Kaspersky-Audit enthüllt gravierende Schwachstellen in Fahrzeug-Telematiksystemen

Kaspersky findet kritische Mängel in Telematik-Ökosystemen Zero-Day-Schwachstelle in vernetzten Fahrzeugen entdeckt

13.11.2025 Quelle: Pressemitteilung Kaspersky 1 min Lesedauer

Anbieter zum Thema

Kaspersky Labs GmbH

sysob IT-Distribution GmbH & Co. KG

fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)

Fsas Technologies GmbH

V2_Screen_M.png (SEPPmail - Deutschlang GmbH)

SEPPmail - Deutschland GmbH

Ein Kaspersky-Audit zeigt gravierende Schwachstellen sowie Fehlkonfigurationen in Telematik- und Zulieferersystemen für vernetzte Fahrzeuge. Angreifer hätten sicherheitsrelevante Fahrzeugfunktionen manipulieren können.

Ein Kaspersky-Audit zeigt, dass eine Zero-Day-Schwachstelle bei einem Dienstleister die vollständige Übernahme eines Fahrzeugtelematiksystems ermöglicht hätte.(Bild: Midjourney / Paula Breukel / KI-generiert) — Ein Kaspersky-Audit zeigt, dass eine Zero-Day-Schwachstelle bei einem Dienstleister die vollständige Übernahme eines Fahrzeugtelematiksystems ermöglicht hätte.
(Bild: Midjourney / Paula Breukel / KI-generiert)

Kaspersky hat im Rahmen eines aktuellen Security-Audits erhebliche Schwachstellen in der Telematik-Infrastruktur eines Fahrzeugherstellers aufgedeckt. Wie der Anbieter mitteilt, nutzten die Forschenden eine einzige Zero-Day-Schwachstelle in einer Anwendung eines externen Dienstleisters aus und erlangten so Zugriff auf zentrale Telematikfunktionen. Darüber wären Cyberangreifer in der Lage gewesen, kritische Steuerbefehle wie Gangwechsel oder Motorabschaltungen zu erzwingen.

Die Ergebnisse wurden auf dem Security Analyst Summit vorgestellt und zeigen aus Sicht der Forschenden, dass unzureichend geschützte Systeme von Dritten zunehmend zum Einfallstor für Angriffe auf vernetzte Fahrzeuge werden.

Bei der „Pwn2Own Automotive 2025“ entdeckten White-Hat-Hacker 49 Zero-Day-Schwachstellen, mit Methoden, die auch Cyberkriminelle nutzen können. (Bild: VicOne)

Ungeschützte Webdienste und schwache Passwortrichtlinien

Im Rahmen des Audits fanden die Expertinnen und Experten mehrere öffentlich zugängliche Webdienste sowie eine SQL-Injection-Schwachstelle in einer Wiki-Anwendung des Zulieferers. Darüber ließen sich Nutzerkonten und Passwort-Hashes extrahieren. Einige Passwörter waren leicht zu erraten. Grund hierfür: Schwache Richtlinien für die Nutzerkonten. Dies führte zu weiterem Zugriff auf ein Issue-Tracking-System, das sensible Konfigurationsdaten der Telematik-Plattform enthielt, darunter gehashte Zugangsdaten für einen Telematik-Server des Herstellers.

Wir erklären, warum sich die Automobilindustrie gegen Cyberattacken wappnen muss und wie sie das tun kann. (Bild: metamorworks - stock.adobe.com)

Fehlkonfigurationen im Fahrzeug und Zugriff auf den CAN-Bus

Auch auf Fahrzeugseite stießen die Forschenden auf gravierende Probleme. Eine falsch konfigurierte Firewall legte interne Server offen, über ein erlangtes Servicekontopasswort gelang der Zugriff auf das Dateisystem. Dort fanden sich Credentials eines weiteren Dienstleisters, über die die vollständige Kontrolle über die Telematik-Infrastruktur möglich wurde.

Besonders kritisch: Ein Firmware-Update-Befehl erlaubte das Hochladen modifizierter Software auf das Telematik-Steuergerät. Damit war der Zugriff auf den CAN-Bus möglich, also das zentrale Kommunikationssystem für Motorsteuerung und sicherheitsrelevante Komponenten.

Mit der neuen UN-Bestimmung UN R155, die seit Juli 2024 gilt, ist Cybersicherheit für neue Fahrzeuge Pflicht. (Bild: BoOm - stock.adobe.com)

Empfehlungen für Hersteller und Zulieferer

Kaspersky formuliert in der Mitteilung klare Maßnahmen für ein sichereres Telematik-Ökosystem. Dazu zählen strikte Netzwerksegmentierung, VPN-Pflicht für Webzugriffe, Zwei-Faktor-Authentifizierung, verschlüsselte Datenspeicherung, Positivlisten für Netzwerkinteraktionen sowie eine konsequente Integration sicherheitsrelevanter Ereignisdaten in ein Security Information and Event Management.

Während Cyberkriminelle sich bestens in der IT-Welt auskennen, ist Cybersicherheit für viele Akteure innerhalb der Automobilzulieferkette nach wie vor noch ein eher wenig bekanntes Terrain. (Bild: Dall-E / KI-generiert)

(ID:50609509)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.