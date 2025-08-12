Auch Autos sind heute zunehmend vernetzt. Das bringt enorme Vorteile mit sich, birgt aufgrund möglicher Sicherheitslücken aber ebenso erhebliche Risiken. Wie Techcrunch berichtet, gelang es einem Experten, sich weitreichenden Zugriff auf ein Herstellerportal zu verschaffen. Selbst das Entriegeln von Fahrzeugen aus der Ferne wäre dadurch möglich gewesen.

Wie sicher sind Autos vor Hacker:innen?

Auf der Sicherheitskonferenz Def Con in Las Vegas erklärte Eaton Zveare, Sicherheitsforscher beim Softwareunternehmen Harness, wie er im zentralen Online-Portal eines Autoherstellers eine kritische Schwachstelle entdeckt hatte. Diese ermöglichte ihm die Erstellung eines Admin-Kontos – mit potenziell gravierenden Folgen. Damit hätte er uneingeschränkten Zugriff auf das Portal erlangen können. Für Angreifer:innen wäre es dadurch möglich gewesen, persönliche und finanzielle Kund:innendaten einzusehen, Fahrzeuge zu orten und Funktionen wie das Remote-Entriegeln zu aktivieren.

Zveare stieß schon am Anfang des Jahres im Rahmen eines privaten Wochenendprojekts auf die Lücke. Den betroffenen Hersteller nannte er zwar nicht, beschrieb ihn allerdings als einen weltweit bekannten Autobauer mit mehreren populären Marken. Er betonte, dass dieser Vorfall die enorme Bedeutung der Sicherheit von Händlerportalen zeige, da diese ihren Mitarbeiter:innen und Partner:innen umfassenden Zugriff auf Informationen über Kund:innen und Fahrzeuge gewähren. Die Schwachstelle im Login-System war seinen Angaben zufolge zwar schwer zu finden, doch einmal entdeckt, konnte Zveare die Zugangskontrollen vollständig umgehen.

Sicherheitslücken mit hohem Schadenspotenzial

Über das Admin-Konto erhielt Zveare Zugriff auf die Systeme von mehr als 1.000 Händlern in den USA. Das Problem: Beim Laden der Login-Seite wurde fehlerhafter Code direkt im Browser ausgeführt und ließ sich so manipulieren, um Sicherheitsprüfungen zu umgehen. Unter anderem entdeckte Zveare ein landesweites Suchtool, mit dem sich Fahrzeughalter:innen anhand ihres Namens oder der Fahrzeug-Identifikationsnummer ermitteln ließen. Zudem war es möglich, jedes beliebige Auto mit einem Nutzer:innenkonto zu verknüpfen, um es über eine App fernzusteuern. Ein solcher Angriff könnte theoretisch dazu genutzt werden, Fahrzeuge zu öffnen und daraus Gegenstände zu stehlen.

Hinzu kam, dass über das Single-Sign-On-Verfahren auch verbundene Systeme anderer Händler erreichbar waren. Außerdem gab es eine „Impersonate“-Funktion, mit der sich Admins als andere Nutzer:innen ausgeben konnten, ohne deren Zugangsdaten zu benötigen. Im Portal fand Zveare neben Kund:innendaten auch Informationen über Telematik-Systeme zur Echtzeit-Ortung von Miet-, Vorführ- und Transportfahrzeugen – inklusive der Option, Lieferungen zu stornieren. Daten wie diese bieten ein hohes Potezial, missbraucht oder im Darknet weiterverkauft zu werden.

Laut Zveare fand der Hersteller keine Hinweise auf eine frühere Ausnutzung der Schwachstelle. Er selbst dürfte somit der Erste gewesen sein, der sie entdeckte und meldete. Dennoch macht der Fall deutlich, welches Risiko große Portale und vernetzte Fahrzeuge darstellen. Die Vorteile der Digitalisierung sind groß, aber ebenso groß sind die Chancen für Hacker:innen, diese Systeme zu kompromittieren.

