[datensicherheit.de, 09.09.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum Start der diesjährigen „Internationalen Automobil-Ausstellung“ (IAA) einen Bericht zur Cybersicherheit im Straßenverkehr 2025 veröffentlicht, der demnach verdeutlicht, warum es sich dabei um eine Aufgabe mit wachsender Relevanz handelt: Digitale Dienste, Over-the-Air-Updates und vernetzte Steuergeräte prägten zunehmend die Fahrzeugarchitekturen und der Einsatz Künstlicher Intelligenz (KI) in Assistenzsystemen und automatisierten Fahrfunktionen nehme kontinuierlich zu. „Das bedeutet: Fahrzeuge werden immer vernetzter, Systeme werden immer komplexer, Fortbewegung wird immer digitaler.“

Abbildung: BSI

Automobilindustrie: Mit zunehmender Systemkomplexität und steigendem Vernetzungsgrad rücken Fragen der Cybersicherheit mehr und mehr in den Fokus

BSI wertet auch Schwachstellen- und Vorfallsmeldungen der Automobilindustrie aus

Im Rahmen der Analyse der Cybersicherheitslage Deutschlands insgesamt habe das BSI auch Schwachstellen- und Vorfallsmeldungen im Bereich der Automobilindustrie ausgewertet.

• Im Zeitraum von Februar 2024 bis März 2025 seien in diesem Zusammenhang 107 entsprechende Meldungen bearbeitet worden, wobei für den überwiegenden Teil der betrachteten Fälle ein physischer Zugriff auf die betroffene Komponente oder zumindest räumliche Nähe zum Fahrzeug erforderlich gewesen sei – z.B. bei Angriffen über „Bluetooth“ oder WLAN.

In 18 Meldungen seien auch über das Internet ausnutzbare Schwachstellen beschrieben worden. Insgesamt verzeichnet das BSI nach eigenen Angaben eine Zunahme von Schwachstellen in Hersteller-Software und externen Applikationen.

„Cyber Dominance“ laut BSI relevante Bedrohung

Eine Ausnutzung der genannten Schwachstellen mit kriminellem Hintergrund finde nach den dem BSI vorliegenden Informationen im Fahrzeugkontext gegenwärtig eher selten statt. Weitere Bedrohungen ergäben sich im Zusammenhang mit „Cyber Dominance“, also der Möglichkeit der Einflussnahme durch digitale Produkte, welche Herstellern Zugriff auf Informationen und Funktionen ermöglichten.

• Vor dem Hintergrund aktueller geopolitischer Konfliktlagen vergrößerten zudem komplizierte Lieferketten die Angriffsflächen von Fahrzeugen und Verkehrsinfrastruktur. Des weiteren seien mit neuartigen Angriffsmöglichkeiten auf KI-Komponenten und Fahrzeugsensorik durch manipulative Eingaben auch neue Risiken verbunden.

Hinsichtlich der üblicherweise langen Lebenszyklen sowohl von Fahrzeugen als auch der Verkehrsinfrastruktur stelle darüber hinaus die Migration zu neuen kryptographischen Verfahren, „die gegen die potenziell wachsende Bedrohung durch Quantencomputer resistent sind“, eine wichtige Aufgabe dar.

BSI bietet auch Herstellern sowie Kunden der Automobilindustrie Unterstützung

Der BSI-Vizepräsident, Thomas Caspers, kommentiert: „Die digitalen Angriffsflächen im Automobilsektor wachsen rasant. Nicht nur für die Cybersicherheit im Straßenverkehr, sondern auch mit Blick auf die Digitale Souveränität Deutschlands und Europas ist ein vertrauensvoller Informationsaustausch zwischen Unternehmen, Forschungseinrichtungen und Behörden von entscheidender Bedeutung!“

• Cybersicherheit müsse dabei als Treiber für Innovationen innerhalb der digitalisierten Automobilbranche betrachtet werden – insbesondere, wenn die Prinzipien von „Security-by-Design“ und „Security-by-Default“ konsequent umgesetzt würden.

Das BSI als Cybersicherheitsbehörde Deutschlands biete Herstellern sowie deren Kunden dazu umfassende Informationen, Hilfestellungen und Austauschformate.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Unser Leitbild: Das BSI als die Cybersicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft

Bundesamt für Sicherheit in der Informationstechnik, 08.09.2025
Cybersicherheit im Straßenverkehr 2025

Bundesamt für Sicherheit in der Informationstechnik, September 2025
Cybersicherheit im Straßenverkehr 2025

Bundesamt für Sicherheit in der Informationstechnik, Cybernation-Blog, 21.03.2025
Claudia Plattner: Positionierung des BSI zu Digitaler Souveränität in Zeiten von Cyber Dominance

Bundesamt für Sicherheit in der Informationstechnik
Vernetztes Fahren – Chancen und Risiken

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI

IAA MOBILITY
IAA MOBILITY 2025 / IT’S ALL ABOUT MOBILITY

datensicherheit.de, 07.05.2024
Phishing-Angriffe auf Automobilbranche: 54 Prozent der Unternehmen betroffen / Kaspersky-Studie zur Cyber-Sicherheit in der Automobilbranche erschienen

datensicherheit.de, 14.09.2021
CybelAngel-Studie als Weckruf: Automobil-Industrie im Fokus Cyber-Krimineller / Entwicklungsdaten und Produktionsanlagen laut CybelAngel-Erkenntnissen nicht ausreichend geschützt

datensicherheit.de, 24.07.2018
Leck bei Automobil-Zulieferer: 47.000 Dateien online zugänglich gewesen / Daten müssen auch jenseits der Unternehmensgrenzen geschützt werden, fordert Thomas Ehrlich

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen / Experten-Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis

datensicherheit.de, 18.04.2016
Noch weitgehend nebulös: IoT-Sicherheit in der Automobilindustrie / Die Verheißungen und Gefahren selbstfahrender Fahrzeuge

[datensicherheit.de, 02.06.2016]  In Fulda wird das Aussehen der Autos der Zukunft geplant. Als spezialisierter Dienstleister für die Entwicklung von modernen Produktionslösungen in der Automobilindustrie 2010 gestartet, konnte sich das Unternehmen über die Jahre hinweg weiter entwickeln und ein fundiertes Know-how in der Anlagenentwicklung erarbeiten. Automobilbauer beauftragen das 60 Mitarbeiter umfassende Ingenieurbüro mit der Planung, Ausschreibung von Projekten und Beratung von Karosserie-Anlagenbauern, um CAD-Daten in Fahrzeugteile für die Produktion zu verwandeln. Alle Mitarbeiter wurden dafür in den Werkzeugen, Methoden und Prozessen des digitalen Engineerings geschult. „Bis aus Daten echte Bauteile werden, vergeht viel Entwicklungszeit. Wir begleiten und gestalten für unsere Auftraggeber den gesamten Prozess von der Entwurfsphase für die erste Anlage auf dem Papier bis hin zur Produktion. Am Ende muss die Anlage so funktionieren, dass in 60 Sekunden ein Auto produziert wird“, erklärt Daniel Auerbach, Geschäftsführender Gesellschafter bei der A&S Engineering und Gründer zusammen mit dem geschäftsführenden Gesellschafter Wolfgang Sieckel.

Bild: A+S Engineering

Das Thema Sicherheit spielt hier eine große Rolle, denn dem Unternehmen werden Prototypen-Daten anvertraut, aus denen die Fahrzeuge für die Zukunft entwickelt werden. Die Entwicklungsinformationen sind ihrer Zeit zwischen vier und fünf Jahre voraus und dadurch hochinteressant für die Konkurrenz. Damit diese geschäftskritischen Daten überhaupt von einem Server auf den anderen übertragen werden können, haben die Auftraggeber der Karosserie-Experten bereits hochsichere Zugänge geschaffen, auf die nur mit entsprechenden Berechtigungen zugegriffen werden kann. Doch nicht nur die Übertragungsleitung wird entsprechend dem Wert der Informationen abgesichert.

Auditierung für Dienstleister und Zulieferer

Seit 2015 hat einer der größten Auftraggeber aus der Automobilbranche darüber hinaus auch eine Auditierung aller Dienstleister eingeführt, um die Sicherheit der Daten über das eigene Netzwerk hinaus zu garantieren. Von dieser Änderung war auch die A&S Engineering betroffen. Neben einem Alarmsystem zum Schutz vor Einbrechern, einer Technologie zur Festplatten-Verschlüsselung sowie Maßnahmen zur Erhöhung der Server-Sicherheit stand dabei auch die Absicherung des täglichen Authentifizierungsprozesses und des Fernzugriffs auf der Anforderungsliste. Dieser Zugriff sollte über einen zweiten Faktor erfolgen. „Es gab zwei K.O.-Kriterien für das Audit: die Alarmanlage und die Zwei-Faktor Authentifizierung“, erinnert sich Auerbach. „Unsere Auftraggeber müssen dafür sorgen, dass nicht nur die Fahrzeuge sicher sind, sondern auch die Informationen geheim bleiben, die für die Entwicklung notwendig sind. Hier leisten wir natürlich gerne unseren Beitrag und sind uns außerdem bewusst, dass auch wir ins Visier von Cyber-Kriminellen geraten können.“ Darüber hinaus bringt das neue IT-Sicherheitsgesetz Unruhe in die Branche und immer mehr Unternehmen suchen nach Möglichkeiten, sensible Informationen vor fremden Zugriffen zu schützen.

Authentifizierung mit dem eigenen Smartphone

Um diese Anforderung zu erfüllen, sucht das Unternehmen nach einer sicheren aber auch praktikablen Lösung. „Als Know-how und Geheimnisträger ist es natürlich für uns wichtig, nicht nur die geforderten Standards einzuhalten, sondern uns darüber hinaus auch als vertrauensvoller Ansprechpartner zu präsentieren. Allerdings wollten wir die Komplexität möglichst geringhalten. Unsere Mitarbeiter müssen schnell und sicher auf unser Netzwerk und die dort liegenden Daten zugreifen. Deshalb haben wir uns über unsere interne IT-Abteilung und unseren Ansprechpartner bei der Bucher Netzwerke in Weingarten über die im Markt verfügbaren Lösungen zur Zwei-Faktor Authentifizierung informiert“, sagt Auerbach. Interessant war eine Lösung, die im Zusammenspiel mit dem Smartphone des Mitarbeiters für eine sichere Authentifizierung sorgt: SecurAccess von SecurEnvoy.

Verschlüsselung und geteilte Übertragung für mehr Sicherheit

Die Zwei-Faktor Authentifizierung funktioniert über eine App, die sogenannte SoftToken App. Über diese für iOS und Android, Windows Phone und Blackberry erhältliche App wird ein alle 30 Sekunden wechselnder, sechsstelliger Passcode generiert, der wiederum auf dem PC oder Laptop zur Anmeldung am Netzwerk genutzt wird. Der Server überprüft bei der Anmeldung die Gültigkeit des eingegebenen Passcodes für diesen Benutzer und diesen Zeitpunkt. Die Daten selbst werden auf dem Server der Fuldaer Ingenieure verschlüsselt abgelegt, wobei die hochsichere 256-bit AES Verschlüsselung eingesetzt wird, um auch im Fall eines kompromittierten Netzwerks für die Sicherheit der Daten in alle Richtungen hin sorgen zu können. Auerbach erläutert die Installation aus seiner Sicht: „Die Einrichtung war sehr einfach: Wir mussten nur die passende App herunterladen, dann am SecurAccess Sicherheits-Server anmelden und einen QRCode mit der Handy-Kamera abscannen. Schon hatten wir die Einrichtung geschafft und bekamen einen Passcode auf dem Smartphone angezeigt, mit dem wir uns mit PC oder Laptop am Firmennetzwerk einloggen konnten.“
Bei der Einrichtung mittels QR Code wird der erste Teil des Benutzer-individuellen Schlüssels („Seed Record“) vom Server auf das Smartphone übertragen, ohne dass dafür eine Netzwerkverbindung nötig ist. Im zweiten Schritt erzeugt das Smartphone den zweiten Teil des Schlüssels, den der Benutzer dann in Form eines acht-Zeichen langen Wertes auf der Registrierungsseite eingibt. Mit diesem einmaligen Vorgang stellt der Hersteller sicher, dass auch nur dieses eine Gerät gültige Passcodes generieren kann. Eine Doppelregistrierung oder Übertragung des Schlüssels z.B. mittels eines Backups des Telefonspeichers wird durch diese „Split-Seed-Technologie“ wirksam unterbunden.

Überzeugende und kurze Testphase sorgt für erfolgreiches Audit

Nach der Installation einer Test-Lizenz und einer Testphase, in der beide Geschäftsführer die App auf ihren Smartphones selbst ausprobierten, war klar, dass wir die richtige Lösung gefunden hatten. Nun musste nur noch mit dem Auditor geklärt werden, ob die Zwei-Faktor Authentifizierung auch dem entspricht, was der Auftrag gebende Automobilkonzern in seinen Richtlinien definiert hatte. Als schnellster Weg stellte sich die Übermittlung der Spezifikation heraus, die an den Auditor übersendet wurde und der nach einem Telefonat mit der Geschäftsführung seine Zustimmung zum Einsatz der Lösung erteilte. Die Geschäftsleitung entschied sich dann dazu, gleich für alle Mitarbeiter Lizenzen der Zwei-Faktor Authentifizierung anzuschaffen. „Es macht für uns keinen Sinn, die Lösung nur für den einen Kunden einzusetzen. Deshalb haben wir uns entschieden, die Authentifizierung für alle unsere Login-Prozesse einzuführen“, sagt Auerbach. Inzwischen nutzen alle Mitarbeiter – egal mit in welcher Funktion – die Zwei-Faktor Authentifizierung. Dass sie dafür das eigene Smartphone nutzen können und nicht noch ein weiteres externes Gerät mit sich herumtragen müssen, hat für eine schnelle Akzeptanz gesorgt. Sollte einer der Mitarbeiter Probleme bei der Anmeldung haben, gibt es noch zwei weitere Möglichkeiten zur erfolgreichen Authentifizierung: Ein sogenannter Voice-CallBack sowie eine Übertragung des Passcodes per E-Mail. Diese beiden Optionen dienen im Einzelfall für den schnellen Zugang zum Netzwerk auch ohne Smartphone App.

Skalierung möglich

„Bei SecurEnvoy gab es die Lösungen im Bundle zu 50 Lizenzen. Wir wollen in Zukunft weiterwachsen und weitere Mitarbeiter einstellen. Diese Mitarbeiter brauchen dann natürlich auch eine Lizenz, um sich auf unserem Server anzumelden. Daher ist es nur logisch, dass wir dann gleich Lizenzen im Haus haben und nicht jedes Mal wieder neue anfordern müssen “, führt Auerbach aus. Die Investition in mehr Sicherheit war für A&S Engineering eine Investition in die Zukunft, denn immer mehr Auftraggeber fordern durch das neue IT-Sicherheitsgesetz eine Auditierung an. „Dass wir hier schon vorgesorgt haben, ist auf jeden Fall ein gutes Gefühl“, schließt Auerbach.