Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Autos verstärkt als rollende Computer und sorgt sich um deren IT-Security. „Die digitalen Angriffsflächen im Automobilsektor wachsen rasant“, betonte der Vizepräsident der Bonner Behörde, Thomas Caspers, angesichts der Publikation eines Berichts zur Cybersicherheit im Straßenverkehr 2025 im Vorfeld der Automesse IAA in München. Hersteller und Ausrüster in der Branche müssten daher die IT-Sicherheit von vornherein in die Technik einbauen und entsprechende Voreinstellungen treffen („Security by Design and Default“).

Digitale Dienste, Over-the-Air-Updates und vernetzte Steuergeräte prägten zunehmend die Fahrzeugarchitekturen, verdeutlicht das BSI in dem Papier. Zudem nehme der Einsatz von KI in Assistenzsystemen und automatisierten Fahrfunktionen kontinuierlich zu. Das bedeute: Autos würden auf dem Weg zum autonomen Fahren immer vernetzter, Systeme komplexer und die Fortbewegung generell digitaler. Die Absicherung des Automobil-Ökosystems werde damit zur Daueraufgabe.

Laut dem Bericht hat BSI zwischen Februar 2024 und März 2025 insgesamt 107 Meldungen zu IT-Schwachstellen und Vorfällen im Automobilbereich ausgewertet. Für die meisten der Fälle war demnach ein physischer Zugriff oder zumindest eine räumliche Nähe, beispielsweise über Bluetooth oder WLAN, zum Ausnutzen der Sicherheitslücken erforderlich. Es gab aber auch 18 Meldungen, bei denen die Schwachstellen über das Internet zugänglich waren.

Infotainment-Systeme als Einfallstor

Ein Großteil der Meldungen (46 von 59 klassifizierten) basierte auf Sicherheitsanalysen oder Forschungsarbeiten, bei denen die Beteiligten einen Machbarkeitsnachweis („Proof of Concept“) entwickelten. Im Vergleich dazu finde eine aktive Ausnutzung durch Kriminelle gegenwärtig noch eher selten statt, schreibt das BSI. Weitere Bedrohungen ergäben sich indes aus der Option der Einflussnahme durch digitale Produkte, die Herstellern Zugriff auf Informationen und Funktionen ermöglichten.

Vor dem Hintergrund aktueller geopolitischer Konfliktlagen vergrößerten komplizierte Lieferketten die Gefahren, heißt es. Ferner seien mit neuartigen Angriffsmöglichkeiten auf KI-Komponenten und Fahrzeugsensorik durch manipulative Eingaben auch Risiken verbunden. Angesichts der üblicherweise langen Lebenszyklen sowohl von Fahrzeugen als auch der Verkehrsinfrastruktur stelle zudem die Migration auf quantenresistente kryptografische Verfahren eine wichtige Aufgabe dar.

Beliebtes Ziel für Angriffe sind dem Report zufolge Infotainment-Systeme aufgrund ihrer vielen Schnittstellen und Vernetzungsfunktionen. Sicherheitsforscher hätten gezeigt, wie sie zwölf Schwachstellen in den Systemen eines tschechischen Herstellers kombinierten, um über Bluetooth Malware zu installieren. So konnten sie etwa die Position des Fahrzeugs verfolgen und Gespräche aufzeichnen. Betroffen waren laut Schätzungen etwa 1,4 Millionen Fahrzeuge.

Fahrzeugdaten offen im Netz

Eine ähnliche Attacke auf ein Infotainment-System eines japanischen Herstellers befähigte Angreifer laut den Autoren, sich nach dem initialen Zugriff über Bluetooth auch jederzeit über Mobilfunk auf die ganze Apparatur aufzuschalten. Dies hätte es ihnen ermöglicht, den Fahrer abzuhören, die GPS-Position zu verfolgen oder sogar Fahrzeugfunktionen wie die Lenkung zu kontrollieren. Ferner seien in der QNX-Software, die in Infotainment-Systemen von Herstellern wie BMW, Volkswagen und Audi integriert ist, kritische Schwachstellen entdeckt worden. Eine habe das Ausführen von Programmcode aus der Ferne erlaubt.

Die Behörde erinnert daran, der Chaos Computer Club (CCC) habe aufgedeckt, dass Terabyte an Positionsdaten von E-Fahrzeugen von VW durch einen Konfigurationsfehler ungeschützt über das Internet einsehbar waren. Informationen von rund 800.000 Fahrzeugen und 600.000 Kunden, einschließlich Namen und Adressen, seien betroffen gewesen. Ein Experte habe zudem Sicherheitslücken in einem Web-Portal eines japanischen Herstellers gefunden, die ihm den Zugriff auf Standortdaten von Fahrzeugen in Nordamerika und Japan ermöglichten. Es wäre ihm sogar möglich gewesen, über das Portal fremde Autos zu starten oder zu öffnen.

Die NIS2 getaufte EU-Richtlinie zur Netzwerk- und Informationssicherheit bringe neue gesetzliche Auflagen für viele Unternehmen in der Automobilbranche mit, unterstreicht das BSI. Dazu gehörten eine Registrierungspflicht und die Meldung erheblicher Sicherheitsvorfälle an das Amt. In der Branche sei ein Mentalitätswandel nötig, um das Teilen von Informationen über Schwachstellen zu fördern und die Cybersicherheit als Qualitätsmerkmal zu betrachten.

(cku)

SAP hat in der neunten Ausgabe seines diesjährigen Sicherheits-Patchdays einundzwanzig neue Sicherheitslücken behoben und stuft vier der Lücken als „HotNews“, also besonders kritisch, ein. Administratoren und Managed-Service-Provider sollten schnell reagieren.

Immer wieder unsichere Deserialisierung

Die vier HotNews beziehen sich auf:

• Eine unsichere Deserialisierung in Netweaver RMI-P4 erhält die Höchstwertung von 10,0 CVSS-Punkten (Schweregrad: kritisch) und die CVE-ID CVE-2025-42944. Die Lücke kann zum Einschleusen beliebigen Codes missbraucht werden.
• In SAP Netweaver AS Java werden Dateien auf unsichere Art behandelt – CVE-2025-42922 (CVSS 9.9, kritisch) ermöglicht einem SAP-Nutzer den Upload beliebiger Dateien und deren Ausführung.
• Bei der dritten HotNews handelt es sich um ein Update einer bereits im März 2023, damals aber offenbar unvollständig behandelten Lücke mit einer CVSS-Wertung von 9.6 (kritisch), der CVE-ID CVE-2023-27500 und für SAP Netweaver AS for ABAP and ABAP Platform.
• Auf immerhin 9,1 Punkte und damit ebenfalls eine kritische Wertung kommt CVE-2025-42958, eine fehlende Authentifizierungsprüfung in SAP Netweaver auf IBM i-series. Sie ist nur durch angemeldete Nutzer ausnutzbar.

Weitere Sicherheitsflicken aus dem Hause SAP gibt es für SAP Commerce Cloud, Datahub, HCM, BusinessObjects, Fiori und weitere Produkte des Softwarekonzerns. Immerhin liefert dieser interessierten Dritten eine Übersicht der behobenen Probleme – für Details und Patches benötigen Betroffene jedoch ein SAP-Konto.

Erst kürzlich waren aktive Angriffe auf eine kritische S/4HANA-Schwachstelle bekannt geworden, unter unsicherer Deserialisierung litt hingegen ein bekanntes Produkt von Mitbewerber Microsoft. Der Sharepoint-Exploit „ToolShell“ sorgte im vergangenen Juli für Aufregung und wirkt bis heute nach – etwa durch ein Datenleck bei Infoniqa.

(cku)

Mehr als 470 Wissenschaftler:innen aus 34 Ländern stellen sich gegen den aktuellen Vorschlag zur Chatkontrolle, den die dänische Ratspräsidentschaft am 24. Juli im EU-Rat eingebracht hat.

Die EU-Kommission versucht seit mehreren Jahren ein Vorhaben umzusetzen, das verschlüsselte Kommunikation in der EU durchleuchten würde, etwa auf Messengern wie Signal. Auf diesem Weg will sie nach Darstellungen von sexualisierter Gewalt an Kindern (CSAM) suchen.

Die EU-Staaten können sich bisher nicht auf eine gemeinsame Position zu dem umstrittenen Vorhaben einigen. Eine Mehrheit unterstützt die Pläne der EU-Kommission, eine Sperrminorität von Staaten blockiert jedoch und setzt sich für die überwachungskritische Position des Parlaments ein. Mehrere Präsidentschaften sind bislang daran gescheitert, eine Einigung im Rat zu organisieren– zuletzt Polen. Die Position Deutschlands könnte entscheidend sein für den Fortgang der Verhandlungen, weil Deutschland als bevölkerungsreiches Land die bislang vorhandene Sperrminorität alleine kippen kann.

In ihrem Brief begrüßen die Unterzeichnenden zwar die Aufnahme von Bestimmungen, die eine freiwillige Meldung illegaler Aktivitäten erleichtern, sowie die Forderung, die Bearbeitung dieser Meldungen zu beschleunigen. Sie richten sich aber entschieden gegen das Durchsuchen der Endgeräte sowie gegen Alterskontrollen im Netz.

„Beispiellose Möglichkeiten für Überwachung, Kontrolle und Zensur“

Es sei einfach nicht möglich, bekanntes und neues Bildmaterial von sexualisierter Gewalt (CSAM) für Hunderte Millionen Nutzer:innen mit einer akzeptablen Genauigkeit zu erkennen, unabhängig vom spezifischen Filter. Darüber hinaus untergrabe die Erkennung auf dem Gerät, unabhängig von ihrer technischen Umsetzung, den Schutz, den eine Ende-zu-Ende-Verschlüsselung gewährleisten soll. Die Änderungen im Vorschlag würden zudem die Abhängigkeit von technischen Mitteln erhöhen und so die Sicherheits- und Datenschutzrisiken für die Bürger:innen verschärfen, ohne dass eine Verbesserung des Schutzes für Kinder garantiert sei.

Im offenen Brief, der auf deutsch und englisch vorliegt, heißt es:

Der neue Vorschlag würde – ähnlich wie seine Vorgänger – beispiellose Möglichkeiten für Überwachung, Kontrolle und Zensur schaffen und birgt ein inhärentes Risiko für den Missbrauch durch weniger demokratische Regime. Das heute erreichte Sicherheits- und Datenschutzniveau in der digitalen Kommunikation und in IT-Systemen ist das Ergebnis jahrzehntelanger gemeinsamer Anstrengungen von Forschung, Industrie und Politik. Es besteht kein Zweifel, dass dieser Vorschlag diese Sicherheits- und Datenschutzmaßnahmen, die für den Schutz der digitalen Gesellschaft unerlässlich sind, vollständig untergräbt.

Weiterhin weist der Brief auf Widersprüche im neuen Vorschlag hin: Dort heißt es, dass die CSAM-Detektionstechnologie nicht zu einer „Schwächung des durch Verschlüsselung gebotenen Schutzes” führen dürfe.

Es sei jedoch unmöglich, Material zu erkennen und entsprechende Berichte zu übermitteln, ohne die Verschlüsselung zu unterminieren. Zu den zentralen Gestaltungsprinzipien eines sicheren Ende-zu-Ende-Verschlüsselungsschutzes (E2EE) gehöre nämlich die Gewährleistung, dass einerseits nur die beiden vorgesehenen Endpunkte auf die Daten zugreifen können, und zweitens die Vermeidung eines Single Point of Failure.

Zwangs-Detektion und Verschlüsselung schließen sich aus

Wenn aber ein Detektionsmechanismus die Daten vor ihrer Verschlüsselung scanne, wie der aktuelle Vorschlag der Dänen es vorsieht, mit der Möglichkeit, sie nach der Überprüfung an die Strafverfolgungsbehörden zu übermitteln – verstoße das gegen beide Grundsätze: Sie untergrabe die zentrale Kerneigenschaft von E2EE, indem sie über den Detektionsmechanismus auf die privaten Daten zugreife, und schaffe zugleich durch die erzwungene Detektion einen einzelnen Fehlerpunkt für alle sicheren E2EE-Systeme.

Ende-zu-Ende-Verschlüsselung sei aber unerlässlich, damit EU-Bürger:innen sicher und privat online kommunizieren können, insbesondere wenn man bedenke, dass Kernteile unserer Kommunikationsinfrastruktur von US-amerikanischen Big-Tech-Unternehmen kontrolliert würden. Verschlüsselung schütze nicht nur die Zivilgesellschaft, sondern auch EU-Politiker:innen, Entscheidungsträger, Strafverfolgungsbehörden und Verteidigungskräfte. Sie seien in hohem Maße auf Verschlüsselung angewiesen, um eine sichere Kommunikation gegen interne und externe Bedrohungen zu gewährleisten.

Mehr Aufklärung gegen Missbrauch gefordert

Weiterhin wenden sich die Forscher:innen auch gegen die Erzählung, dass CSAM-Darstellungen nur mit technischen Mitteln zu begegnen sei:

Wir erinnern daran, dass CSAM-Inhalte stets das Ergebnis von sexuellem Kindesmissbrauch sind. Ihre Beseitigung setzt daher die Bekämpfung des Missbrauchs selbst voraus, nicht alleine die Verhinderung der digitalen Verbreitung von Missbrauchsmaterial.

Deshalb solle die Politik nicht weiterhin auf Technologien mit zweifelhafter Wirksamkeit wie CSAM-Erkennungsalgorithmen und Altersüberprüfungen setzen, welche die Sicherheit und Privatsphäre erheblich schwächen. Stattdessen sollte sie den von den Vereinten Nationen empfohlenen Maßnahmen folgen. Zu diesen gehörten unter anderem Aufklärung über Einwilligung, Normen und Werte, digitale Kompetenz und Online-Sicherheit und umfassende Sexualaufklärung sowie Hotlines für Meldungen.