Automobilsektor: BSI warnt vor rasant wachsenden „digitalen Angriffsflächen“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Autos verstärkt als rollende Computer und sorgt sich um deren IT-Security. „Die digitalen Angriffsflächen im Automobilsektor wachsen rasant“, betonte der Vizepräsident der Bonner Behörde, Thomas Caspers, angesichts der Publikation eines Berichts zur Cybersicherheit im Straßenverkehr 2025 im Vorfeld der Automesse IAA in München. Hersteller und Ausrüster in der Branche müssten daher die IT-Sicherheit von vornherein in die Technik einbauen und entsprechende Voreinstellungen treffen („Security by Design and Default“).

Digitale Dienste, Over-the-Air-Updates und vernetzte Steuergeräte prägten zunehmend die Fahrzeugarchitekturen, verdeutlicht das BSI in dem Papier. Zudem nehme der Einsatz von KI in Assistenzsystemen und automatisierten Fahrfunktionen kontinuierlich zu. Das bedeute: Autos würden auf dem Weg zum autonomen Fahren immer vernetzter, Systeme komplexer und die Fortbewegung generell digitaler. Die Absicherung des Automobil-Ökosystems werde damit zur Daueraufgabe.

Laut dem Bericht hat BSI zwischen Februar 2024 und März 2025 insgesamt 107 Meldungen zu IT-Schwachstellen und Vorfällen im Automobilbereich ausgewertet. Für die meisten der Fälle war demnach ein physischer Zugriff oder zumindest eine räumliche Nähe, beispielsweise über Bluetooth oder WLAN, zum Ausnutzen der Sicherheitslücken erforderlich. Es gab aber auch 18 Meldungen, bei denen die Schwachstellen über das Internet zugänglich waren.

Infotainment-Systeme als Einfallstor

Ein Großteil der Meldungen (46 von 59 klassifizierten) basierte auf Sicherheitsanalysen oder Forschungsarbeiten, bei denen die Beteiligten einen Machbarkeitsnachweis („Proof of Concept“) entwickelten. Im Vergleich dazu finde eine aktive Ausnutzung durch Kriminelle gegenwärtig noch eher selten statt, schreibt das BSI. Weitere Bedrohungen ergäben sich indes aus der Option der Einflussnahme durch digitale Produkte, die Herstellern Zugriff auf Informationen und Funktionen ermöglichten.

Vor dem Hintergrund aktueller geopolitischer Konfliktlagen vergrößerten komplizierte Lieferketten die Gefahren, heißt es. Ferner seien mit neuartigen Angriffsmöglichkeiten auf KI-Komponenten und Fahrzeugsensorik durch manipulative Eingaben auch Risiken verbunden. Angesichts der üblicherweise langen Lebenszyklen sowohl von Fahrzeugen als auch der Verkehrsinfrastruktur stelle zudem die Migration auf quantenresistente kryptografische Verfahren eine wichtige Aufgabe dar.

Beliebtes Ziel für Angriffe sind dem Report zufolge Infotainment-Systeme aufgrund ihrer vielen Schnittstellen und Vernetzungsfunktionen. Sicherheitsforscher hätten gezeigt, wie sie zwölf Schwachstellen in den Systemen eines tschechischen Herstellers kombinierten, um über Bluetooth Malware zu installieren. So konnten sie etwa die Position des Fahrzeugs verfolgen und Gespräche aufzeichnen. Betroffen waren laut Schätzungen etwa 1,4 Millionen Fahrzeuge.

Fahrzeugdaten offen im Netz

Eine ähnliche Attacke auf ein Infotainment-System eines japanischen Herstellers befähigte Angreifer laut den Autoren, sich nach dem initialen Zugriff über Bluetooth auch jederzeit über Mobilfunk auf die ganze Apparatur aufzuschalten. Dies hätte es ihnen ermöglicht, den Fahrer abzuhören, die GPS-Position zu verfolgen oder sogar Fahrzeugfunktionen wie die Lenkung zu kontrollieren. Ferner seien in der QNX-Software, die in Infotainment-Systemen von Herstellern wie BMW, Volkswagen und Audi integriert ist, kritische Schwachstellen entdeckt worden. Eine habe das Ausführen von Programmcode aus der Ferne erlaubt.

Die Behörde erinnert daran, der Chaos Computer Club (CCC) habe aufgedeckt, dass Terabyte an Positionsdaten von E-Fahrzeugen von VW durch einen Konfigurationsfehler ungeschützt über das Internet einsehbar waren. Informationen von rund 800.000 Fahrzeugen und 600.000 Kunden, einschließlich Namen und Adressen, seien betroffen gewesen. Ein Experte habe zudem Sicherheitslücken in einem Web-Portal eines japanischen Herstellers gefunden, die ihm den Zugriff auf Standortdaten von Fahrzeugen in Nordamerika und Japan ermöglichten. Es wäre ihm sogar möglich gewesen, über das Portal fremde Autos zu starten oder zu öffnen.

Die NIS2 getaufte EU-Richtlinie zur Netzwerk- und Informationssicherheit bringe neue gesetzliche Auflagen für viele Unternehmen in der Automobilbranche mit, unterstreicht das BSI. Dazu gehörten eine Registrierungspflicht und die Meldung erheblicher Sicherheitsvorfälle an das Amt. In der Branche sei ein Mentalitätswandel nötig, um das Teilen von Informationen über Schwachstellen zu fördern und die Cybersicherheit als Qualitätsmerkmal zu betrachten.

(cku)