Die globale Automobilindustrie steht laut Experten vor einer digitalen Bedrohungslage, die in ihrer Intensität und ihren wirtschaftlichen Folgen neue Dimensionen erreicht hat. Während früher primär klassische IT-Systeme in Büros das Ziel von Hackern waren, rückt demnach nun das Herzstück der Branche in den Fokus: die Produktion.

Ein aktuelles Weißbuch des in Bergisch Gladbach angesiedelten Center of Automotive Management (CAM), das dieses in Kooperation mit Cisco verfasst hat, verdeutlicht die Entwicklung. Die geschätzten Schadenskosten für den Sektor sind demnach auf über 20 Milliarden US-Dollar angestiegen – eine Verzwanzigfachung gegenüber dem Jahr 2022. Große Namen wie Toyota, Honda, Jaguar Land Rover, Bridgestone oder Thyssenkrupp Automotive mussten bereits schmerzhafte Erfahrungen mit Produktionsausfällen und unterbrochenen Lieferketten machen.

Die Analyse der Angriffsziele durch das CAM offenbart eine merkliche Verschiebung innerhalb des automobilen Ökosystems. Nicht die großen Hersteller, die sogenannten OEMs, stehen an vorderster Front der Cyberattacken, sondern die Zulieferbetriebe. Laut einer im Whitepaper zitierten VicOne-Studie entfallen fast 57 Prozent aller einschlägigen Angriffe auf die Zulieferer.

Händler folgen demnach mit rund 22 Prozent, während die Fahrzeughersteller selbst nur knapp 10 Prozent der direkten Angriffsziele ausmachen. Die Zahlen belegen, dass Cyberkriminelle gezielt das vermeintlich schwächste Glied in der hochgradig vernetzten Wertschöpfungskette suchen. Denn ein Stillstand bei einem spezialisierten Zulieferer kann innerhalb kürzester Zeit ganze Montagebänder bei den Herstellern zum Erliegen bringen.

IT und OT verschmelzen zum Einfallstor

Dass die Attacken mittlerweile so effektiv sind, liegt an der fortschreitenden Verschmelzung von Informationstechnik (IT) und Operation Technology (OT). Moderne Fabriken sind hochgradig digitalisiert: Cloud-Plattformen, KI-gestützte Steuerungen und vernetzte Robotik bilden ein engmaschiges Netz. Professionelle Ransomware-Gruppen und staatlich gestützte Akteure nutzen diese neuen Angriffspfade, um von der Bürokommunikation bis tief in die Steuerungslogik einzelner Maschinen vorzudringen.

CAM-Direktor Stefan Bratzel warnt davor, dass Produktionsstopps heute pro Tag Schäden im zweistelligen Millionenbereich verursachen könnten. Damit sei Cybersecurity von einem reinen IT-Thema zu einer existenziellen Frage der Betriebssicherheit geworden.

In einer begleitenden Umfrage unter Branchenvertretern identifizierten die Verfasser die größten Schmerzpunkte. Ganz oben auf der Liste stehen die Sicherheit in der Cloud sowie Risiken durch Remote-Arbeit, dicht gefolgt von klassischen Ransomware- und Malware-Attacken.

Aber auch neuere Bedrohungsfelder wie KI-basierte Angriffe und Schwachstellen in den vernetzten Fahrzeugen selbst machen den Entscheidern zunehmend Sorgen. Erschwerend kommt dazu, dass viele Werke noch immer einen Mix aus modernster Technik und veralteten Bestandsanlagen nutzen. Diese heterogenen Landschaften sind oft schwer zu segmentieren und bieten zahlreiche Einfallstore.

Neue Standards als Managementaufgabe

Neben den technologischen Hürden bremsen der Analyse zufolge strukturelle Probleme die Abwehrbemühungen. Es mangele an Fachkräften im speziellen Bereich der OT-Security, ist dem Weißbuch zu entnehmen. Zudem fehlten oft klare Rollenmodelle für die Verantwortlichkeiten in der Produktion. Gleichzeitig wachse der Druck durch regulatorische Vorgaben auf nationaler und internationaler Ebene.

Cybersicherheit wird laut den Fachleuten damit endgültig zur Managementaufgabe, die technisches Know-how mit juristischer und strategischer Weitsicht vereinen muss. Thorsten Rosendahl von Ciscos Security-Einheit Talos unterstreicht, ein ganzheitlicher Ansatz sei überlebenswichtig. Dieser dürfe keine Trennung mehr zwischen Büro-IT und Werkshalle zulassen.

Um Unternehmen eine Orientierung in diesem Feld zu bieten, stellt das Whitepaper das sogenannte 4C-Modell vor. Dieser Bewertungsrahmen betrachtet Cybersecurity als strategisches Mittel und gliedert sich in die Bereiche Kompetenzen, Kooperationen, Kultur und Strategie. Es geht dabei nicht nur um den Einsatz der neuesten Firewall. Vielmehr steht die Frage im Zentrum, ob das Personal über die richtigen Fähigkeiten verfügt, wie sicher die Partner angebunden sind und ob eine echte Sicherheitskultur in der Organisation gelebt wird. Die Autoren heben hervor: Nur durch dieses Zusammenspiel lasse sich eine nachhaltige Cyber-Resilienz aufbauen, die den Wirtschaftsstandort und seine industrielle Wertschöpfung langfristig absichere.

(nie)

Microsoft hat ein Update außer der Reihe für Windows-11-Clients insbesondere in Enterprise-Umgebungen herausgegeben. Es ist für Maschinen gedacht, die Hotpatching aktiviert haben.

Im Message-Center der Windows-Release-Health-Notizen erklärt Microsoft, dass das Update Sicherheitslücken im Management-Tool des Routing-and-Remote-Access-Services (RRAS) korrigiert, das Angreifern bei Verbindungen verwundbarer Clients auf bösartige Server das Einschmuggeln und Ausführen von Schadcode ermöglicht. Es handelt sich um eine Sammlung aus drei Schwachstellen (CVE-2026-25172, CVE-2026-25173 und CVE-2026-26111). Der Hotpatch KB5084597 vom Freitag dieser Woche hievt die Windows-Builds auf die Nummern 26200.7982 respektive 26100.7982, es betrifft also Windows 11 25H2 und 24H2.

Die Aktualisierung außer der Reihe ist lediglich für Windows-11-Geräte nötig, die Hotpatching aktiviert haben und für die Fernverwaltung von Servern eingesetzt werden, führt Microsoft weiter aus. Übliche Desktop-Clients bedürfen daher keiner weiteren Aktion.

Ungeplanter Hotfix enthält Korrekturen aus dem März

Der Hotfix außer der Reihe ist kumulativ und umfasst auch die Fehlerkorrekturen, die Microsoft in den Windows-Updates zum März-Patchday in dieser Woche veröffentlicht hat. Microsoft betont, dass das Update automatisch auf Windows-11-Geräte der Versionen 25H2 und 24H2 verteilt wird, die Hotpatches aktiviert haben und mit Windows Autopatch verwaltet werden. Da Microsoft Hotpatches für Windows 11 mit Windows Autopatch seit Mitte vergangenen Jahres als Standardkonfiguration vorsieht, dürften einige Maschinen davon betroffen sein. Die Aktualisierungen werden durch das Hotpatching auch ohne Neustart wirksam. Wer weder Hotpatches einsetzt noch das RRAS-Verwaltungstool, muss nichts unternehmen, führen die Entwickler weiter aus.

In den drei CVE-Einträgen erklärt Microsoft, dass die Hotpatches erneut veröffentlicht wurden, um die vollständige Abdeckung aller betroffenen Szenarien sicherzustellen. Kunden rät Microsoft dort, die aktualisierten Updates anzuwenden, um den vollen Schutz sicherzustellen.

(dmk)

Google hat in der Nacht zum Samstag erneut ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es bessert eine im Netz bereits attackierte Sicherheitslücke aus, die das Update vom Vortag offenbar nicht oder nicht korrekt geschlossen hat.

Bereits am Freitag dieser Woche hatte Google angekündigt, dass das außerplanmäßige Update zwei in freier Wildbahn attackierte Sicherheitslücken stopft. Jetzt haben die Entwickler jedoch eine weitere Aktualisierung außer der Reihe eingeschoben, die eine der vermeintlich bereits geschlossenen Sicherheitslücken (abermals) korrigiert. Es handelt sich dabei um die Schwachstelle in der Grafikbibliothek Skia. Durch das Verarbeiten und Rendern sorgsam präparierter Webseiten können Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so fälschlicherweise Speicherinhalte schreiben (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Das ermöglicht oftmals, Schadcode einzuschleusen und auszuführen.

Google hat die ursprüngliche Versionsankündigung aus der Nacht zum Freitag inzwischen aktualisiert. Demnach listete die vorherige Version der Notiz die Schwachstelle CVE-2026-3909 auf, deren Korrektur jedoch erst in einem künftigen Update enthalten sein wird, führen die Entwickler dort nun aus. Zu den Gründen nennen sie keine weiteren Details. Auch zu den bereits laufenden Angriffen auf die Schwachstellen gibt es keine weitergehenden Informationen.

Aktualisierte Versionen jetzt installieren

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die aktuelle Fassung des Webbrowsers einsetzen. Chrome 146.0.7680.119 für Android sowie 146.0.7680.80 für Linux, macOS und Windows stopfen nun auch das zweite attackierte Sicherheitsleck.

Der Versionsdialog findet die Updates und startet auch gleich deren Installation. Der öffnet sich nach Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Klickpfad „Hilfe“ – „Über Google Chrome“. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür zuständig. Der Play-Store von Google sollte das Update ebenfalls anbieten, auf zahlreichen Handy-Modellen kommen die Chrome-Updates jedoch mit deutlicher Verzögerung an; die Aktualisierung lässt sich dort auch nicht erzwingen.

Da andere auf dem Chromium-Code basierende Webbrowser wie Microsoft Edge die Schwachstelle mit hoher Wahrscheinlichkeit ebenfalls aufweisen, sollten Nutzerinnen und Nutzer dieser Alternativen ebenfalls prüfen, ob dafür Aktualisierungen verfügbar sind, und diese zeitnah anwenden.

(dmk)