Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > VicOne veröffentlicht seinen Automotive Cybersecurity Report 2026 – und die Botschaft ist eindeutig: Ein Datenschutzverstoß betrifft längst nicht mehr nur Ihr Unternehmen

VicOne veröffentlicht seinen Automotive Cybersecurity Report 2026 – und die Botschaft ist eindeutig: Ein Datenschutzverstoß betrifft längst nicht mehr nur Ihr Unternehmen

von Patrick Spencer updated Februar 26, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

In der Cybersicherheit hält sich hartnäckig die bequeme Vorstellung, dass Vorfälle intern bleiben. Ihr Vorfall. Ihr Incident-Response-Plan. Ihr Forensik-Team, das aufräumt. Diese Illusion wurde gerade zerstört.

Der VicOne Automotive Cybersecurity Report 2026 mit dem Titel Crossroads: Automotive Cybersecurity in the Overlap Era erschien am 11. Februar 2026 und dokumentiert, was CISOs der Automobilbranche seit 18 Monaten spüren: Cybervorfälle im Connected-Vehicle-Ökosystem machen nicht mehr an Unternehmensgrenzen Halt. Sie verbreiten sich. Sie kaskadieren. Sie treffen OEMs, Tier-1-Zulieferer, Cloud-Anbieter und Endkunden in einer einzigen Angriffswelle. Die Governance-Strukturen der Branche – ausgelegt auf eine Welt, in der „unser Netzwerk“ noch Bedeutung hatte – halten nicht mehr Schritt.

Die Zahlen sprechen für sich. VicOne verzeichnete 2025 insgesamt 610 sicherheitsrelevante Vorfälle im Automotive-Bereich und 1.384 Schwachstellen. Regionen- und unternehmensübergreifende Vorfälle haben sich mehr als verdreifacht und machen 161 dieser Fälle aus. Die Kosten durch unerwünschten Datenabfluss beliefen sich zwischen Januar und Oktober 2025 auf 6,6 Milliarden US-Dollar. Das sind keine Rundungsfehler. Das ist ein struktureller Wandel im Umgang mit Cyberrisiken im Automobilsektor.

5 wichtige Erkenntnisse

  1. Automotive-Cybervorfälle sprengen Organisationssilos. 610 Vorfälle und 1.384 Schwachstellen im Jahr 2025. Regionen- und unternehmensübergreifende Fälle verdreifachten sich auf 161. Datenabfluss verursachte 6,6 Milliarden US-Dollar Schaden. Angriffe erfassen heute Enterprise-IT, Cloud und In-Vehicle-Systeme in einer einzigen Kampagne. Kiteworks bietet einheitliche Governance über alle Datenkanäle – mit einem konsolidierten Audit-Trail, der jede Interaktion unabhängig von Grenzen erfasst.
  2. Das Fahrzeug ist jetzt die primäre Angriffsfläche – und es speichert die sensibelsten Daten Ihrer Kunden. In-Vehicle-Systeme haben Enterprise-IT als Hauptziel überholt (39,7 % vs. 37,7 %). Infotainment, Gateways und ECUs verarbeiten Kontakte, Standortdaten, Sprachaufnahmen und Account-Tokens. Cockpitdaten werden laut Prognose zum Druckmittel für Ransomware. Die attributbasierten Zugriffskontrollen von Kiteworks sorgen für datenzentrierten Schutz an jeder Vertrauensgrenze.
  3. „Schweizer-Käse“-Compliance: Volle regulatorische Abdeckung lässt dennoch Lücken. ISO/SAE 21434, UN R155, IEC 62443, ISO 15118-20 und NIST IR 8473 hinterlassen an Schnittstellen zwischen Domänen weiterhin Lücken. Kein Standard deckt die gesamte Angriffsfläche ab. Kiteworks liefert vorkonfigurierte Vorlagen für über 50 Frameworks mit Echtzeit-Policy-Enforcement – und schließt so die Lücke zwischen dokumentierten und tatsächlich durchgesetzten Kontrollen.
  4. Die Software-Lieferkette ist das neue Einfallstor für Angreifer im Automotive-Bereich. VicOne fordert SBOMs und AI BOMs als Compliance-relevante Assets sowie ereignisgesteuerte „Dynamic TARA“ statt statischer Risikoanalysen. Das WEF sieht Transparenz in der Lieferkette als Top-Thema. Die Audit-Trails, rollenbasierten Kontrollen und gehärtete Verschlüsselungsarchitektur von Kiteworks steuern jeden Datenaustausch mit Lieferanten.
  5. Verantwortung auf Vorstandsebene ist Realität – Sicherheitsverantwortliche brauchen Beweise, keine Ausreden. VicOne-CEO Max Cheng bestätigt: Cybersicherheit ist ein Thema für den Vorstand. Die Fragen lauten: Wie hoch ist unser regulatorisches Risiko? Welche Daten sind geschützt? Was passiert bei einem Vorfall über mehrere Grenzen hinweg? Kiteworks liefert Compliance-Dashboards für Führungskräfte über 50+ Frameworks hinweg, mit FIPS 140-3-validierter Verschlüsselung und zero trust-Architektur, die Ihre Berichterstattung untermauert.

Willkommen in der Overlap Era: Wo alles mit allem verbunden ist

VicOnes Konzept der „Overlap Era“ beschreibt eine Realität, die weit über die Automobilbranche hinausgeht. Es ist eine Zeit, in der klassische Fahrzeugplattformen weltweit im Einsatz bleiben, während softwaredefinierte Fahrzeuge, cloudbasierte Ökosysteme und adaptive Funktionen gleichzeitig eingeführt werden. Fahrzeuge, Backend-Services, Enterprise-IT und externe Infrastruktur sind von Grund auf eng gekoppelt. Die Verantwortung und Governance für Cybersicherheit bleiben jedoch oft fragmentiert.

Die praktische Folge: Ein Angreifer, der eine Cloud-API kompromittiert, kann auf Fahrzeugsysteme zugreifen. Eine Schwachstelle im OTA-Backend eines Tier-2-Zulieferers kann Sicherheits- und Datenschutzrisiken für ganze Flotten auslösen. Eine Lücke in der Managementkonsole einer Ladesäule kann Identitäten, Abrechnungsdaten und Ladevorgänge von Hunderttausenden Nutzern offenlegen.

Genau diese Interkonnektivität beschreibt auch der WEF Global Cybersecurity Outlook 2026 branchenübergreifend: Eine neue Generation von Cybervorfällen legt die Fragilität digitaler Verbindungen offen, bei denen ein lokaler Fehler oder gezielter Angriff schnell großflächige Folgen haben kann. Der Unterschied im Automotive-Bereich: Die Folgen können physisch sein. Wenn das angegriffene System mit einer Familie an Bord mit Autobahngeschwindigkeit unterwegs ist, geht es um mehr als Datengovernance.

Das Fahrzeug ist jetzt das Hauptziel – und kennt alles über Sie

Eines der auffälligsten Ergebnisse des Berichts: In-Vehicle-Systeme haben Enterprise-IT als größte Angriffsfläche überholt (39,7 % vs. 37,7 %). Das ist kein marginaler Wandel, sondern eine Neuausrichtung des Angriffsfokus.

Die am häufigsten angegriffenen In-Vehicle-Komponenten – Infotainment- und Head-Units, In-Vehicle-Netzwerke und Gateways, ECUs und Embedded Software – sind zugleich die Systeme, die die sensibelsten personenbezogenen Daten verarbeiten: Kontakte, Standortverlauf, Mikrofon- und Sprachaufnahmen, gekoppelte Telefone, Navigationsziele und Account-Tokens. Der Bericht beschreibt diese Systeme als Integrationshubs, in denen Nutzereingaben und externe Dienste zusammenlaufen. Aus Datenschutzsicht sind sie Daten-Aggregationsschichten mit wachsender Angriffsfläche.

VicOne identifiziert drei spezifische Risikofaktoren: Erstens bringt das Third-Party-App-Ökosystem – etwa Android Automotive und CarPlay – durch nicht geprüften Code Lieferkettenrisiken, der Standort- und Mikrofonzugriff ermöglicht. Zweitens leiden Companion-Apps und Backend-APIs unter Authentifizierungsfehlern, fehlender objektbasierter Autorisierung und Injektionslücken, die Cross-Tenant-Datenexponierung ermöglichen. Drittens – und das sollte Datenschützer beunruhigen – prognostiziert der Bericht, dass Cockpitdaten als Druckmittel für Ransomware dienen werden, indem Angreifer mit der Veröffentlichung von Fahrverhalten und persönlichen Informationen drohen.

Der Dragos OT/ICS Cybersecurity Report 2026 dokumentiert ein ähnliches Muster in der Industrie: Bedrohungsakteure wie VOLTZITE sammeln nicht mehr nur Daten aus IT-Netzwerken, sondern greifen direkt auf OT-Geräte zu und stehlen Sensor- und Betriebsdaten. Die Entwicklung ist eindeutig: Ob Stromnetz oder Connected Vehicle – Angreifer zielen auf die wertvollsten Daten, und die liegen zunehmend am Rand, in physischen Systemen.

EV-Ladeinfrastruktur: Die wachsende Angriffsfläche ohne klaren Eigentümer

Der Bericht widmet der Ladeinfrastruktur für Elektrofahrzeuge besondere Aufmerksamkeit als wachsender Angriffsvektor. Ladesäulen verbinden Fahrzeuge, Backend-Services, mobile Anwendungen und das Stromnetz im großen Maßstab. Sie verarbeiten Identitäten, Ladevorgänge, Abrechnungs- und Zahlungsdaten sowie Betriebs-Telemetrie. Die von VicOne dokumentierten Schwachstellen – Autorisierungsumgehung und Injektionslücken – können sich über Kunden und Flotten hinweg auswirken.

Das Compliance-Problem ist hier besonders ausgeprägt. VicOne vergleicht mehrere Standards für die Sicherheit von Ladeinfrastruktur und stellt fest: Kein Standard deckt die gesamte Angriffsfläche ab. ISO 15118-20 sichert die Kommunikation zwischen EV und Ladesäule, nicht aber Betriebssysteme, Managementebenen oder Firmware. IEC 62443 adressiert industrielle Steuerungssicherheit, lässt aber IT-Komponenten außen vor. ISO/SAE 21434 fokussiert auf fahrzeugzentrierte Cybersecurity. UN R155 bezieht sich auf Bereiche außerhalb des Fahrzeugs, deckt Ladeinfrastruktur aber nur indirekt ab. NIST IR 8473 dient als integrative Referenz, ist aber kein Konformitätsnachweis.

Fazit: Wer alle Compliance-Boxen dieser Standards abhakt, hat reale Angriffswege – insbesondere übergreifend zwischen Ladesäule, Cloud und Fahrzeug – nicht automatisch abgesichert. Für Unternehmen, die sensible Daten in ähnlich fragmentierten regulatorischen Umgebungen verarbeiten, ist dieses Muster bekannt. Kiteworks begegnet dem mit einheitlicher Governance über alle Datenkanäle und automatisiertem Compliance-Reporting, das Kontrollen spezifischen regulatorischen Anforderungen zuordnet – statt Compliance als isolierte Übung ohne Bezug zur operativen Sicherheit zu behandeln.

Wenn der KI-Assistent im Auto zum Phishing-Kanal wird

Der Bericht beschreibt ein neues Risikomuster: „Assistant-mediated Content Injection“, bei dem ein KI-Assistent im Fahrzeug dazu gebracht werden kann, bösartige Links, Telefonnummern oder Ziele über manipulierte Einträge, Werbung oder Metadaten anzuzeigen. Da der Assistent als vertrauenswürdige Schnittstelle gilt – Fahrer erwarten Autorität – wird er zum nativen Social-Engineering-Kanal im Fahrzeug.

Kann der Assistent Aktionen auslösen – Anrufe, Navigation, Zahlungen – erstreckt sich das Risiko auf Transaktionsintegrität und Nutzerzustimmung. Das ist das Automotive-Äquivalent zu einem Problem, das die Enterprise-Datensicherheit seit Jahren beschäftigt: Was passiert, wenn eine vertrauenswürdige Schnittstelle nicht vertrauenswürdige Inhalte verarbeitet und der Nutzer den Unterschied nicht erkennt?

Der WEF Global Cybersecurity Outlook 2026 beschreibt dieses Muster branchenweit: Nur 40 % der Unternehmen prüfen die Sicherheit von Tools vor deren Einsatz, und die Lücke zwischen Unternehmen, die das tun, und denen, die es nicht tun, korreliert direkt mit der Resilienz. Der Kiteworks Secure MCP Server zeigt, wie „trusted but verified“-Governance funktioniert: Jede Aktion eines externen Agents – auch von LLM-basierten Anwendungen – unterliegt rollen- und attributbasierten Zugriffskontrollen, mit umfassender Audit-Protokollierung jeder Interaktion. Das Prinzip gilt gleichermaßen für Unternehmens-Chatbots wie für Sprachassistenten im Auto: Schnittstelle vertrauen, Aktion verifizieren, alles protokollieren.

Was Automotive-CISOs – und alle CISOs in vernetzten Ökosystemen – jetzt tun sollten

Von systembasierter Sicherheit zu domänenübergreifender Governance wechseln. Der Bericht empfiehlt Governance mit klaren Verantwortlichkeiten und Eskalationswegen, Risikomessung nach Service, Flotte und Wirkungskreis – nicht nach Einzelkomponenten. Da Vorfälle IT, Cloud, Fahrzeug und Ladeinfrastruktur betreffen, muss das Governance-Modell dies abbilden. Kiteworks ermöglicht domänenübergreifende Governance für sensible Daten: Einheitliche Policy Enforcement über alle Kommunikationskanäle, mit einem konsolidierten Audit-Trail, der Transparenzlücken fragmentierter Tools schließt.

Risikobewertung kontinuierlich statt periodisch durchführen. VicOne fordert, statische Risikoanalysen durch ereignisgesteuerte „Dynamic TARA“ zu ersetzen – ausgelöst durch Code-Änderungen, SBOM-Updates, Zero-Day-Meldungen und Threat Intelligence. Das entspricht dem Branchentrend von periodischer Audit-Bereitschaft hin zu kontinuierlicher Compliance. Die Echtzeit-Policy Enforcement und automatisierte Evidenzsammlung von Kiteworks liefern genau das: kontinuierlichen Nachweis aktiver Kontrollen, nicht nur dokumentierter.

SBOMs und AI BOMs als Compliance-relevante Assets behandeln. Rückverfolgbarkeit ist Grundlage für Audits, Vorfalluntersuchungen und Lieferantenverantwortung. Organisationen benötigen eine Live-Transparenz der Software-Lieferkette, keine statischen Inventarlisten. Die umfassenden Audit-Trails von Kiteworks – jede Datei, jeder Anwender, jede Aktion über alle Kanäle – liefern das Rückverfolgbarkeitsmodell, das die Automobilbranche für Softwarekomponenten jetzt fordert.

Jede Vertrauensgrenze härten, an der personenbezogene Daten fließen. Der Bericht empfiehlt stärkere Memory Safety, Privilegentrennung, Input-Validierung und kontinuierliches Verhaltensmonitoring für Infotainment- und KI-Systeme. Genau diese Prinzipien setzt Kiteworks für Unternehmensdaten um: zero trust-Architektur, bei der alle IP-Adressen standardmäßig blockiert sind, außer explizit freigegebenen; integrierte Netzwerk-Firewalls, Intrusion Detection und kundeneigene Verschlüsselungsschlüssel, die Dritten den Zugriff auf geschützte Daten verwehren.

Vorstände mit Belegen ausstatten, nicht mit Dashboards voller Alarme. Das WEF berichtet: In hochresilienten Unternehmen haften Vorstände fast dreimal so häufig persönlich für Datenschutzverletzungen wie in weniger resilienten Unternehmen (30 % vs. 9 %). Vorstände wollen wissen: Welcher Anteil sensibler Daten ist verschlüsselt? Welche Kontrollen wurden durchgesetzt? Welche regulatorischen Anforderungen sind erfüllt? Kiteworks liefert Compliance-Status über 50+ Frameworks, Visualisierung der Datenrisikoposition und automatisierte regulatorische Berichte – inklusive DSGVO-Artikel-30-Nachweise, HIPAA-Audit-Reports, NIS2-Incident-Benachrichtigungen und CMMC-Evidenz – in einer Sprache, die Vorstände zum Handeln befähigt.

Domänenübergreifendes Risiko verlangt domänenübergreifende Governance

Die zentrale Botschaft des VicOne-Reports 2026: Datenschutz und Compliance hängen heute von domänenübergreifender Cybersecurity-Governance ab. Das Risiko von Datenexposition entsteht nicht nur dort, wo personenbezogene Daten gespeichert werden. Es entsteht an den Schnittstellen von Fahrzeugen, Cloud-Services, OTA-Pipelines, Händler-Systemen, KI-Lieferketten und Ladeinfrastruktur – oft über regulatorische und fast immer über organisatorische Grenzen hinweg.

Das ist kein spezifisches Problem der Automobilbranche. Es ist das gleiche systemische Risiko, das das WEF in allen vernetzten Branchen identifiziert. Es ist die gleiche Lieferkettenanfälligkeit, mit der CISOs in Finanzdienstleistungen, Gesundheitswesen, Fertigung und kritischer Infrastruktur konfrontiert sind, wenn sie die Integrität von Drittanbieter-Software, -Hardware und -Services nicht sicherstellen können.

Organisationen, die dieses Risiko erfolgreich steuern, sind diejenigen, die Sicherheit nicht mehr in Silos, sondern domänenübergreifend dort steuern, wo sensible Daten bewegt werden. Kiteworks macht das operativ möglich: einheitliche Datengovernance, Echtzeit-Policy Enforcement, umfassende Audit-Trails, Executive Reporting als Compliance-Nachweis und eine Verschlüsselungsarchitektur, die sicherstellt, dass gemeldete Sicherheit auch tatsächlich existiert.

Die Overlap Era ist kein vorübergehender Zustand. Sie ist die neue Betriebsrealität für jedes Unternehmen, dessen Daten, Systeme und Partner miteinander verbunden sind. Die Frage ist nicht, ob Ihr Sicherheitsprogramm domänenübergreifendem Risiko begegnet. Die Frage ist, ob Ihre Governance-Infrastruktur dafür ausgelegt ist.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

ISO/SAE 21434 verlangt von Unternehmen die Einführung eines Cybersecurity-Managementsystems, das Risikobewertung (TARA), Bedrohungsanalyse in der Konzeptphase und Monitoring nach der Entwicklung über den gesamten Fahrzeuglebenszyklus abdeckt. Die Lücke: Der Standard ist fahrzeugzentriert und regelt weder Cloud-Backends, Ladeinfrastruktur noch Third-Party-App-Ökosysteme. Wenn ein Angriff von einer Companion-App-API auf Fahrzeugsysteme übergreift, adressiert 21434-Compliance auf Fahrzeugseite nicht die Ursprungsquelle. Domänenübergreifende Audit-Trails und einheitliche Policy Enforcement schließen diese Governance-Lücke.

Dynamic TARA ersetzt punktuelle Bedrohungsanalysen durch ereignisgesteuerte Analysen – automatisch ausgelöst bei Code-Merges, SBOM-Änderungen, Zero-Day-Veröffentlichungen und Updates der Threat Intelligence. Statische TARA scheitert, weil softwaredefinierte Fahrzeuge kontinuierliche OTA-Updates erhalten und sich die Angriffsfläche zwischen den Bewertungen verändert. Eine Schwachstelle, die einen Tag nach einer statischen TARA bekannt wird, bleibt bis zur nächsten geplanten Überprüfung – möglicherweise Monate später – unbewertet und eröffnet Angreifern ein strukturelles Zeitfenster. Kontinuierliche Audit-Protokollierung und Echtzeit-Policy Enforcement bieten das Äquivalent für Datengovernance.

Companion-Apps speichern langlebige OAuth-Tokens, die Zugriff auf Fahrzeugstatus, Standortverlauf, Remote-Kommandos und Account-Daten gewähren. Fehlende objektbasierte Autorisierung – wenn API-Endpunkte nicht prüfen, ob der anfragende Nutzer die Ressource besitzt – ermöglicht Cross-Tenant-Exponierung im großen Stil: Ein kompromittierter Account kann über denselben Endpunkt Daten anderer Nutzer abrufen. Im Gegensatz zu In-Vehicle-Exploits, die physische Nähe erfordern, sind API-Lücken massenhaft remote ausnutzbar. Diese Tokenmissbrauchsmuster sind aus Enterprise-SaaS-Umgebungen (Unit 42) bekannt – gleiche Architektur, gleiches Lieferkettenrisiko, personenbezogene Datenexponierung im Fahrzeugmaßstab.

Cockpitdaten – Standortverlauf, Sprachaufnahmen, Kontakte, Fahrverhalten, gekoppelte Geräteinformationen – gelten als personenbezogene Daten nach DSGVO, CCPA und vergleichbaren Frameworks. Unbefugte Exfiltration löst Meldepflichten aus, unabhängig davon, ob Systeme verschlüsselt wurden. Nach DSGVO gilt eine 72-Stunden-Frist zur Benachrichtigung der Aufsichtsbehörde. Für Flottenbetreiber, die Mitarbeiterfahrdaten verarbeiten, kommen arbeitsrechtliche Datenschutzpflichten hinzu. Datengovernance-Kontrollen, die regeln, welche Cockpitdaten gespeichert werden, wie lange und unter welchen Zugriffsbeschränkungen, sind die einzige Präventionsmaßnahme vor dem Vorfall.

Die Haftungsverteilung richtet sich nach vertraglichen Datenverarbeitungsvereinbarungen und geltender Regulierung. Nach DSGVO trägt der OEM als Verantwortlicher die primäre Melde- und Rechenschaftspflicht, auch wenn der Verstoß beim Auftragsverarbeiter (Tier-2-Zulieferer) entstand. UN R155 verpflichtet Fahrzeughersteller zu einem Cybersecurity-Managementsystem inklusive Lieferkettenkontrolle. OEMs, die keine Lieferanten-Zugriffskontrollen, Audit-Trails von Datenaustausch und vertragliche Sicherheitsanforderungen nachweisen können, tragen bei kaskadierenden Vorfällen mit Endkundendaten sowohl regulatorische als auch zivilrechtliche Haftung.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsauftragnehmer zu intelligenteren Vorteilen bewegen
  • Blogbeitrag Wie Sie klassifizierte Daten absichern, sobald DSPM sie kennzeichnet
  • Blogbeitrag Vertrauen in Generative KI mit einem Zero Trust-Ansatz schaffen
  • Video Der definitive Leitfaden für sichere Speicherung sensibler Daten für IT-Leiter

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks