Für Autohersteller wie Tesla war der diesjährige Pwn2Own-Automotive-Wettbewerb ein Debakel. Schließlich haben die teilnehmenden Teams zahlreiche Schwachstellen erfolgreich ausgenutzt und unter anderem „Doom“ auf einer Ladestation gezockt.

Hintergründe

Bei Pwn2Own-Wettbewerben treffen Sicherheitsforscher auf Computer, Technik und Autos, um diese zu knacken. Klappt das, gibt es ein Preisgeld und im besten Fall liefern die betroffenen Hersteller zügig Sicherheitspatches aus. Nach dem Pwn2Own Automotive 2026 haben sie auf jeden Fall viel zu tun. Insgesamt haben die Teilnehmer 76 Zero-Day-Sicherheitslücken aufgedeckt. So bezeichnet man Software-Schwachstellen, für die es noch kein Sicherheitsupdate gibt. Ob mittlerweile Patches erschienen sind, ist bislang nicht bekannt.

Den Wettbewerb veranstaltet Trend Micros Zero Day Initiative. In ihrem Blog haben sie die Ergebnisse zusammengetragen.

Erfolgreiche Attacken

Die Veranstalter geben an, insgesamt knapp über 1 Million US-Dollar Preisgeld ausgeschüttet zu haben. Auf Platz 1 in der Gesamtwertung hat es das Team Fuzzware.io geschafft. Das hat ihm 215.000 US-Dollar eingebracht. Dafür haben sie unter anderem die Ladestation ChargePoint Home Flex (CPH50-K) erfolgreich attackiert.

Bereits am ersten Tag des Wettbewerbs musste Teslas Infotainmentsystem dran glauben. Das Team Synacktiv hat zwei Sicherheitslücken miteinander kombiniert, um über eine USB-basierte Attacke einen Speicherfehler auszulösen. Ein derartiger Zustand ist oft die Basis für das Ausführen von Schadcode.

Will it run „Doom“?

Mehrere Sicherheitsforscher haben sich die Ladestation Alpitronic HYC50 vorgenommen und am Ende lief darauf der Ego-Shooter „Doom“. Dafür gab es 20.000 US-Dollar. Aus Sicherheitsgründen gibt es zum jetzigen Zeitpunkt keine weiterführenden Details über die im Wettbewerb ausgenutzten Sicherheitslücken. Bleibt zu hoffen, dass die Auto- und Ladesäulenhersteller schnell reagieren und zeitnah Sicherheitspatches veröffentlichen.

(des)

Der Passwort- und Dokumenten-Manager S-Trust der Sparkassen wird in Kürze Geschichte sein. Zum 31. März 2026 endet das Angebot. Es hat nicht die erhoffte Marktdurchdringung erreicht.

Das kündigen die Sparkassen jetzt auf der S-Trust-Webseite an. Zu den Hintergründen findet man etwa bei der Sparkasse Hannover etwas mehr Informationen: „Trotz aller gemeinsamen Anstrengungen konnte sich S-Trust in einem stark umkämpften Markt mit internationalen Wettbewerbern nicht dauerhaft durchsetzen. Ein wirtschaftlich tragfähiger Weiterbetrieb ist leider nicht möglich.“

S-Trust-Nutzerinnen und -Nutzer müssen aktiv werden

Wer das Angebot nutzt, könne zum Anbieter der originalen Software wechseln – SecureSafe des schweizerischen Unternehmens DSwiss AG. „Nutzende können ihre Daten über eine von DSwiss bereitgestellte technische Transfermöglichkeit zu SecureSafe übertragen, sofern sie sich eigenständig für diesen Dienst entscheiden“, erklärt die Sparkasse. Dafür seien Nutzerinnen und Nutzer verantwortlich, das Angebot stehe ausschließlich bei DSwiss selbst zur Verfügung. Die Hannoveraner Sparkasse liefert in ihrer oben verlinkten Ankündigung die Anleitung zum Wechsel gleich mit.

Wer auf gänzlich andere Anbieter wechseln möchte, findet ebenfalls Hilfestellung dafür. Das ist möglicherweise eine gute Idee: Bei der Prüfung von Passwort-Managern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Dezember vergangenen Jahres kam die IT-Sicherheitsbehörde zu dem Ergebnis, dass der Hersteller theoretisch auf die Daten zugreifen könne, da bei SecureSafe lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter dem S-Trust Password Manager verbirgt sich die SecureSafe-App, lediglich mit Sparkassen-Logo versehen, sodass das auch beim Sparkassen-Abkömmling gilt.

Dokumente in Sicherheit bringen

Verknüpfungen mit dem elektronischen Postfach der Sparkassen müssen Nutzer auflösen und zuvor etwaige bei S-Trust gelagerte Dokumente ins Postfach zurückverschieben. Auch andere mit der Dokumentenverwaltung aufbewahrte Dokumente sollten Nutzerinnen und Nutzer woanders speichern, um den Zugriff nicht zu verlieren.

An S-Trust nehmen etwa 80 Prozent der Sparkassen teil. Darunter auch die großen wie Haspa oder die Berliner Sparkasse.

(dmk)

Angreifer können an einer Lücke in IBM Db2 Big SQL ansetzen. Eine dagegen abgesicherte Version steht zum Download bereit.

Kritische Schwachstelle

Laut der Beschreibung der Lücke in einer Warnmeldung können Angreifer im Zuge einer HTTP-Parameter-Pollution-Attacke (HPP) Systeme über präparierte Anfragen attackieren. Die Auswirkungen solcher Attacken variieren. Oft sind unberechtigte Datenzugriffe möglich.

Derzeit gibt es keine Hinweise darauf, dass Angreifer die „kritische“ Lücke (CVE-2025-7783) ausnutzen. Admins sollten sicherstellen, dass die gepatchte Ausgabe IBM Db2 Big SQL 8.2.1 oder IBM Cloud Pak for Data 5.2.1 installiert ist.

(des)