Briefing KW22

VW wurde wieder gehackt

Author

Philipp Raasch
28. Mai 2025 • Lesezeit: 4 Minuten

📅 Das Wichtigste

⎯⎯

  • BYD überholt Tesla in Europa mit 7.231 E-Autos im April. Die BYD-Verkäufe stiegen um 169% zum Vorjahr, während Tesla um 49% einbrach

  • Musk bekennt sich langfristig zu Tesla und will auch in 5 Jahren noch CEO sein. Gleichzeitig will er sein politisches Engagement zurückfahren und mehr Zeit für Tesla aufwenden

  • Trump droht EU mit 50%-Zöllen - nach den bereits eingeführten 25%-Autozöllen

  • Northvolt gibt endgültig auf. Die Produktion im schwedischen Stammwerk wird bis Ende Juni komplett eingestellt. Investoren verlieren 15 Mrd. Dollar

  • Xiaomi stellt SUV YU7 offiziell vor. Das E-SUV ist direkt gegen Teslas Model Y positioniert. Gleichzeitig brechen die SU7-Bestellungen im April um 55% ein. Grund sind ein Sh*tstorm und auch der tödlichen Unfall vor einigen Wochen

  • China plant neuen Tech-Masterplan mit Fokus auf Chips & andere Schlüsseltechnologien. Ziel: Der Fertigungsanteil am BIP soll stabil bleiben, obwohl die USA genau das Gegenteil von China fordern

🔭 Deep Dive

⎯⎯

🔓 VW wurde wieder gehackt

  • Wir erinnern uns zurück an letztes Jahr: Bewegungsdaten von 800k VW-Fahrzeugen waren monatelang ungeschützt im Internet abrufbar. Jetzt wurde ein weiterer Fall bekannt.

  • Ein indischer Sicherheitsforscher wollte nur sein Auto mit der VW-App verbinden. Doch der Bestätigungscode landete beim Vorbesitzer. Aus Ungeduld probierte er zufällige Kombinationen aus. Die App sperrte ihn nicht. Das machte ihn neugierig.

  • Die App hatte keine Begrenzung für falsche Eingaben. Also schrieb er ein Python-Skript. Binnen Sekunden knackte er den 4-stelligen Code. Seine erste Erkenntnis: Elementare Sicherheitsregeln fehlten komplett.

  • Mit der Fahrgestellnummer konnte er jeden VW übernehmen. Die Nummer steht auf der Windschutzscheibe. Jeder kann sie ablesen. Damit konnte er Zugriff auf Standort, Tankfüllung und Reifendruck jedes VW erhalten.

  • Interne Passwörter lagen unverschlüsselt auf dem Server. Die API-Endpunkte gaben Zugangsdaten für Salesforce und andere Systeme preis. Auch komplette Kundenprofile mit Adressen, Telefonnummern und Führerscheinnummern waren abrufbar. Alles nur mit der Fahrgestellnummer.

  • VW brauchte 6 Monate für die Reparatur. Der Forscher meldete die Lücken im November 2024. Erst im Mai 2025 bestätigte VW die Behebung. Immerhin: Es gab einen Dankesbrief aus Wolfsburg. Eine Belohnung erhielt er nicht.

  • VW betont: Nur die indische App war betroffen. Deutsche Fahrzeuge wären nie in Gefahr gewesen. Die Lücken existierten ausschließlich in der "VW India App". Die Schwachstellen zeigen grundlegende Probleme in der Software-Entwicklung bei VW.

🔗 he | me | cb

Jetzt sofort weiterlesen?

Hier beginnt der kostenpflichtige Teil meines wöchentlichen Briefings.

Bist du bereits ein zahlender Abonnent? Anmelden.

Das bekommst du sofort:

  • • Jeden Mittwoch ein komplettes Briefing zum globalen Automarkt
  • • Alles, was du wissen musst - kompakt & zeitsparend zusammengefasst
  • • Essential für alle Fach- & Führungskräfte in der deutschen Autoindustrie
  • • Spart dir bis zu 16 Stunden pro Woche
  • • Inklusive aller Quellen & weiterführender Infos