Zurück zur Übersicht
Cyber-Bedrohungen & AngriffeNews & Aktuelles

Car Hacking durch API-Schwachstellen: Wie 16 Autohersteller ins Visier von Hackern gerieten

24.01.2023 | Tina Siering
Lesezeit: 3 Minuten (548 Wörter)

Unsichere APIs: Ein unterschätztes Einfallstor in der Automobilbranche
mann-computer-headset-abend_header

Im Zuge eines umfangreichen Ethical-Hacking-Projekts entdeckte ein Team um den US-Sicherheitsforscher Sam Curry gravierende Schwachstellen in den APIs von 16 führenden Automobilherstellern – darunter BMW, Mercedes-Benz, Nissan, Porsche und Toyota.

Die Angriffe erfolgten über schlecht gesicherte Programmierschnittstellen (APIs), die teilweise Zugriff auf persönliche Nutzerdaten, Fahrzeugsysteme oder interne Tools ermöglichten. Besonders riskant: Viele dieser APIs waren veraltet, unnötigerweise aktiv oder nicht ausreichend abgesichert.

Was genau wurde gefunden? – Schwachstellen mit enormem Risiko

Die aufgedeckten Sicherheitslücken erlaubten in vielen Fällen:

  • Fernzugriff auf Fahrzeuge (z. B. Motorstart, Türöffnung, Ortung)
  • Zugriff auf Kundendaten durch schlecht gesicherte Single Sign-on-Systeme
  • Übernahme interner Systeme durch öffentlich erreichbare Admin-Oberflächen
  • Auslesen sensibler Mitarbeiterdaten durch ungeschützte Entwickler-Tools

Ein besonders alarmierendes Beispiel: Beim US-Telematik-Anbieter Spireon reichte der Zugang über ein öffentlich zugängliches Admin-Interface, um Zugriff auf über 15 Millionen Fahrzeuge zu erhalten – darunter auch Notarzt- und Polizeifahrzeuge. Ein reales Angriffsszenario hätte weitreichende Konsequenzen haben können, etwa das Blockieren von Einsatzfahrzeugen.

Warum APIs zum Sicherheitsrisiko werden

APIs (Application Programming Interfaces) sind essenziell für die digitale Kommunikation zwischen Systemen – etwa zur Steuerung von Fahrzeugfunktionen via App. Doch ohne regelmäßige Wartung und Sicherheits-Updates werden sie zur Gefahr:

  • Nicht deaktivierte Test- oder Legacy-APIs werden übersehen, bleiben aber online erreichbar.
  • Fehlende Authentifizierung erlaubt Angreifern den Zugriff ohne Berechtigung.
  • Unzureichendes API-Monitoring erschwert die Erkennung verdächtiger Aktivitäten.

Der Fall zeigt: Die IT-Sicherheit im Automotive-Bereich krankt oft nicht an der Bordelektronik selbst, sondern an den peripheren Systemen – wie Händlerportalen oder Online-Diensten.

Praxisbeispiel: Schwachstellen bei Premiumherstellern

Beim Test mehrerer Portale von Porsche, Ferrari und Rolls Royce fanden die Sicherheitsforscher:

  • Zugriff auf interne Dokumente und Werkstatt-Tools
  • Kundendaten aus Händlerportalen
  • Unzureichend abgesicherte SSO-Schnittstellen

Dabei hätte sich ein Angreifer sogar als legitimer Ferrari-Besitzer eintragen können – mit potenziellen Folgen für Garantie- oder Serviceansprüche.

mann-auto-reifenwechsel-fertigungsanlage_rs

Handlungsbedarf für IT-Verantwortliche: So schützen Sie Ihre APIs

Immer mehr Unternehmen – nicht nur aus dem Automobilsektor – betreiben Web-APIs für Kundenportale, Apps oder IoT-Systeme. Die folgenden Maßnahmen helfen, APIs effektiv abzusichern:

Checkliste für API-Sicherheit:

  • APIs regelmäßig inventarisieren und ungenutzte Schnittstellen deaktivieren
  • Nur Authentifizierungsverfahren mit Token (z. B. OAuth2) verwenden
  • API-Gateways zur zentralen Kontrolle und Filterung einsetzen
  • Eingehende Daten validieren und Rate Limiting aktivieren
  • Penetrationstests und API-Security-Assessments durchführen
  • Monitoring-Tools für Anomalien und Zugriffsversuche einsetzen


Lösung von Allgeier CyRis: Active Cyber Defense Service

Für Unternehmen, die ihre IT-Sicherheit proaktiv stärken wollen, bietet Allgeier CyRis den Active Cyber Defense Service (ACD) an. Dieser Service kombiniert Echtzeit-Bedrohungserkennung, Angriffsabwehr und kontinuierliche Überwachung von IT-Infrastrukturen – inklusive APIs.

Ihre Vorteile:

  • 24/7-Monitoring von Bedrohungen
  • Frühzeitige Erkennung von API-Angriffen
  • Automatisierte Gegenmaßnahmen bei verdächtigen Aktivitäten
  • Integration in bestehende Sicherheitsarchitekturen 

 

Mit ACD schützen Sie nicht nur Ihre Systeme, sondern reduzieren auch signifikant das Risiko reputationsschädigender Vorfälle – wie im Fall Spireon oder der betroffenen Automobilhersteller.

Fazit: API-Sicherheit darf kein blinder Fleck bleiben

Der Fall zeigt eindrücklich, wie schnell und tiefgreifend Angreifer durch unsichere APIs Systeme kompromittieren können – auch bei international führenden Unternehmen. Für IT-Verantwortliche bedeutet das: Jetzt ist der richtige Zeitpunkt, um API-Strukturen zu prüfen, Sicherheitskonzepte zu aktualisieren und proaktive Maßnahmen wie den Active Cyber Defense Service einzusetzen.

Ob API-Sicherheit, Penetrationstests oder aktiver Schutz durch Managed Detection & Response – wir helfen Ihnen, Ihre Cyber-Security nachhaltig zu stärken.

Jetzt unverbindlich beraten lassen
+49 40 389071-0 info@allgeier-cyris.de Kontaktieren Sie uns