BSI warnt: Wie Autohersteller jetzt digitale Angriffsflächen schließen müssen

Vernetzte Fahrzeuge sind rollende Rechenzentren. OTA‑Updates, Cloud‑Backends und Dutzende vernetzte Steuergeräte machen Autos heute zur IT‑Domäne. Das ist bequem – und öffnet neue Türen für Angreifer. Die gute Nachricht: Die Werkzeuge, um die digitale Angriffsfläche Auto zu schließen, sind bekannt. Die Herausforderung: Sie müssen konsequent umgesetzt und nachweisbar betrieben werden – von der Entwicklung bis zum Betrieb.

Dieser Beitrag fasst den Stand aus BSI Automobil Cybersecurity, ENISA‑Guidance und den Regelwerken UNECE R155/R156 zusammen und zeigt, welche Schritte OEMs und Zulieferer sofort gehen sollten. Wir sprechen Klartext zu OTA‑Updates Sicherheit, Fahrzeugnetzwerk‑Segmentierung und Lieferkette IT‑Sicherheit – inklusive konkreter Quellen und Mini‑Fallstudien.

Mit jeder neuen Komfortfunktion wächst die digitale Angriffsfläche. Fahrzeuge verbinden Infotainment, Telematik, Sensorik und Antrieb mit Cloud‑Diensten und mobilen Apps. Jede Schnittstelle – vom WLAN‑Hotspot bis zur Backend‑API – ist ein potenzielles Einfallstor. Das BSI beschreibt eine insgesamt wachsende, diversifizierte Angriffslandschaft mit Zero‑Days, Botnetzen und einer professionellen Ransomware‑Ökonomie mit einem deutlichen Anstieg neuer Schwachstellen pro Tag (Stand: 2023) und zunehmender Ausnutzung über Lieferketten (BSI Lagebericht 2024).

Im Auto kumulieren diese Trends: Vernetzte Steuergeräte (ECUs) sprechen über Busse und Gateways, OTA‑Server verteilen Software, und Cloud‑Services steuern Flottendienste. ENISA warnt seit Jahren, dass manipulierbare OTA‑Pipelines flächendeckende Auswirkungen haben können – etwa wenn Update‑Pakete oder Schlüsselverwaltung kompromittiert werden und dadurch viele Fahrzeuge gleichzeitig gefährdet sind (Stand: 2019) (ENISA Smart Cars).

Regulatorisch hat die Branche Leitplanken: UNECE R155 fordert ein Cybersecurity‑Managementsystem (CSMS) über den gesamten Fahrzeuglebenszyklus, R156 regelt sichere Software‑Updates inklusive OTA‑Prozesse. Beides ist in der EU für relevante Fahrzeugklassen typgenehmigungsrelevant (Geltung in der Typgenehmigungspraxis, Stand: 2024) (UNECE/CEMA 2024). Parallel erweitert NIS2 organisatorische Pflichten für „wichtige“ Entitäten, inklusive Melde‑ und Governance‑Anforderungen (Stand: 2025) (ENISA NIS2 Guidance).

Die Quintessenz: Die Technik im Fahrzeug und die Prozesse dahinter sind untrennbar. Ohne Security‑by‑Design im Engineering (ISO/SAE 21434) und belastbare Betriebsprozesse (R155/R156, NIS2) bleibt die Angriffsfläche offen – und damit das Risiko für Kund:innen, Marke und Sicherheit im Straßenverkehr (ISO/SAE 21434 beschreibt das lebenszyklusweite Risikomanagement, Stand: 2021) (ISO/SAE 21434).

Bedrohungen sind nicht theoretisch. 2015 demonstrierten Forscher die Fernübernahme eines Jeep Cherokee über die mit Mobilfunk verbundene Uconnect‑Headunit; anschließend wurden CAN‑Botschaften an Steuergeräte gesendet – vom Radio bis zur Bremsen‑Manipulation mit einer Forscher‑Schätzung von bis zu ~471.000 potentiell betroffenen Fahrzeugen (Stand: 2015, unsicher, aus Netzscans abgeleitet) (Wired). 2020 zeigten Sicherheitsforscher bei Tesla Model X, wie ein Bluetooth‑Keyfob‑Angriff zur Paarung eines neuen Schlüssels führte – bis zum Diebstahl in Minuten (Stand: 2020; Gegenmaßnahmen via OTA angekündigt) (Wired).

Solche Fälle illustrieren ein Muster: Ein exponierter Funk‑ oder Internet‑Pfad, eine kompromittierte Komponente, dann die Eskalation in das Fahrzeugnetz. ENISA identifiziert die Update‑Kette als Hochrisikopunkt und empfiehlt Integritäts‑Checks, sichere Schlüsselverwaltung und Rollback‑Schutz (Stand: 2019) (ENISA Smart Cars). Das BSI verortet die Zunahme der Schwachstellen, den Missbrauch von Access‑Brokern und die Lieferketten‑Abhängigkeiten als Treiber der aktuellen Lage (Indikatorenlage, Stand: 2024) (BSI Lagebericht 2024).

Regulatorisch gilt: UNECE R155/R156 adressieren genau diese Risiken. R155 verlangt ein CSMS samt Risikoanalyse, Zuliefer‑Kontrollen und Incident‑Handling. R156 fordert sichere Updates, Nachweise zur Integrität und definierte Prozesse über den Lebenszyklus (Anforderungen im Typgenehmigungsumfeld, Stand: 2024) (UNECE/CEMA). Zusätzlich stellt NIS2 für betroffene Hersteller organisatorische Mindeststandards und Meldefristen auf (Leitplanken und Evidenz‑Beispiele, Stand: 2025) (ENISA NIS2 Guidance).

Wichtig ist die Abdeckung der Straße zur Cloud: Vom Gateway und zonalen Controllern bis zu identitätsgesicherten Backends. Das BSI betont zudem die Bedeutung manipulationssicherer Kommunikation im vernetzten Fahren – Car‑to‑X braucht PKI und digitale Signaturen, sonst sind Warn‑ und Steuerinformationen fälschbar (Stand: 2025, qual. Bewertung) (BSI: Vernetztes Fahren).

Starten Sie dort, wo der Hebel am größten ist: der Update‑Kette. Sichern Sie Build‑ und Signatur‑Pipelines, führen Sie verpflichtende Signatur‑ und Integritätsprüfungen im Fahrzeug ein und verhindern Sie Rollback. ENISA ordnet OTA als kritischen Multiplikator ein und empfiehlt explizit starke Schlüsselverwaltung und Härtung der Backend‑Server (Stand: 2019) (ENISA Smart Cars).

Zweitens: Segmentieren Sie das Fahrzeugnetzwerk. Trennen Sie Infotainment, Telematik und sicherheitskritische Domänen über Gateways mit strikter Policy. Setzen Sie Message‑Authentifizierung dort ein, wo die Safety es zulässt, und ergänzen Sie ein leichtgewichtiges Intrusion‑Detection‑System (CAN‑IDS), um Anomalien früh zu erkennen. Die dokumentierten Angriffe zeigen, dass fehlende Segmentierung und fehlende Authentizität den Pivot vom Komfortsystem zur Fahrfunktion erleichtern (Jeep 2015; Tesla 2020) (Wired Jeep) (Wired Tesla).

Drittens: Integrieren Sie Security in den Entwicklungsalltag. ISO/SAE 21434 fordert lebenszyklusweites Risikomanagement samt Traceability, Tests und Vulnerability‑Handling (Stand: 2021) (ISO/SAE 21434). Das verkürzt Reaktionszeiten, wenn Zero‑Days auftauchen, und schafft Nachweise für R155‑Audits (Typgenehmigungskontext, Stand: 2024) (UNECE/CEMA). Ergänzen Sie das um ein PSIRT/CSIRT, klare Meldewege und eine Kommunikationsstrategie im Sinne von NIS2 (technische Umsetzungshilfen und Evidenz‑Muster, Stand: 2025) (ENISA NIS2 Guidance).

Viertens: Stärken Sie die Lieferkette. Verlangen Sie SBOM‑Transparenz, Audit‑Rechte und Update‑Verpflichtungen von Tier‑1/2‑Lieferanten. Das BSI ordnet Lieferketten‑Kompromittierungen als besonders wirkmächtig ein – Angriffe auf IT‑Dienstleister können sich entlang der Wertschöpfung vervielfachen (Lageeinschätzung, Stand: 2024) (BSI Lagebericht 2024).

Compliance wird zur Teamleistung aus Engineering, IT‑Betrieb, Recht und Einkauf. R155/R156 verlangen Nachweise für CSMS und sichere Updates, NIS2 fordert Governance, Risiko‑Management und Meldewege. ENISA liefert dafür technische Implementierungshilfen mit Beispielen für Evidenz und Maßnahmen – hilfreich, um Audits effizient zu bestehen (Stand: 2025) (ENISA NIS2 Guidance).

Für die Lieferkette heißt das: Security‑Kriterien gehören in die Vergabe. Fordern Sie Software‑Stücklisten (SBOM), Vulnerability‑SLAs und Audit‑Rechte. Das BSI sieht IT‑Dienstleister als „Multiplikatoren“ für Schadwirkungen – ein kompromittierter Partner kann ganze Werke oder Flotten beeinträchtigen (Lageeinschätzung, Stand: 2024) (BSI Lagebericht 2024). Ergänzend zur Fahrzeugseite muss die Car‑to‑X‑Infrastruktur kryptografisch abgesichert sein – ohne PKI und Signaturen sind Warnungen manipulierbar (Stand: 2025) (BSI: Vernetztes Fahren).

Monitoring und Incident‑Response runden das Bild. Sammeln Sie Telemetrie aus Fahrzeugen und Backends, definieren Sie Playbooks für Notfall‑OTAs und Rückrufentscheidungen und testen Sie die Abläufe regelmäßig. Der BSI‑Lagebericht beschreibt zudem eine wachsende Zero‑Day‑Gefährdung und aktive EDR‑Umgehung – Faktoren, die schnelle, koordiniert gemeldete Reaktionen erfordern (Indikatorenlage, Stand: 2024) (BSI Lagebericht 2024).

Praxis‑Tipp: Legen Sie eine „Security‑Roadmap“ je Baureihe an – mit klaren Meilensteinen (CSMS‑Audit, OTA‑Pen‑Test, SBOM‑Abdeckung, PKI‑Go‑Live) und Verantwortlichen. So schaffen Sie Transparenz, Priorität und Geschwindigkeit – die drei härtesten Währungen in der Automobil‑Cybersecurity.

Die Angriffsfläche wächst – aber sie ist beherrschbar. Wer die OTA‑Kette härtet, das Fahrzeugnetz sauber segmentiert, die Lieferkette in die Pflicht nimmt und Prozesse nach R155/R156, NIS2 und ISO/SAE 21434 aufstellt, reduziert Risiko und Audit‑Stress. Nutzen Sie dokumentierte Angriffe als Blaupausen für Tests. Und verankern Sie Security dort, wo sie wirkt: früh in der Entwicklung und kontinuierlich im Betrieb.

Takeaways: 1) OTA‑Integrität zuerst; 2) Segmentierung und CAN‑IDS verpflichtend; 3) CSMS + PSIRT als Herzstück; 4) SBOM & Lieferantenaudits; 5) PKI für Car‑to‑X. So schließen Hersteller Schritt für Schritt die digitale Angriffsfläche – nachhaltig und nachweisbar.