Sicherheitslücke bei Autohersteller: Hacker könnten Millionen Fahrzeuge fernsteuern

Ein Albtraum für jeden Autofahrer wurde jetzt Realität: Ein renommierter Sicherheitsforscher deckte eine verheerende Schwachstelle bei einem großen Automobilkonzern auf, die es Cyberkriminellen ermöglicht hätte, beliebige Kundenfahrzeuge aus der Ferne zu kapern. Die Enthüllung wirft ein grelles Licht auf die erschreckenden Sicherheitsmängel in der modernen Automobilindustrie.

Totale Kontrolle durch Händlerportal

Eaton Zveare, Sicherheitsexperte beim Softwareunternehmen Harness, machte seine brisanten Erkenntnisse gegenüber TechCrunch publik. Der Forscher hatte sich Zugang zum internen Händlerportal eines namhaften Autoherstellers verschafft - mit erschreckend weitreichenden Konsequenzen. Über diese Sicherheitslücke hätten Angreifer nicht nur persönliche und finanzielle Daten der Kunden ausspähen können, sondern auch die vollständige Kontrolle über deren Fahrzeuge erlangen können - und das von jedem beliebigen Ort der Welt aus.

Besonders brisant: Zveare weigerte sich, den betroffenen Hersteller namentlich zu nennen. Er bestätigte lediglich, dass es sich um einen populären Automobilkonzern handele, der mehrere Marken unter seinem Dach vereint. Dies bedeutet, dass potenziell Millionen von Fahrzeugen und deren Besitzer gefährdet gewesen sein könnten.

Erschreckend simple Sicherheitslücke

Die Entdeckung machte Zveare nach eigenen Angaben im Rahmen eines Wochenendprojekts Anfang dieses Jahres. Während die Schwachstelle im Login-System des Portals zunächst schwer zu finden gewesen sei, ermöglichte sie ihm nach der Entdeckung, die gesamten Sicherheitsmechanismen zu umgehen. Der fehlerhafte Code wurde direkt im Browser des Nutzers geladen, wodurch Zveare ihn manipulieren und die Sicherheitsüberprüfungen aushebeln konnte.

"Niemand bekommt auch nur mit, dass man still und heimlich auf all diese Händlerdaten zugreift, ihre gesamten Finanzen, ihre privaten Informationen, all ihre Kundenkontakte"

Diese Aussage des Forschers verdeutlicht das erschreckende Ausmaß der Sicherheitslücke. Mit nur wenigen Handgriffen konnte er sich einen nationalen Administrator-Account erstellen und hatte damit uneingeschränkten Zugriff auf das gesamte System.

Praktische Demonstration der Gefahr

Um die Tragweite seiner Entdeckung zu demonstrieren, führte Zveare einen kontrollierten Test durch. Mit Einverständnis eines Freundes übernahm er dessen Fahrzeug komplett. Doch die Möglichkeiten gingen weit darüber hinaus: "Das Portal könnte im Grunde bei jedem das Gleiche tun, nur indem man den Namen kennt - was mich ehrlich gesagt ziemlich beunruhigt", erklärte der Sicherheitsexperte. Alternativ hätte er einfach ein beliebiges Fahrzeug auf einem Parkplatz auswählen und übernehmen können.

Systemisches Versagen der Automobilindustrie

Diese Enthüllung ist kein Einzelfall, sondern symptomatisch für die mangelnde Cybersicherheit in der Automobilbranche. Zveare brachte es auf den Punkt: "Sie sind einfach Sicherheitsalbträume, die nur darauf warten zu passieren." Die zunehmende Vernetzung moderner Fahrzeuge macht sie zu attraktiven Zielen für Cyberkriminelle, während die Hersteller offenbar mit der Absicherung ihrer Systeme überfordert sind.

Immerhin reagierte der betroffene Autohersteller nach der Benachrichtigung durch Zveare schnell. Die kritischen Sicherheitslücken wurden innerhalb einer Woche im Februar 2025 geschlossen. Doch die Frage bleibt: Wie viele weitere solcher Schwachstellen existieren unentdeckt in den Systemen anderer Hersteller?

Lehren aus dem Vorfall

Der Sicherheitsexperte fasste die Problematik prägnant zusammen: "Die Lehre daraus ist, dass nur zwei simple API-Schwachstellen alle Türen weit aufgerissen haben, und es hängt immer mit der Authentifizierung zusammen. Wenn man die falsch macht, bricht alles zusammen."

Diese Erkenntnis sollte die gesamte Automobilindustrie aufrütteln. In einer Zeit, in der Fahrzeuge immer mehr zu rollenden Computern werden, müssen Sicherheitsaspekte oberste Priorität haben. Die aktuelle Bundesregierung unter Friedrich Merz täte gut daran, strengere Sicherheitsstandards für vernetzte Fahrzeuge zu etablieren, bevor es zu einem großflächigen Cyberangriff kommt.

Die Enthüllung unterstreicht einmal mehr, wie verwundbar unsere moderne Infrastruktur gegenüber Cyberangriffen ist. Während die Politik sich in ideologischen Grabenkämpfen verliert, bleiben elementare Sicherheitsfragen unbeantwortet. Es ist höchste Zeit, dass Deutschland seine digitale Souveränität ernst nimmt und Unternehmen zu höheren Sicherheitsstandards verpflichtet - bevor aus einem Wochenendprojekt eines Forschers ein Albtraum für Millionen von Autofahrern wird.