Automobildaten werden laut des Automotive Cyberthreat Landscape Report 2023 von Sicherheitsanbieter VicOne zunehmend genutzt und monetarisiert. Der Report entlarvt, dass die Bedrohungen für die Automobilindustrie vordergründig in der Lieferkette lauern und wo es weitere Sicherheitslücken gibt – ein Überblick.
Mercedes-Benz stellt auf der CES 2024 den MBUX Virtual Assistant basierend auf dem MB.OS vor, der sich dank eingesetzter generativer KI durch vier „Persönlichkeitsmerkmale“ auszeichnet.
Die steigende Digitalisierung in der Industrie hat einen Anstieg von Cyberangriffen zur Folge, die mitunter das Potenzial haben, Unternehmen und Produktionsprozesse spürbar zu verlangsamen oder gar stillzulegen. Besorgniserregend ist dabei, dass inzwischen vermehrt die Automobilindustrie ins Visier gerät, denn die fortschreitende Vernetzung von Fahrzeugen und Produktionsanlagen bietet Cyberkriminellen neue Angriffsflächen.
Diese Attacken können nicht nur zu erheblichen finanziellen Verlusten führen, sondern auch die Sicherheit von Fahrzeugen und Produktionsprozessen gefährden. Die Automobilindustrie ist zunehmend abhängig von hoch entwickelter Technologie, sei es in autonomen Fahrzeugen oder in der smarten Fabrik. Daher ist der Schutz vor Cyberbedrohungen von entscheidender Bedeutung. Die Zusammenarbeit zwischen Industrieakteuren und Cybersicherheitsexperten ist essenziell, um die Herausforderungen der modernen vernetzten Welt zu bewältigen und den Schutz sensibler Daten zu gewährleisten.
Regularien für Automotive-OEMs werden immer umfangreicher
Zum Jahresbeginn 2024 haben die Verantwortlichen des Sicherheitsdienstleisters VicOne den Automotive Cyberthreat Landscape Report für das Jahr 2023 veröffentlicht; dieser Bericht wird einmal im Jahr erstellt. Darin heißt es zur Einführung: „Seit die UN-Regelung Nr. 155 (UN R155) im Juli 2022 für Automobilhersteller (OEMs) verpflichtend wurde, ist die Notwendigkeit, verschiedene ISO-Standards zu übernehmen, zunehmend dringlich geworden. Zu den Schlüsselstandards gehören dabei ISO 26262, ISO/SAE 21434, Trusted Information Security Assessment Exchange (TISAX) und Automotive Software Process Improvement and Capability Determination (ASPICE). Insbesondere ISO 26262 und ISO/SAE 21434 stellen für OEMs die bedeutendsten Herausforderungen dar.“
„ISO 26262 konzentriert sich hauptsächlich auf die funktionale Sicherheit, einen Bereich, den OEMs oft für Markt-Zertifizierungen priorisieren. Im Gegensatz dazu richtet ISO/SAE 21434 den Fokus auf Informationssicherheit, einen kritischen Aspekt, den viele OEMs tendenziell übersehen. ISO/SAE 21434 zielt speziell auf diese industrielle Herausforderung ab und betont die Bedeutung robuster Informationssicherheitspraktiken in der Automobilindustrie. Zusätzlich werden bis Juli 2024 Fahrzeugvorschriften gemäß UN R155 verpflichtende Sicherheitsbedingungen für neu hergestellte Fahrzeuge.“
Ein verstärkter Fokus der Automobilhersteller auf Cybersicherheitsaspekte ist also unerlässlich. Im Bericht von VicOne erfahren Sie noch sehr viel mehr über die Regularien sowie über die Herausforderungen, die eine korrekte Umsetzung mit sich bringt. Wir schwenken an dieser Stelle zu einem Überblick über die Bedrohungslandschaft. Die Mitarbeitenden von VicOne registrieren seit vielen Jahren Cybersicherheits-Schwachstellen wie Vorfälle, um zu verdeutlichen, wie seit dem Jahr 2019 die Zahl der Common Vulnerabilities and Exposures (CVEs) sprunghaft angestiegen ist.
Sicherheitslücken in der Lieferkette
Laut den Daten von VicOne haben Probleme mit Chipsets oder System-on-Chip (SoCs) im ersten Halbjahr 2023 den größten Anteil an den gemeldeten Vorfällen eingenommen, danach folgten Schwachstellen in Drittanbieter-Verwaltungs-Apps sowie in Infotainmentsystemen im Fahrzeug. „Zusätzlich zu den in Fahrzeugen oder deren Systemen vorhandenen Schwachstellen haben wir eine signifikante Anzahl von Vorfällen im Kontext der Automobilindustrie gesammelt und kategorisiert. Die Mehrheit dieser Fälle betraf Cyberangriffe, Probleme mit Wegfahrsperren und Angelegenheiten, die mit Anwendungen und Anwendungsprogrammierschnittstellen (APIs) in Verbindung stehen“, so VicOne.
Auffällig sei dabei, dass eine signifikante Zahl dieser Fälle ihren Ursprung bei den Services und Diagnosen von Drittanbietern finden sowie in den Lieferanten von Automotive-Komponenten. Betroffen seien also Hersteller, Logistiker, Service-Dienstleister und Unternehmen, die in der Produktion von Komponenten, Zubehörteilen und Accessoires involviert sind – und seltener die OEMs selbst.
Die Kosten der Attacken
Die Leute von VicOne haben für die Jahre 2021 bis zum ersten Halbjahr 2023 dazu die geschätzten Kosten berechnet, die Cyberattacken auf die Automobilbranche verursachen. Auch an dieser Stelle kann festgestellt werden, dass die Branche zunehmend Ziel kostspieliger Angriffe wird. Die Kosten beziehen sich dabei hauptsächlich auf die Auswirkungen durch Ransomware-Attacken, die Verbreitung von geleakten oder personenbezogenen Daten sowie auf Ausfallkosten. Kosten, die nach einem Angriff für Marketing, Verkaufsabteilungen oder PR-Bemühungen entstehen, sind nicht berücksichtigt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Durch Ransomware-Angriffe, geleakte Daten und das Bekanntwerden von personenbezogenen Daten sowie durch Ausfälle entstanden Kosten von knapp 1,4 Milliarden US-Dollar im Jahr 2021.
Durch Ransomware-Angriffe, geleakte Daten und das Bekanntwerden von personenbezogenen Daten sowie durch Ausfälle entstanden Kosten von knapp 950 Millionen US-Dollar im Jahr 2022.
Durch Ransomware-Angriffe, geleakte Daten und das Bekanntwerden von personenbezogenen Daten sowie durch Ausfälle entstanden Kosten von knapp 12 Milliarden US-Dollar im ersten Halbjahr 2023.
„Diese Schätzungen legen nahe, dass immer mehr Cyberangriffe auf die Automobilindustrie abzielen und diese beeinträchtigen, während die Kosten weiter steigen“, so VicOne.
Drei Beispiele von bekannten Schwachstellen
Im Bericht von VicOne wird mehrfach festgehalten, dass weniger die OEMs selbst zum Ziel der Attacken von Cyberkriminellen werden, sondern die Zulieferer der Komponenten. Dennoch haben Angriffe gegen die Zulieferer natürlich auch Auswirkungen auf die Produktion der Originalgerätehersteller. Im Bericht zu den Gefahren für die Cybersicherheit in der Automobilbranche werden drei Beispiele für Schwachstellen sowie Lösungsansätze dafür angesprochen, die wir nachfolgend kurz umreißen.
Zenbleed: Im Juli 2023 wurde von einem Sicherheitsprüfer von Google (Travis Ormandy) eine kritische Schwachstelle in der Mikroarchitektur des AMD Zen 2 gefunden, an der sensible Daten geleakt werden könnten. Mit dem zunehmenden Fokus der Industrie auf Software-defined Vehicles (SDV) kommen verstärkt leistungsstarke CPUs und GPUs im Fahrzeug zum Einsatz. AMD möchte den Bedarf bedienen, aber „diese Schwachstelle hat das Potenzial, die Extraktion sensibler Informationen zu ermöglichen, einschließlich Passwörtern und Tokens. Dies könnte die Sicherheit und Privatsphäre sowohl des Fahrzeugs als auch seiner Insassen gefährden.“ Um das Problem anzugehen, wurde vonseiten AMD ein Firmware-Microcode-Update veröffentlicht. Wenn das Problem nicht durch Over-the-Air-Updates oder den Zurückruf des Produkts gelöst werden kann, lässt sich die Schwachstelle zumindest durch einen Software-Workaround abschwächen, jedoch zu Kosten einer verringerten Performance der CPU.
CAN Bus Injection: Das Controller Area Network-Protokoll (CAN) wurde in den 80er-Jahren eingeführt und gilt als Kommunikationsstandard in der Industrie. Die neueste Gefahr für das Protokoll ist die CAN Bus Injection, die den Diebstahl eines Fahrzeugs vereinfacht und im ersten Halbjahr 2023 zu einer der größten Bedrohungen zählte. Ein relativ simples Toolset, das ein von VicOne beschriebenes Diebstahl-Szenario ermöglicht, ist seit 2022 schon für einige Tausend US-Dollar erhältlich. Die permanente Schließung dieser Sicherheitslücke umfasst einen Zero-Trust-Ansatz, bei dem CAN-Geräte nicht mehr standardmäßig Steuereinheiten blind vertrauen. „Stattdessen können zusätzliche Validierungsmaßnahmen in CAN-Frames implementiert werden, um die Authentizität der Steuergeräte (ECUs) zu überprüfen. Hierfür müssen die ECUs mit geheimen Schlüsseln ausgestattet und mit einem bestimmten Fahrzeug gekoppelt werden.“
Automotive Cloud Service Compromise: Fahrzeuge sind heutzutage mehr und mehr mit dem Internet verbunden und kommunizieren dabei meistens mit Cloud-Services der OEMs oder von Drittanbietern. Web Application Security Researcher Sam Curry bewies im Januar 2023 mit seinem Team, wie durch die Ausnutzung von Sicherheitslücken in Telematiksystemen und APIs auf die Back-End-Cloud-Infrastruktur verschiedener OEMs zugegriffen werden kann. „Im Fall von Mercedes-Benz wurde eine öffentlich zugängliche Website für Fahrzeugwerkstätten entdeckt, die auf dieselbe Datenbank wie das zentrale Mitarbeiter-LDAP (Lightweight Directory Access Protocol)-System zugriff. Durch die Registrierung auf dieser Website erlangten sie eingeschränkten Zugang zu den Mitarbeiteranwendungen. Diesen Zugang nutzten sie, um weitere Zugriffe auf sensible interne Anwendungen zu erlangen, einschließlich des Mercedes-Benz GitHub. Dort fanden sie detaillierte Anweisungen zum Entwickeln von Anwendungen zur Kommunikation mit Kundenfahrzeugen.“
Solche Probleme sind der IT-Industrie weithin bekannt, in der Automobilindustrie scheinen Sicherheitslücken dieser Art bislang nicht ganz auf dem Schirm zu sein. „Der Schwerpunkt im Entwicklungsprozess der Automobilindustrie lag traditionell stärker auf Sicherheit als auf Cybersecurity. Dies hat dazu geführt, dass die Vorschriften nun verstärkt eine genauere Beachtung des Aspekts der Cybersicherheit fordern“, merken die Mitarbeitenden von VicOne an. Immerhin können Erkenntnisse und Fortschritte aus der IT-Industrie auch im Automotive-Bereich helfen.
Wie passt der Trend zu SDVs dazu?
Wir haben bereits angesprochen, dass der Trend in der Industrie zu Software-defined Vehicles geht, die mit ihren Möglichkeiten ein hohes Maß der Personalisierung des Fahrerlebnisses bieten wollen und Fahrenden zudem mittels Systemen wie ADAS und autonomen Fahren unterstützen. Den Herstellern muss klar sein, dass Cybersicherheit im Auto immer wichtiger wird, je mehr Fahrzeugsysteme potenziell von Unbefugten gesteuert werden könnten.
ADAS benötigen Software und Sensoren, um zu funktionieren, die wiederum Potenzial für Sicherheitslücken bieten. Die Komplexität der Systeme für autonomes Fahren macht sie anfällig für Glitches und Hacking, was sich wiederum negativ auf die Sicherheit der Insassen auswirken kann. Bei smarten Cockpits, die von einer Künstlichen Intelligenz unterstützt werden, muss sichergestellt werden, dass personalisierte Daten geschützt sind. Ähnliches gilt für in Mode kommende Abomodelle, über die sich softwaregesteuerte Funktionen des Fahrzeugs anpassen lassen.
„Wenn Anbieter sich in das Gebiet der selbstfahrenden Fahrzeuge wagen, transformiert diese Innovation radikal das Automobil-Ökosystem und erweitert die Möglichkeiten, wie Fahrzeuge genutzt werden können. Diese Fortschritte erfordern jedoch verbesserte Sicherheitsmaßnahmen, um die Sicherheit der Fahrzeuge zu gewährleisten. Ein prominentes Beispiel hierfür sind Fahrzeugdaten und das expandierende Datensystem im Automobilbereich, das eine Lücke in klaren Richtlinien und Vorschriften für den sicheren Umgang mit diesem Aspekt der Automobilindustrie aufzeigt. Die Einführung neuer Funktionen erweitert oft die potenzielle Angriffsfläche eines Fahrzeugs. Besonders in der Automobilindustrie sollte weitere Innovation mit einer starken Sicherheitsposition abgewogen werden“, schließt der Bericht von VicOne. (sb)
:quality(80)/p7i.vogel.de/wcms/23/7c/237cae1e646212a6506b57a39f63fdfc/0129206638v2.jpeg "Vector investiert in Schlüsseltechnologien wie codezentrierte Softwareentwicklung, Cloud-Technologien und KI. (Bild: Vector Informatik)")
:quality(80)/p7i.vogel.de/wcms/47/58/4758e91dc6a4ca898787cea68a704d78/0129083411v2.jpeg "The Mobility House Solutions und Aral Fleet Solutions kooperieren, um End-to-End-Ladelösungen für Flottenkunden anzubieten. (Bild: Aral)")
:quality(80)/p7i.vogel.de/wcms/e2/a2/e2a20c0d8c4b83ed3a1a97da395aff57/0129071657v2.jpeg "Mit einem neuen markenübergreifenden Steuerungsmodell in der Brand Group Core will VW den Grundstein für wettbewerbsfähigere Produkte und mehr Effizienz legen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/ec/51/ec51ca24a6f5bc18eba4b4365da66db4/0129054296v2.jpeg "Valeo setzt zukünftig eine neue Fertigungslösung für die Serienproduktion von Beleuchtungssystemen ein, die auf der IMSE-Technologie von TactoTek basiert. (Bild: Valeo)")
:quality(80)/p7i.vogel.de/wcms/58/4a/584a031cfbf34053401421566f8c30b5/0129264874v2.jpeg "Neue Release der HighTec Rust- und C/C++ Arm-Entwicklungsplattform v10.0.0 beschleunigt Entwicklung sicherheitsrelevanter Automotive-Software (Bild: HighTec EDV-Systeme)")
:quality(80)/p7i.vogel.de/wcms/a7/e7/a7e708d65966f5a1af4efc5fbf2d74a0/0129255976v2.jpeg "Porsche sieht Batteriekompetenz als strategische Schlüsselkompetenz und hat die Batteriemodule für den neuen Cayenne Electric selbst entwickelt. (Bild: Porsche)")
:quality(80)/p7i.vogel.de/wcms/0d/dc/0ddc80ddfd317c017122bc15ec2fc109/0129237953v2.jpeg "In Zeiten immer komplexerer Entwicklungsprozesse ist der digitale Zwilling ein zentrales Tool, um diese Komplexität zu beherrschen und Produkte schneller umzusetzen. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/f2/de/f2de4f25727ac9ec081ddd044610ba90/0129237486v2.jpeg "ZF und BMW haben einen Vertrag über das Acht-Gang-Automatgetriebes des Zulieferers mit besonderem Fokus auf elektrifizierte Antriebe geschlossen. (Bild: ZF)")
:quality(80)/p7i.vogel.de/wcms/df/72/df72214a59dcab1167187c1dc50ecca2/0129233467v2.jpeg "Vom Remote Operation Center könnten zukünftig S-Bahnen ferngesteuert rangiert werden. (Bild: Alstom)")
:quality(80)/p7i.vogel.de/wcms/03/1d/031dfeb087371f6707f30b46b355e4c0/0129205858v2.jpeg "Hubschrauber sind für den Rettungseinsatz unersetzlich. Allerdings verursachen sie insbesondere beim Landeanflug viel Lärm. Hier will das Projekt Star Abhilfe schaffen. (Bild: frei lizensiert bei Pixabay)")
:quality(80)/p7i.vogel.de/wcms/65/6d/656d1dfbd8ed0a8006f645c88bf7b35a/0129137154v2.jpeg "Joby Aviation bereitet sich mit CAE-Flugsimulatoren auf die erste Welle der Pilotenausbildung für eVTOLs vor. (Bild: Joby Aviation)")
:quality(80)/p7i.vogel.de/wcms/93/e7/93e7c549c8a719b3405298b13211a8d3/0129121973v2.jpeg "Der ÖPNV konnte zwar 2025 ein leichtes Wachstum verzeichnen, aber die Probleme bleiben signifikant. (Bild: frei lizensiert bei Pexels)")
:quality(80)/p7i.vogel.de/wcms/c3/68/c368a3ad72ac970809451c311e05a07b/0127817359v2.jpeg "Der Erfolg der Zürcher S-Bahn: Die Doppelstockzüge, seit 1990 im Netz der Zürcher
S-Bahn eingesetzt werden. (Bild: SBB/CFF/FFS)")
:quality(80)/p7i.vogel.de/wcms/6a/4f/6a4f63cfca5e01026d25edd19b5302c5/0127761368v3.jpeg "Mit der Bahn quer durch Europa: Durch die neuen Pläne sollen Flüge reduziert werden und der Schienenverkehr ausgebaut werden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/42/86/4286fd057b5413102fbac1758d2dc55f/0127713923v3.jpeg "Rheinmetall wirde mit dem Red Dot Design Award 2025 für den Ladebordstein im Gesamtwettbewerb „Product Design“ in der Kategorie „Innovative Design“ prämiert. (Bild: Rheinmetall)")
:quality(80)/p7i.vogel.de/wcms/36/49/36496a26b0c295de6d9a36d66ea7571a/0125402418v3.jpeg "Eine chinesische Magnetschwebebahn erreichte 650 km/h in nur 7 Sekunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/ac/21acaf596f3ea542ac240cc61c07a963/0116012969.jpeg "Schwachstellen- und Expositionskennungen (CVEs), die mit Automobilkomponenten und -diensten in Verbindung stehen - laut VicOne gibt's seit 2019 einen sprunghaften Anstieg.(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/c6/97/c6976e829c250cd0e7b78598e09a98ed/0116012973.jpeg "Die Verteilung der Sicherheitsvorfall-Kategorien vom zweiten Halbjahr 2022 bis zum ersten Halbjahr 2023.(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/a9/0d/a90dee6e384dab3c562d0da80ad4cc85/0116012976.jpeg "Ein Beispiel dafür, wie eine CAN Bus Injection durchgeführt werden könnte: An den Anschluss des linken Scheinwerfers wird (rechts im Bild) ein Injector angebracht.(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/07/c2/07c2f34712857d2b690ede5500f79cba/0116012982.jpeg "Die gemeldeten Vorfälle in den Jahren 2021, 2022 und im ersten Halbjahr 2023 wurden entsprechenden Bauteilen zugewiesen.(Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/4f/6b/4f6b62862249c367238decefc59c7975/0125923296v2.jpeg "Der Weg zu verbesserter Effizienz und Monetarisierung gewerblicher Elektrofahrzeuge führt auch über eine gestiegene Cybersicherheit. (Bild: frei lizensiert bei Pixabay)")
:quality(80)/p7i.vogel.de/wcms/16/c3/16c32760e110c3a395caeb0b93b61468/0126717083v2.jpeg "BSI-Vizepräsident Thomas Caspers bei einer Diskussionveranstaltung im Rahmen der Internationalen Automobil-Ausstellung (IAA Mobility). (Bild: BSI)")