Cybersicherheit im Automobilbereich höher hängen.

Aktuelle Fälle von aufgedeckten Cybersicherheitslücken in Deutschland, Österreich und der Schweiz beweisen, dass unabhängige Bedrohungsforscher und ethische Hacker (White-Hat-Hacker) keine Gegner, sondern Verbündete sind – sie helfen OEMs, Tier-1-Zulieferern und der gesamten Lieferkette dabei, Sicherheitslücken im Automobilbereich schneller zu schließen.

In der Automobilindustrie geht es nicht mehr nur um die Konstruktion von Karosserien und Motoren. Sie ist heutzutage ein software-, cloud- und datengesteuertes Ökosystem auf Rädern. Diese erhöhte Komplexität bringt auch eine wachsende Angriffsfläche für Cyberattacken mit sich.

Glücklicherweise sind es nicht nur interne Sicherheitsteams, die kritische Schwachstellen und Cybersicherheitslücken entdecken. Darüber hinaus helfen unabhängige Forscher, von Bug-Bounty-Huntern bis hin zu Wissenschaftlern, OEMs und Tier-1-Zulieferern dabei, gefährliche Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Der Cybersicherheitsexperte für die Automobilindustrie VicOne stellt einige prominente Fälle aus Deutschland, Österreich und der Schweiz vor, die zeigen, wie die Cybersicherheit im gesamten Bereich der softwaredefinierten Fahrzeuge (SDV) durch verantwortungsvolle Offenlegung und koordinierte Gegenmaßnahmen verbessert werden kann. Darüber hinaus will das Unternehmen die Ausbildung von Cybersicherheitsexperten für die Automobilbranche sowie die Entdeckung und Behebung von Cybersicherheitslücken fördern, indem es eigene White Hacking-Wettbewerbe organisiert und sponsert

VW-Tochter Cariad: Cloud-Lücke aufgedeckt

Ende 2024 entdeckten die ethischen Hacker des deutschen Chaos Computer Clubs (CCC) eine offene Cloud-Schnittstelle bei Cariad, dem Softwarezweig des Volkswagen-Konzerns, über die Standort- und Telematikdaten von hunderttausenden Elektrofahrzeugen sichtbar wurden. Nach der verantwortungsvollen Meldung durch den CCC und einer breiten Medienberichterstattung schloss Cariad die Sicherheitslücke umgehend. Dieser Vorfall schärfte das Bewusstsein der Automobilhersteller für API-Fehlkonfigurationen und Cloud-Sicherheit und veranlasste die Product Security Incident Response Teams (PSIRT) der gesamten Branche, ihre Cloud-Governance zu überprüfen und zu formalisieren. Darüber hinaus verstärkte der Vorfall die Diskussionen auf EU-Ebene über die Datensicherheit in vernetzten Fahrzeugen.

ETH Zürich: Relay-Angriffe inspirieren sicherere schlüssellose Systeme

Darüber hinaus zeigten Forscher der System Security Group der Schweizer Universität ETH Zürich, dass passive schlüssellose Zugangs- und Startsysteme (PKES) anfällig für Relay-Angriffe sind, die es Angreifern ermöglichen, Fahrzeuge aus der Ferne zu entriegeln und zu starten. Ihre wissenschaftlichen Publikationen veranlassten die Branche dazu, Protokolle zur Distanzbegrenzung und auf Ultrabreitband (UWB) basierende Zugangssysteme einzuführen. Die Auswirkungen dieser Erkenntnisse führten zu einer beschleunigten Einführung von UWB-Lösungen für den sicheren Fahrzeugzugang und leisteten einen relevanten Beitrag zu den laufenden Diskussionen über regulatorische Anforderungen an die Sicherheit schlüsselloser Zugangssysteme.

Österreichischer Forscher entdeckt Schwachstelle bei Tesla NFC/Bluetooth

Der österreichische Sicherheitsforscher Martin Herfurt berichtete über einen dritten Vorfall. Er identifizierte eine Schwachstelle im Registrierungsprozess für Tesla NFC/Bluetooth-Schlüssel, die es Angreifern ermöglichte, innerhalb eines Zeitfensters von 130 Sekunden neue Schlüssel hinzuzufügen. Tesla verschärfte daraufhin seinen Schlüsselregistrierungsprozess und förderte Funktionen wie „PIN-to-drive”. Infolgedessen schärfte diese Cybersicherheitslücke das Bewusstsein für sichere Schlüsselbereitstellung bei allen OEMs und führte zu strengeren BLE/NFC-Stack-Tests und sichereren Registrierungsabläufen in der gesamten Branche.

Systematische Aufdeckung von Schwachstellen vorantreiben

Da die Automobilindustrie ihren Wandel hin zu softwaredefinierten Fahrzeugen (SDVs) beschleunigt, sehen Anbieter von Cybersicherheitslösungen für die Automobilbranche, wie VicOne, einen wachsenden Bedarf an Experten und ethische Hacker, die umfassende Kenntnisse sowohl im Bereich Cybersicherheit als auch im Bereich Automobilsysteme mitbringen. Um diese neue Generation von Talenten zu fördern, unterstützen einige dieser Unternehmen aktiv Wettbewerbe, die die Fähigkeiten und die Praxisreife der Teilnehmer verbessern. Durch die gesponserte „Global Vehicle Cybersecurity Competition“ (GVCC) möchten diese Anbieter die nächste Generation von Cybersicherheitsexperten durch praktische, realitätsnahe Herausforderungen in ethischen und sorgfältig überwachten Wettbewerben ausbilden und inspirieren. Währenddessen bietet Pwn2Own Automotive führenden Forschern eine Plattform, um Zero-Day-Schwachstellen unter strengen Richtlinien verantwortungsbewusst offenzulegen. Zusammen tragen diese Initiativen dazu bei, sowohl das Fachwissen als auch die Widerstandsfähigkeit im gesamten Cybersicherheits-Ökosystem der Automobilindustrie zu verbessern.

Ethische Hacking-Wettbewerbe stärken

Ethische Hacking-Wettbewerbe wie „Pwn2Own Automotive“ tragen dazu bei, die Grundlage für die zukünftige Cybersicherheit in der Automobilindustrie zu schaffen, indem sie Cybersicherheitsmaßnahmen stärken und die Prävention von Cyberangriffen durch die frühzeitige Erkennung von Zero-Day-Schwachstellen fördern, d. h. relevanten Sicherheitslücken, die noch nicht entdeckt oder gemeldet wurden. In den Jahren 2024 und 2025 wurden während des dreitägigen White Hacking-Wettbewerbs durch ethische Hacker jeweils 49 Zero-Day-Cyber-Schwachstellen entdeckt und den betroffenen Unternehmen gemeldet, denen dann 90 Tage Zeit gegeben wurden, um diese Sicherheitslücken zu schließen. (In einigen Fällen können sich die Zeiträume zur Behebung aufgrund der Komplexität der Schwachstellen über 90 Tage hinaus verlängern.) Die Auswirkungen sind beschleunigte Patching-Zyklen, wobei sich die Anbieter auf standardmäßige 90-tägige Offenlegungsfristen einigen. Darüber hinaus zeigen Veranstaltungen wie diese den Wert von Bug-Bounty-Programmen und öffentlichen Wettbewerben als Teil des Sicherheitslebenszyklus.

So wurde beispielsweise der GVCC Vehicle Cybersecurity Competition ins Leben gerufen und durchgeführt, um dem Mangel an Fachkräften im Bereich der Cybersicherheit für Fahrzeuge entgegenzuwirken und eine Art Wissensbrücke zwischen der Automobil- und der Cybersicherheitsbranche zu bauen. Bei Wettbewerben wie diesem werden Experten aus beiden Bereichen dazu ermutigt, diese wichtige Aufgabe zu übernehmen und ihre Erfahrungen und Branchenkenntnisse mit Neueinsteigern zu teilen. Damit wird der Weg vom Studenten zum Cybersicherheitsexperten in der Automobilindustrie aufgezeigt. Personen aller Qualifikationsstufen, vom Anfänger bis zum erfahrenen Profi, sind bestrebt, zu lernen, sich weiterzubilden und zum Aufbau einer sichereren Zukunft für vernetzte und softwaredefinierte Fahrzeuge (SDVs) beizutragen – indem sie relevante Fähigkeiten üben und zusammen in einer Gemeinschaft von Sicherheitsbegeisterten, Studenten und Fachleuten lernen.

„Die Automobilindustrie ist mit einem doppelten Cybersicherheitsrisiko konfrontiert, da sie gleichzeitig die bestehenden Fahrzeuge warten und die neuen SDVs schützen muss. Dies geschieht zu einer Zeit, in der sich weltweit ein deutlicher Mangel an qualifizierten Fachkräften für Cybersicherheit abzeichnet“, kommentiert William Dalton, Vice President & Managing Director, VicOne Nordamerika und Europa. „Wir fühlen uns verpflichtet, beim Aufbau der nächsten Generation von Sicherheitsexperten in der Automobilindustrie mitzuwirken. Deshalb haben wir gemeinsam mit unseren Partnern ZDI und Block Harbor hochrealistische White Hacking-Herausforderungen entwickelt, um Cybersicherheitsexperten dabei zu helfen, zukünftige Angriffsszenarien aus erster Hand zu erleben und gleichzeitig die wesentlichen Fähigkeiten zu schärfen, die jeder Sicherheitsverantwortliche in Zukunft benötigen wird.“

Verantwortungsvolle Offenlegung als Wettbewerbsvorteil

Aus allen diesen Fällen ergibt sich ein klares Muster: Ethische Hacker sind keine Gegner, sondern Beschleuniger des Fortschritts. In einer Welt, in der Fahrzeuge Software-Updates „over-the-air“ erhalten und mehr als ein Jahrzehnt lang sicher bleiben sollen, sind externe Sicherheitsforscher nicht mehr nur „ein nettes Extra“. Sie sind eine strategische Ressource für den Aufbau von Resilienz und die Aufrechterhaltung des Kundenvertrauens. Die deutschsprachigen Märkte gehen mit gutem Beispiel voran und machen ethisches Hacking zu einem treibenden Faktor für Innovation und Sicherheit. Durch verschiedene Schwierigkeitsgrade können zukünftige Bedrohungsforscher ihre Fähigkeiten Schritt für Schritt ausbauen, auch wenn sie (noch) nichts über Cybersicherheit wissen.

Wenn Forscher Schwachstellen verantwortungsbewusst melden und Hersteller schnell reagieren, profitieren alle davon: Kunden, Regulierungsbehörden und die Branche insgesamt.

Wichtige Empfehlungen

Um die Cybersicherheit im Automobilbereich zu stärken und auszubauen, sollten OEMs und Tier-1-Zulieferer die folgenden wichtigen Empfehlungen befolgen:

  • Legen Sie klare Richtlinien zur Meldung von Schwachstellen fest und richten Sie eine spezielle, öffentliche PSIRT-Kontaktstelle ein.
  • Nehmen Sie an Bug-Bounty-Programmen und Wettbewerben teil oder sponsern Sie diese, um proaktive Meldungen von Schwachstellen zu fördern.
  • Schaffen Sie eine durchgängige Transparenz über alle Automobilsysteme hinweg, indem Sie SBOM-Daten mit Informationen zu Schwachstellen und Lieferkettenprozessen kombinieren, um ein präzises Risikomanagement und eine schnellere Bereitstellung von Patches zu ermöglichen.
  • Kontinuierliche Überprüfung von Cloud- und API-Konfigurationen, um Fehlkonfigurationen wie den Cariad-Leak zu vermeiden.
  • Einführung einer mehrschichtigen Distanzbegrenzung für digitale Schlüssel (z. B. UWB/ToF mit Multi-Channel-Verifizierung) in Verbindung mit geschützten BLE/NFC-Registrierungsabläufen (PAKE + Hardware-Sicherheitsanker) bei gleichzeitiger Planung von Strategien zur Abwärtskompatibilität.
  • Engagieren Sie sich in der Gemeinschaft, um den Nachwuchs zu fördern. Beteiligen Sie sich aktiv an Cybersicherheits-Communities, Schulungsprogrammen und Wettbewerben (wie GVCC) im Automobilbereich, um domänenübergreifende Fähigkeiten zu entwickeln und bewährte Verfahren auszutauschen.
Skip to content