Beispiele für gemeldete Sicherheitslücken

Wie White Hats softwaredefinierte Autos sicherer machen

White Hats testen vernetzte Fahrzeuge auf Schwachstellen, bevor Kriminelle sie ausnutzen können. Ihr Beitrag zur Sicherheit ist messbar – und konkrete Beispiele zeigen, wie die ethischen Hacker die Automobilindustrie verändern.

Martin Large Martin Large

3. November 2025 - 11:05

Ein realistisches, detailreiches Bild in moderner
digitaler Illustration: Im Mittelpunkt steht ein White-Hat-Hacker in einer Hightech-Umgebung, der an einem Laptop arbeitet. Der Hacker trägt neutrale Kleidung und ein weißes Basecap (kein Klischee-Hoodie). Im Hintergrund ist ein futuristisches, softwaredefiniertes Fahrzeug sichtbar, halb transparent dargestellt mit leuchtenden Datenströmen, Codezeilen und Netzwerkverbindungen, die das Auto mit einer Cloud verbinden. Auf einem großen Bildschirm sind Sicherheitsdiagramme, Schwachstellenberichte und vernetzte Komponenten des Fahrzeugs zu sehen. Die Szene wirkt professionell, sachlich, technisch – keine Bedrohung, sondern konstruktive Forschung. Die Farben sind kühl (Blau- und Grautöne), Lichtquellen betonen Bildschirme und holografische Anzeigen. Atmosphäre: analytisch, konzentriert, zukunftsorientiert.

Wie helfen White Hats bei der Sicherheit softwaredefinierter Fahrzeuge? Einblick in Methoden, Erfolge und Herausforderungen ethischer Hacker.

Ideogramm

Auf einen Blick

White Hats als Sicherheitsfaktor: Ethische Hacker finden und melden Schwachstellen in Fahrzeugsoftware, Cloud-Schnittstellen und Telematikdiensten, bevor sie ausgenutzt werden – und stärken so aktiv die Automotive Cybersecurity.
Praxisbeispiele zeigen Wirkung: Fälle bei VW Cariad, Kia und Tesla verdeutlichen, wie verantwortungsvolle Offenlegung (Responsible Disclosure) Sicherheitslücken schließt und neue Standards setzt.
Kooperation statt Konkurrenz: Wettbewerbe wie Pwn2Own Automotive und GVCC fördern Talente, beschleunigen Patching-Prozesse und etablieren White Hats als strategische Partner der Automobilindustrie.

Die Automobilindustrie wandelt sich rasant – vom mechanischen Produkt zur softwaregetriebenen Plattform auf Rädern. Mit dieser Transformation wächst auch die Angriffsfläche. Jedes Steuergerät, jede Cloud-API und jede Over-the-Air-Schnittstelle wird zum potenziellen Einfallstor.

Hier kommen die White Hats ins Spiel: ethische Hacker, die gezielt nach Schwachstellen in den Systemen, Software-Stacks und Telematikdiensten von Automobilherstellern suchen – jedoch nicht, um Schaden anzurichten, sondern um Sicherheitslücken zu melden, bevor sie ausgenutzt werden können. Ihre Arbeit ist messbar wirksam: White-Hat-Hacker haben bereits Schwachstellen bei großen Marken wie BMW, Ferrari, Ford oder Mercedes-Benz offengelegt. Durch ihre Hinweise konnten Hersteller kritische Sicherheitslücken schließen, unautorisierten Zugriff verhindern und die Daten ihrer Kunden besser schützen.

Im Ergebnis tragen White Hats entscheidend dazu bei, das Risiko von Cyberangriffen auf vernetzte Fahrzeuge zu senken – und sie machen sichtbar, wie wichtig offene Zusammenarbeit und verantwortungsvolle Offenlegung in der modernen Automotive Cybersecurity geworden sind.

Was White Hats leisten – und warum sie für SDVs unverzichtbar sind

„Unsere Aufgabe ist es, Brücken zu bauen – zwischen Mechanik, Software und digitaler Widerstandsfähigkeit.“ William Dalton, Vice President & Managing Director, VicOne Nordamerika und Europa

Softwaredefinierte Fahrzeuge (SDVs) sind im Kern rollende Computersysteme. Sie empfangen Updates, kommunizieren mit der Cloud, interagieren über Apps und sammeln Datenströme in Echtzeit. Für Cybersicherheits-Teams bedeutet das: klassische IT-Schwachstellen treffen auf sicherheitskritische Echtzeitsysteme.

„Man sagt gern: Mein anderer Computer ist mein Auto. Aber im Gegensatz zu einem Laptop ist das Fahrzeug Teil unseres Alltags – ein Gerät, das Leben schützt“, erklärt William Dalton, Vice President & Managing Director Europa bei VicOne. „Deshalb unterscheiden sich Automotive-Sicherheitstests fundamental von herkömmlichen IT-Penetrationstests.“

Während IT-Tester Server und Netzwerke prüfen, analysieren Automotive-Forscher Bus-Kommunikation (CAN, UDS), Steuergeräte-Interaktionen und das Verhalten unter sicherheitsrelevanten Bedingungen. White Hats müssen dabei so vorsichtig agieren, dass kein reales Fahrzeug Schaden nimmt – in der Regel testen sie zunächst in Simulationsumgebungen.

Vom Labor zur Straße – verantwortungsvolle Offenlegung als Schlüsselprinzip

Die verantwortungsvolle Offenlegung („Responsible Disclosure“) ist das Herzstück professionellen White-Hat-Hackings. Dabei werden gefundene Schwachstellen vertraulich an den betroffenen Hersteller gemeldet, der dann eine definierte Frist – meist 90 Tage – zur Behebung erhält, bevor Details veröffentlicht werden. So bleibt Zeit für koordinierte Gegenmaßnahmen.

VicOne beschreibt dieses Prinzip als unverzichtbar für Vertrauen und Resilienz im Ökosystem. Fälle aus der Vergangenheit zeigen, wie gut das Zusammenspiel zwischen unabhängigen Forschern und OEMs bereits funktioniert.

Die Zukunft der Künstlichen Intelligenz in der Auto-Industrie

Auf dem AUTOMOBIL-ELEKTRONIK Kongress 2025 war KI eines der zentralen Themen und trat dabei vielschichtig auf: als Treiber technischer Innovation, als Risiko und als Schlüssel zu neuen Fahrzeugkonzepten. Was beispielsweise Max Cheng von VicOne zu den Schattenseiten der KI sagte.

Fall 1: Offene Cloud-Schnittstelle bei VW Cariad

Von Volksdaten bei Volkswagen

Ende 2024 entdeckten ethische Hacker des Chaos Computer Clubs (CCC) eine offen zugängliche Cloud-Schnittstelle bei Cariad, dem Software-Arm von Volkswagen. Über diese API konnten Standort- und Telematikdaten von Elektrofahrzeugen eingesehen werden.

Nach der Meldung durch den CCC reagierte Cariad umgehend, schloss die Lücke und überprüfte die Cloud-Governance. Der Fall führte branchenweit zu einer Neubewertung von API-Sicherheitsrichtlinien und machte das Thema Cloud-Fehlkonfiguration zur Priorität. Auch auf EU-Ebene verstärkte der Vorfall die Diskussion über Datensicherheit in vernetzten Fahrzeugen.

Fall 2: ETH Zürich deckt Schwachstellen bei schlüssellosen Systemen auf

Forscher der ETH Zürich zeigten, dass passive Keyless-Entry-Systeme anfällig für Relay-Angriffe sind. Ihre Untersuchungen bewiesen, dass Fahrzeuge aus der Ferne geöffnet und gestartet werden können. Die Forschung führte direkt zur Einführung von Ultrabreitband- (UWB-) Lösungen und Distanzbegrenzungs-Protokollen, die heute als Standard für sichere Zugänge gelten. Ein Lehrstück dafür, wie akademische Forschung die Sicherheitsarchitektur der gesamten Branche prägt.

Fall 3: Tesla-Forscher deckt Bluetooth-Schwachstelle auf

Der österreichische Sicherheitsforscher Martin Herfurt identifizierte eine Lücke im Registrierungsprozess von Tesla NFC/Bluetooth-Schlüsseln. Innerhalb eines 130-Sekunden-Fensters konnten Angreifer zusätzliche Schlüssel anlernen.

Tesla reagierte, verschärfte die Registrierung, führte „PIN-to-Drive“ verpflichtend ein und sensibilisierte OEMs für sichere BLE/NFC-Stacks. Der Fall gilt heute als Wendepunkt für den Umgang mit Schlüssel-Authentifizierung in der Branche.

FAQ: White Hats in der Automobilindustrie

Was ist ein White Hat Hacker?: Ein White Hat ist ein ethischer Hacker, der Sicherheitslücken entdeckt und vertraulich meldet, statt sie auszunutzen. Ziel ist es, Systeme zu härten und Angriffe zu verhindern.
Warum heißen sie „White Hats“?: Die Bezeichnung stammt aus Western-Filmen: Helden trugen weiße Hüte, Schurken schwarze. In der Cybersicherheit stehen White Hats für „die Guten“.
Welche Arten von Hackern gibt es?: Häufige Kategorien sind: White Hats (ethisch, autorisiert), Black Hats (kriminell), Grey Hats (ohne Erlaubnis, aber meist ohne Schadensabsicht), Blue Hats (externe, eingeladene Tester) und Red Teams (simulieren reale Angriffe zur Prüfung der Abwehr).
Was unterscheidet White Hats von Grey Hats?: White Hats handeln nur mit ausdrücklicher Zustimmung und befolgen Responsible-Disclosure-Regeln. Grey Hats melden Lücken oft ohne Autorisierung und riskieren rechtliche Konsequenzen.
Wie wird man White Hat Hacker?: Typische Wege: IT-Sicherheit, Softwareentwicklung oder Ingenieurwesen. Anerkannte Zertifikate sind z. B. CEH (Certified Ethical Hacker) oder OSCP.
Wie arbeiten White Hats mit Automobilherstellern zusammen?: Über verantwortungsvolle Offenlegung: Schwachstellen werden vertraulich gemeldet, Hersteller erhalten eine Frist zur Behebung, danach erfolgt eine koordinierte Veröffentlichung.
Warum sind White Hats für softwaredefinierte Fahrzeuge (SDVs) unverzichtbar?: SDVs sind hochvernetzte Softwaresysteme. White Hats identifizieren Risiken in Cloud-APIs, Steuergeräten und Funkverbindungen, bevor Angreifer sie ausnutzen.
Was bedeutet Responsible Disclosure?: Responsible Disclosure ist die vertrauliche Meldung einer Schwachstelle an den Hersteller mit definierter Frist (häufig 90 Tage) zur Behebung vor einer Veröffentlichung.
Warum sind Wettbewerbe wie Pwn2Own wichtig?: Sie simulieren reale Angriffe, fördern Talente, beschleunigen Patching-Zyklen und stärken die Offenlegungskultur durch koordinierte Meldungen an Hersteller.
Wie können OEMs und Zulieferer mit White Hats zusammenarbeiten?: Durch klare PSIRT-Kontaktstellen, Bug-Bounty-Programme, regelmäßige Cloud/API-Reviews, SBOM-Transparenz und aktive Nachwuchsförderung in Communities.

Fall 4: Webportal-Lücke bei Kia ermöglicht Fernzugriff

Im Sommer 2024 entdeckten Sicherheitsforscher eine schwerwiegende Schwachstelle im Kia-Webportal, über das sich internetverbundene Fahrzeuge verwalten lassen. Aufgrund fehlender Zugriffsprüfungen konnten Unbefugte Fahrzeugdaten abrufen, Türen entriegeln oder Motoren starten – allein durch die Eingabe eines Kennzeichens und einer Fahrzeug-Identifikationsnummer (VIN).

Nach der Meldung an Kia schloss der Hersteller die Lücke und nahm das Portal vorübergehend offline. Laut den Forschern war dies bereits die zweite vergleichbare Sicherheitslücke innerhalb eines Jahres – ein deutlicher Hinweis darauf, dass viele Automobilhersteller webbasierte Schnittstellen bislang unzureichend absichern.

Hacker kauft Mutter ein Auto, um es zu hacken – mit Erlaubnis

Ein geschenktes Auto, ein Infotainmentsystem und ein Hacker mit einer Mission: Zwei Sicherheitsforscher haben Schwachstellen im Subaru Starlink-System aufgedeckt, die zeigen, wie anfällig vernetzte Fahrzeuge für Cyberangriffe sein können.

Fall 5: White Hat deckt Schwachstellen im Händlernetz eines großen OEMs auf

Im August 2025 entdeckte der Sicherheitsforscher Eaton Zveare gravierende Schwachstellen im Händlermanagementsystem eines großen, nicht namentlich genannten Automobilherstellers. Zwei simple Fehler in der API des Online-Portals ermöglichten es ihm, Administratorzugriff auf über tausend Händlerkonten in den USA zu erlangen – samt Echtzeit-Fahrzeugtracking, Datenzugriff und Remote-Steuerung.

Mit den erlangten Berechtigungen hätte ein Angreifer Fahrzeuge über deren VIN-Nummer orten, Türen entriegeln, Kundendaten einsehen und sogar Lieferketten stören können, etwa durch das Stornieren von Fahrzeuglieferungen. Zveare meldete die Lücken verantwortungsvoll, bevor sie missbraucht werden konnten.

Wettbewerbe als Trainingsfeld für die nächste Generation

Neben der Aufklärung über reale Fälle fördert VicOne gezielt die Ausbildung neuer Automotive-Cybersecurity-Experten. White-Hat-Wettbewerbe wie Pwn2Own Automotive oder die Global Vehicle Cybersecurity Competition (GVCC) simulieren reale Angriffsszenarien unter kontrollierten Bedingungen.

Bei Pwn2Own Automotive wurden 2024 und 2025 jeweils 49 Zero-Day-Schwachstellen entdeckt – alle wurden den Herstellern gemeldet, die sie innerhalb von 90 Tagen beheben sollten. Der Effekt: beschleunigte Patching-Zyklen und ein messbarer Anstieg der Offenlegungskultur. „Wir wollen die nächste Generation von Sicherheitsexperten dabei unterstützen, Angriffsszenarien aus erster Hand zu erleben“, so Dalton.

Nur wer beide Welten versteht – Mechanik und Software –, kann Risiken realistisch einschätzen.

William Dalton, Vice President & Managing Director, VicOne Nordamerika und Europa

So arbeiten White Hats: Methodik, Tools und Ethik

White-Hat-Teams im Automotive-Bereich arbeiten nach klar definierten Regeln und Sicherheitsverfahren, um sicherzustellen, dass ihre Tests dem Fahrzeug niemals schaden. Die Angriffe erfolgen ausschließlich innerhalb eindeutig autorisierter Grenzen – in der Regel zunächst in simulierten oder kontrollierten Umgebungen, bevor sie am realen Fahrzeug validiert werden.

Wie William Dalton erklärt, entwickelt jedes Team seine eigene Methodik und detaillierte Checklisten, die auf Praxiserfahrung beruhen. Ziel ist es, Cyberschwachstellen systematisch zu identifizieren, ohne die Funktionsfähigkeit des Fahrzeugs zu beeinträchtigen. Typisch sind strukturierte Abläufe mit Analyse, gezielten Tests und einer präzisen Dokumentation der Ergebnisse.

Entscheidend ist dabei die Haltung: White Hats handeln verantwortungsbewusst und mit klarer Ethik. Ihr Ziel ist nicht der Exploit selbst, sondern das Verständnis, wie eine Schwachstelle entsteht – und wie sie verhindert werden kann. Das unterscheidet sie von klassischen Angreifern ebenso wie von herkömmlichen IT-Penetrationstestern.

Vernetzte Fahrzeuge stehen sinnbildlich für die Chancen und Risiken digitaler Mobilität. Ethische Hacker helfen, ihre Systeme sicherer zu machen, indem sie Schwachstellen finden, bevor Angreifer sie ausnutzen.

Warum externe Forscher unverzichtbar sind

Externe White Hats bringen einen frischen Blick, der internen Sicherheitsteams oft fehlt. Sie entdecken Schwachstellen, die im Alltag der Produktentwicklung übersehen werden. William Dalton schildert ein „Bug Bash“-Event, bei dem unabhängige Hacker Dutzende bislang unbekannte Lücken fanden. Ein OEM-Sicherheitsverantwortlicher habe daraufhin gesagt: „Ich zeige dieses Video unseren Direktoren – genau das passiert, wenn wir die Tür für Zusammenarbeit öffnen.“

Durch solche Programme und verantwortungsvolle Offenlegungsprozesse helfen White Hats, verborgene Cybersicherheitslücken aufzudecken, bevor sie ausgenutzt werden. Sie stärken die gemeinsame Verteidigung der gesamten Automobilbranche – vom OEM über Tier-1-Zulieferer bis in die Lieferkette hinein – und tragen so maßgeblich zur Resilienz und zum Aufbau von Vertrauen in softwaredefinierte Fahrzeuge bei.

Empfehlungen für OEMs und Zulieferer

Die Beispiele zeigen: Cybersicherheit im Fahrzeug ist keine Einzelleistung. Hersteller, Zulieferer und Forschung müssen kooperieren. VicOne fasst zentrale Handlungsempfehlungen zusammen:

Klare Richtlinien und PSIRT-Kontaktstellen (Product Security Incident Response Team) schaffen, um Meldungen effizient zu bearbeiten.
Teilnahme an Bug-Bounty-Programmen und Wettbewerben fördern, um externe Expertise einzubinden.
Transparente SBOM-Daten (Software Bill of Materials) mit Schwachstelleninformationen kombinieren, um Risiken präziser zu bewerten.
Cloud- und API-Konfigurationen regelmäßig prüfen, um Lecks wie bei Cariad zu vermeiden.
Distanzbegrenzung und sichere Registrierung bei digitalen Schlüsseln (UWB, BLE, PAKE) standardisieren.
Nachwuchsförderung: Engagement in Communities, Schulungen und Wettbewerben, um neue Fachkräfte aufzubauen.

Der Autor: Dr. Martin Large

Aus dem Schoß einer Lehrerfamilie entsprungen (Vater, Großvater, Bruder und Onkel), war es Martin Large schon immer ein Anliegen, Wissen an andere aufzubereiten und zu vermitteln. Ob in der Schule oder im (Biologie)-Studium, er versuchte immer, seine Mitmenschen mitzunehmen und ihr Leben angenehmer zu gestalten. Diese Leidenschaft kann er nun als Redakteur ausleben.