Eine Erpressergruppe behauptet, sensible Ingenieursdaten von Bosch erbeutet zu haben, ohne je in ein Bosch-System eingedrungen zu sein. Der angebliche Weg führte über den US-Softwarekonzern Synopsys und einen simplen Fehler in einem Web-Formular. Der Fall zeigt, wie ein einziger Zulieferer zum Einfallstor für eine ganze Branche wird.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das mutmaßliche Synopsys-Datenleck bringt einen der wichtigsten Softwarelieferanten der Chipbranche in Bedrängnis. Ausgerechnet ein Handbuch zum CAN-Bus tauchte in den Beispieldaten auf, also zu jenem Protokoll, das Bosch 1983 selbst erfunden hat. Nach Darstellung der Täter stammt es nicht aus einem Angriff auf Bosch, sondern aus der Kundendatenbank eines Dienstleisters.

Das Wichtigste in Kürze

  • Die Erpressergruppe D1R listet Synopsys und Bosch auf ihrer Leak-Seite und setzt eine Frist von elf Tagen.
  • Angeblich erbeutet: eine Datenbank mit rund 40.000 Firmenkunden von Synopsys, dazu Ingenieursunterlagen von Bosch.
  • Als Zugangsweg nennt die Gruppe einen Logikfehler im Registrierungsformular, keinen klassischen Netzwerkeinbruch.
  • Weder Synopsys noch Bosch haben den Vorfall bislang bestätigt.

Was ist bei Synopsys passiert?

Geschlossener Tresor mit Affensticker neben offenem Zulieferer-Einwurf voller Pläne
Hacker-Gruppe D1R droht mit Veröffentlichung von Bosch-Daten aus Synopsys-Kundendatenbank in elf Tagen

Die Gruppe D1R hat Synopsys und Bosch auf ihrer Darknet-Seite eingetragen und droht, die Daten nach elf Tagen zu veröffentlichen. Nach eigener Darstellung stammen die Bosch-Unterlagen aus der Kundendatenbank von Synopsys, nicht aus einem Angriff auf Bosch selbst.

Synopsys liefert Software für den Entwurf von Halbleitern und Elektronik, die praktisch jeder große Chip- und Automobilzulieferer einsetzt. Als Beleg hat die Gruppe laut dem Sicherheitsportal Cybernews die erste Seite eines CAN-Handbuchs vorgelegt[1], also ausgerechnet Dokumentation zu dem Bus-Protokoll, das Bosch vor mehr als vier Jahrzehnten entwickelt hat.

Dass die Daten echt sind, ist damit nicht bewiesen. Weder Synopsys noch Bosch haben sich bislang öffentlich geäußert, und Erpresser übertreiben ihre Beute regelmäßig. Interessant ist der Fall trotzdem, weil das behauptete Vorgehen ein reales Muster beschreibt.

Wie kommt man ohne Einbruch an 40.000 Kundendaten?

Laut der Gruppe genügte ein Logikfehler im Registrierungsformular von Synopsys, um die komplette Datenbank mit rund 40.000 Firmenkunden auszulesen. Nötig war kein Zugang ins interne Netz, sondern nur eine öffentlich erreichbare Webseite, die zu viele Datensätze herausgab.

Der eigentliche Fehler steckt in der Berechtigungsprüfung. Ein Anmeldeformular soll jedem Besucher nur die eigenen Daten zeigen, doch eine fehlerhafte Logik ließ sich so ansprechen, dass sie fremde Einträge gleich reihenweise ausgab. Fachleute nennen das eine kaputte Zugriffskontrolle, und sie steht seit Jahren ganz oben in den Sicherheitslisten für Programmierschnittstellen.

Solche Formulare gelten vielen Betreibern als harmlos, dabei sind sie eine offene Angriffsfläche. Automatisiertes Abgrasen einer Seite fällt ohne Gegenmaßnahmen kaum auf, weshalb Anbieter wie Cloudflare inzwischen ganze Sitzungen statt einzelner Klicks prüfen, um solche Bots zu erkennen. Wie brüchig die Infrastruktur vernetzter Dienste ist, zeigt auch ein aktueller Test, bei dem jeder vierzehnte MCP-Server durchfiel.

Nicht jeder Datenverlust beginnt mit einem Hackerangriff. Manchmal reicht ein schlecht gebautes Formular beim Zulieferer, und die eigene Ingenieursarbeit liegt offen.

— Markus Seyfferth, Chefredakteur Dr. Web
Ein Zulieferer, zwei Opfer
Die wichtigsten Zahlen zum mutmaßlichen Synopsys-Leck (Stand: 13.07.2026, unbestätigte Angaben der Erpressergruppe)
40.000
Firmenkunden-Datensätze, die die Gruppe bei Synopsys erbeutet haben will
11 Tage
Frist bis zur angedrohten Veröffentlichung der Daten
1983
Jahr, in dem Bosch das geleakte CAN-Protokoll selbst entwickelte
0
offizielle Bestätigungen von Synopsys oder Bosch bislang
Kein Einbruch, ein Formularfehler

Nach Darstellung der Täter gab ein Logikfehler im Registrierungsformular von Synopsys die komplette Kundendatenbank preis. Von dort führte die Spur weiter zu Bosch und zum Chipdesigner ARM.

Was bedeutet das für die Lieferkette deutscher Unternehmen?

Bosch und der Chipdesigner ARM tauchen in dem Leak auf, obwohl beide nicht direkt angegriffen wurden. Ihre Daten lagen bei einem gemeinsamen Dienstleister, und genau das macht die Lieferkette zum eigentlichen Risiko. Sobald Konstruktionsdaten an externe Werkzeuge wandern, gibt ein Unternehmen die Kontrolle über deren Schutz ab.

Der Vorfall reiht sich in eine wachsende Serie ein. Bei der jüngsten Datenpanne im Handel war ebenfalls nicht der Konzern selbst, sondern ein Dienstleister das eigentliche Einfallstor. D1R soll die Synopsys-Liste zudem mit anderen Leaks abgeglichen und so den nächsten Zugang bei ARM gefunden haben, ein Leck füttert das nächste.

Für deutsche Entscheider ist das keine ferne US-Geschichte. Die NIS2-Richtlinie macht die Sicherheit der Lieferkette zur Chefsache und verpflichtet betroffene Unternehmen, auch ihre Dienstleister zu prüfen. Geraten Namen und Kontaktdaten von Firmenkunden ins Netz, greift zusätzlich die Meldepflicht der DSGVO.

Konkret heißt das, die eigene Lieferkette nicht dem Zufall zu überlassen:

  • Auflisten, welche externen Werkzeuge und Dienstleister Zugriff auf Konstruktions- und Kundendaten haben.
  • Nur die Daten herausgeben, die ein Dienstleister wirklich braucht, und Verträge um eine feste Meldefrist bei Vorfällen ergänzen.
  • Leak-Seiten und Darknet-Monitore auf die eigene Domain und Marke ansetzen, um früh zu reagieren.
  • Das Restrisiko prüfen und gegen eine passende Cyberversicherung abwägen, die auch Zulieferer-Vorfälle abdeckt.

Quelle

[1] Cybernews: „Hackers threaten to leak Bosch engineering data after alleged Synopsys hack“

Mehr Newshunger?

4,5 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?