So testen unsere „netten Hacker“ die IT-Sicherheit Ihres Betriebs

  • Autohäuser, die digitale Dienste anbieten, sich aber keine Gedanken um IT-Sicherheit machen, bieten Einfallstore für Cyberattacken wie Phishing, Schadsoftware oder Abgreifen von Kundendaten. 
  • Unsere IT-Profis suchen nach möglichen Schwachstellen und testen sie in der Praxis – natürlich ohne aufzudecken, wo Ihre Daten im Internet zu finden sind. 
  • In vielen Fällen lassen sich Schwachstellen kostengünstig beheben und das Sicherheitsniveau deutlich erhöhen – entscheidend ist, Cybersicherheit ernst zu nehmen und regelmäßig zu prüfen. 
Immer öfter schaffen es Cyberangriffe in die Schlagzeilen. Das liegt zum einen an der politischen Weltlage, zum anderen sicherlich auch an dem immensen wirtschaftlichen Schaden, den sie anrichten. Der deutsche Digitalverband bitkom hat vergangenes Jahr über 1.000 Unternehmen gefragt, ob sie sich durch Cyberangriffe in ihrer wirtschaftlichen Existenz bedroht sehen. Die klare Antwort lautet, dass fast die Hälfte (45 %) diese Aussage bejahen. Der Verband stellte zugleich fest, dass im Zusammenhang mit Datendiebstahl, Industriespionage oder Sabotage im Jahr 2022 allein hierzulande ein Gesamtschaden von 203 Milliarden Euro entstanden ist. 

Mittelständler sollten Schwachstellen und Geschäftsrisiken kennen
In der Tat gab es in jüngster Zeit Fälle, in denen ein Hackerangriff die Insolvenz von mittelständischen Unternehmen zumindest mitverursachte oder sogar auslöste. „Zum Glück sind das Ausnahmen und nicht jeder Angriff hat derart schwere Auswirkungen. Doch jeder Mittelständler sollte sich über mögliche Schwachstellen und die Risiken für sein Geschäft im Klaren sein“, betont Dr. Benedikt Westermann, Teamleiter Embedded System & Advanced Security Testing bei der TÜV Rheinland i-sec GmbH. Er und sein Team arbeiten als „White Hats“, als ethische Hacker für Computersicherheit. „Wir suchen Einfallstore, die ein böser Hacker nutzen kann, um in IT-Systeme einzudringen“, erklärt er. „Angreifer machen dies, um Geld zu verdienen. Sei es, indem sie Daten verkaufen, Überweisungen umleiten oder das betroffene Unternehmen erpressen. Ab und zu wird ein Angriff auch nur durchgeführt, um ein anderes Unternehmen aufgrund der Geschäftsbeziehungen angreifen zu können.“

Online-Termintools, Phishing, Buchungssysteme: Autohäuser bieten Einfallstore für Hacker
In Autohäusern sieht er verschiedene Angriffspunkte: Die Eingaben bei der Online-Terminvergabe beispielsweise kann ein Angreifer nutzen, um an Kundendaten zu kommen. „Alles, was online erreichbar ist, birgt ein Risiko“, sagt Benedikt Westermann. Auch B2B-Portale, Buchungssysteme, Online-Shops sowie das Verhalten der Mitarbeiter:innen sind weitere mögliche Schwachstellen.  

„Ob ihre Systeme gefährdet sind, müssen die Verantwortlichen im Autohaus selbst abwägen – und schon dabei unterstützen wir sie gerne. Fakt ist jedoch: Ohne Schutz werden sie über kurz oder lang einen Abfluss von Daten erleben.“

So läuft ein „bestellter“ Hackerangriff in der Praxis ab 
Ein essenzieller Punkt bei der Überprüfung der IT-Sicherheit ist der sogenannte Pentest, kurz für Penetrationstest, also der Versuch, in IT-Systeme einzudringen. Damit überprüfen unsere Expert:innen unter anderem die bestehende IT-Infrastruktur (Netzwerke und IT-Systeme) sowie Web-Applikationen wie Online-Shops oder Kundenportale auf potenzielle Schwachstellen. 

Auf Wunsch simuliert unser Team auch Social-Engineering-Angriffe, um mögliche Einfallstore über die Mitarbeiter:innen aufzuzeigen. Einfachste Variante: eine Phishing-Mail oder Smishing (gefakte SMS) an Autohaus-Beschäftigte. „Oft antworten 50 bis 100 Prozent der Belegschaft darauf – und die Auskunftsbereitschaft reicht bis hin zur Preisgabe von Passwörtern“, berichtet der Chef-Hacker. „Das zeigt: Entscheidend ist das Konzept des Autohauses. Wenn die Technik top geschützt ist, die Mitarbeiter:innen aber nachlässig oder arglos, bleibt ein Risiko. Hier gilt es, in Gesprächen und Schulungen ein Bewusstsein zu schaffen.“ 

Eine besonders für kleinere und mittlere Betriebe interessante Dienstleistung: Wer die möglichen Risiken nicht selbst beurteilen kann oder möchte, dem bieten wir eine professionelle Risikoeinschätzung an. Gap-Analysen zeigen auf, wo Lücken im Sicherheitskonzept bestehen und welche Prozesse nötig sind, um die eigenen IT-Systeme sicher zu betreiben. Wichtig ist, dass die Informationssicherheit kein rein technisches Thema ist, sondern auch in den Geschäftsprozessen entsprechend verankert werden muss. 

Ergebnisbericht führt Schwachstellen auf und hilft, die Hürden für Angriffe zu erhöhen
In jedem Fall erhalten die Auftraggebenden nach den Tests einen Ergebnisbericht, der beispielsweise aufführt, wie viel Prozent der Belegschaft auf Phishing reagiert haben oder welche Daten und in welchem Umfang Daten bei einem echten Hackerangriff abfließen könnten. Das sind Dinge, über die alle Verantwortlichen in Autohaus oder Handelsgruppe Bescheid wissen sollten. 

Denn auch wenn es niemals 100-prozentige Sicherheit geben wird: „Entscheidend ist, die Hürden zu erhöhen“, betont Benedikt Westermann. „Auch böswillige Hacker gehen nun mal am liebsten den Weg des geringsten Widerstands und dringen dort ein, wo es am einfachsten ist – und einfach sollten wir es ihnen nicht machen.“ 

Unser On-Demand-Webinar steht Ihnen als Einstieg ins Thema jederzeit zur Verfügung. Oder sprechen Sie direkt unser Team der TÜV Rheinland i-sec GmbH an.

Tel.: +49 221 806-4050
Das könnte Sie auch interessieren
TÜV Rheinland baut Europas größtes Netz für autonome Shuttles mit auf  

Im niederbayerischen Landkreis Kelheim startet die mögliche Zukunft des ÖPNV: hoch automatisierte Shuttles on demand auf flexiblen Routen statt starren Linien. TÜV Rheinland wirkte wesentlich an der Zulassung der Fahrzeuge und der modernen Sensortechnik für den Schlechtwetterbetrieb mit.
Saubere Sache: Partikelmessung bei neueren Dieselfahrzeugen zahlt sich aus und hilft der Umwelt 

Die seit vergangenem Sommer vorgeschriebene neue Partikelmessung für Dieselfahrzeuge jüngeren Baujahrs zahlt sich aus. Der TÜV-Verband fordert daher, die Prüfung auch auf weitere Emissionsklassen auszuweiten, um noch mehr Großverschmutzer zu enttarnen. 
 
Vernetzen Sie sich!
Besuchen Sie das Facebook-Profil von TÜV Rheinland Mobility
Besuchen Sie das Instagram-Profil von TÜV Rheinland Mobility
Besuchen Sie das LinkedIn-Profil von TÜV Rheinland Mobility
Besuchen Sie das Profil von TÜV Rheinland auf X (ehemals Twitter)
Besuchen Sie das Xing-Profil von TÜV Rheinland
Besuchen Sie den YouTube-Kanal von TÜV Rheinland
 
© TÜV Rheinland 2026
 
Back to top