- CISA stuft die Zero-Schwachstelle als mittelschwer (CVSS 6.4) und die Yadea-Schwachstelle als hoch (CVSS 7.3) ein
- Zero Motorcycles plant ein Firmware-Update für Mai 2026, Yadea hat bisher keinen Patch veröffentlicht
- Für beide Schwachstellen ist physische Nähe zum Fahrzeug erforderlich
Vernetzte Fahrzeuge bieten Komfort, bringen aber auch neue Risiken mit sich. Navigation, Fahrzeugdiagnose per App, Over-the-Air-Updates und Telemetriedaten gehören bei modernen Elektromotorrädern mittlerweile zum Standard. Dass diese Konnektivität auch angreifbar macht, zeigen zwei aktuelle Fälle, die die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) im April 2026 öffentlich gemacht hat. Betroffen sind der US-amerikanische Elektromotorrad-Hersteller Zero Motorcycles und der chinesische Zweirad-Konzern Yadea, einer der weltweit größten Hersteller elektrischer Roller und E-Bikes.
Welche Schwachstelle wurde bei Zero Motorcycles entdeckt?
Die Sicherheitslücke CVE-2026-1354 betrifft alle Zero-Motorcycles-Firmwareversionen bis einschließlich Version 44. Entdeckt wurde sie von den Sicherheitsforschern Persephone Karnstein und Mitchell Marasch von Bureau Veritas Cybersecurity North America, die ihre Erkenntnisse an die CISA meldeten und auf der Sicherheitskonferenz BSides Seattle 2026 präsentierten.
Das Problem liegt in der Bluetooth-Kopplungsfunktion der Motorräder. Der Pairing-Modus lässt sich laut Dinesh Shetty, Director of Security Engineering bei Bureau Veritas, aktivieren, indem der Mode-Knopf etwa fünf Sekunden lang gedrückt wird, oder wenn das Motorrad noch nie gekoppelt wurde. Während dieses Zeitfensters überprüft der Schlüsselaustausch nicht, wer sich verbindet. Ein Angreifer in Bluetooth-Reichweite könnte sich mit seinem eigenen Gerät koppeln, und das Motorrad würde die Verbindung als legitim akzeptieren.
Die CISA klassifiziert die Schwachstelle als mittelschwer mit einem CVSS-3.1-Score von 6.4. Die technische Einstufung CWE-322 beschreibt einen Schlüsselaustausch ohne Authentifizierung der beteiligten Geräte. Für eine erfolgreiche Ausnutzung müssen mehrere Bedingungen gleichzeitig erfüllt sein: Das Motorrad muss sich im Pairing-Modus befinden, der Angreifer muss sich in unmittelbarer Nähe aufhalten, den Kopplungsprozess vollständig verstehen und während der gesamten Dauer eines Firmware-Uploads in Reichweite bleiben. Die CISA bewertet die Angriffskomplexität deshalb als hoch.
Was könnte ein Angreifer mit einer manipulierten Firmware anrichten?
Nach einer erfolgreichen Kopplung könnte ein Angreifer über die Over-the-Air-Update-Funktion manipulierte Firmware auf das Motorrad aufspielen. Laut Dinesh Shetty von Bureau Veritas kontrolliert der Hauptmikrocontroller des Motorrads sicherheitskritische Funktionen. Dazu gehören die Drehmomentsteuerung, das regenerative Bremsen, die Schütze für die Stromversorgung des Motors und das Batteriemanagement. Wer eigene Firmware auf diesen Controller bekommt, kann all diese Systeme manipulieren.
Shetty beschreibt die möglichen Auswirkungen im Klartext: Bei einem Fahrzeug auf Autobahngeschwindigkeit könnte die Gasannahme verändert, das Bremsverhalten beeinträchtigt oder die thermischen Schutzfunktionen der Batterie manipuliert werden. Zusätzlich hat die Steuerplatine Zugriff auf ein Mobilfunkmodem für GPS und Telemetrie, das theoretisch für eine Fernsteuerung umfunktioniert werden könnte. Shetty betont, es gehe nicht darum, die Farbe des Dashboards zu ändern, sondern um Firmware, die das physische Verhalten des Fahrzeugs steuert.
Bislang sind laut CISA keine Fälle bekannt, in denen diese Schwachstelle tatsächlich ausgenutzt wurde.
Was empfiehlt Zero Motorcycles seinen Kunden?
Zero Motorcycles hat die Schwachstelle nach eigenen Angaben untersucht und empfiehlt seinen Kunden, das Smartphone-Pairing nur an sicheren Orten durchzuführen, an denen niemand gleichzeitig eine Kopplung versuchen kann. Der vollständige Pairing-Vorgang soll abgeschlossen und die erfolgreiche Verbindung bestätigt werden. Physische Schlüssel sollen sicher aufbewahrt und das Motorrad nicht unbeaufsichtigt mit eingeschalteter Zündung stehen gelassen werden.
Ein Firmware-Update, das die Schwachstelle beheben soll, hat Zero Motorcycles für Mai 2026 angekündigt.
Wie funktioniert der Angriff auf den Yadea T5?
Zwei Tage nach der Zero-Meldung veröffentlichte die CISA am 23. April 2026 eine separate Warnung für den Yadea T5 Elektroroller. Die Schwachstelle CVE-2025-70994 wurde vom Sicherheitsforscher Ashen Chathuranga entdeckt und sowohl an MITRE als auch an die CISA gemeldet.
Das Problem betrifft das schlüssellose Zugangssystem des Yadea T5. Dieses nutzt das EV1527-Protokoll, einen Festcode-Funkstandard ohne Rolling Codes oder kryptografische Challenge-Response-Mechanismen. Vereinfacht gesagt sendet die Schlüsselfernbedienung bei jedem Tastendruck denselben Code. Ein Angreifer in Funkreichweite kann eine beliebige legitime Übertragung abfangen, etwa einen Sperrbefehl, und aus den gewonnenen Daten mathematisch einen anderen Befehl ableiten, darunter Entsperr- und Startbefehle. Laut dem Entdecker Ashen Chathuranga kann der Angreifer nach dem Abfangen eines einzigen Befehls sofort einen neuen synthetisieren und einen Replay-Angriff durchführen.
Die CISA-ADP bewertet die Schwachstelle mit einem CVSS-3.1-Score von 7.3, was der Stufe „hoch“ entspricht. Anders als bei der Zero-Schwachstelle ist die Angriffskomplexität gering, es werden keine besonderen Berechtigungen benötigt, und es existiert bereits ein öffentliches Proof-of-Concept. Die Schwachstelle wird unter CWE-1390 (Weak Authentication) geführt. Betroffen sind laut CISA alle Versionen des Yadea T5 ab Baujahr 2024.
Die Konsequenz ist konkret: Ein Angreifer könnte den Roller entriegeln, starten und stehlen. Die dafür notwendige Hardware, ein einfacher Software Defined Radio-Empfänger (SDR), ist laut Fachberichten bereits für weniger als 50 US-Dollar (circa 46 Euro) erhältlich. Der Angriff funktioniert über Funkfrequenzen im 315-MHz- oder 433-MHz-ISM-Band.
Hat Yadea bereits reagiert?
Yadea hat bislang weder einen Patch veröffentlicht noch auf Presseanfragen von SecurityWeek reagiert. Die CISA empfiehlt Besitzern des Yadea T5, ihre Systeme aktuell zu halten und das Fahrzeug zusätzlich mit externen mechanischen Sicherungen zu schützen. Yadea ist über die Kontaktseite des Unternehmens erreichbar.
Im Vergleich zu Zero Motorcycles, wo ein Firmware-Update immerhin angekündigt ist, erfordert die Behebung der Yadea-Schwachstelle nach Einschätzung von Sicherheitsexperten eine grundlegende Neugestaltung des schlüssellosen Zugangssystems, da das verwendete EV1527-Protokoll bauartbedingt keine sichere Authentifizierung bietet. Moderne Systeme setzen stattdessen auf Rolling Codes, bei denen sich der Funkcode bei jeder Nutzung ändert.
Warum betrifft das Thema auch Fahrer außerhalb der USA?
Beide Schwachstellen wurden bei der CISA in den USA gemeldet, einer US-Behörde. Zero Motorcycles hat seinen Hauptsitz in den USA, Yadea in China. Beide Unternehmen vertreiben ihre Fahrzeuge jedoch weltweit. Die CISA ordnet beide Fälle dem Sektor „Transportation Systems“ zu und vermerkt als Einsatzgebiet „Worldwide“. Unabhängig vom Standort sollten Besitzer betroffener Fahrzeuge die Entwicklung verfolgen und verfügbare Updates zeitnah einspielen.
Die beiden Fälle reihen sich in eine Serie von Cybersicherheitsvorfällen in der Motorrad- und Fahrzeugindustrie ein. In der Vergangenheit waren bereits Harley-Davidson von einem Datenleck und Kawasaki Europe von einem Ransomware-Angriff betroffen. Mit zunehmender Vernetzung elektrischer Zweiräder wächst auch deren Angriffsfläche, von der Bluetooth-Schnittstelle über App-Anbindungen bis hin zu schlüssellosen Zugangssystemen.
Häufige Fragen
-
Welche Zero-Motorcycles-Modelle sind von der Sicherheitslücke betroffen?
Laut CISA betrifft die Schwachstelle CVE-2026-1354 alle Zero-Motorcycles-Firmwareversionen bis einschließlich Version 44. Die CISA ordnet den Bereich als kritische Infrastruktur im Sektor Transportsysteme ein. Ein Firmware-Update ist für Mai 2026 angekündigt.
-
Kann der Yadea T5 über das Internet gehackt werden?
Nein, beide Schwachstellen erfordern physische Nähe zum Fahrzeug. Bei der Zero-Schwachstelle muss sich der Angreifer in Bluetooth-Reichweite befinden, beim Yadea T5 in Funkreichweite des Schlüsselsystems im 315-MHz- oder 433-MHz-Band. Die CISA bestätigt ausdrücklich, dass die Yadea-Schwachstelle nicht aus der Ferne ausgenutzt werden kann.
-
Was sollten Besitzer eines Yadea T5 jetzt tun?
Da Yadea bisher keinen Patch bereitgestellt hat, empfiehlt die CISA, das Fahrzeug zusätzlich mit mechanischen Sicherungen wie Schlössern abzusichern und die offiziellen Kanäle des Herstellers auf Updates zu prüfen. Die Schlüsselfernbedienung sollte in einer signalblockierenden Hülle aufbewahrt werden, um das Abfangen von Funksignalen zu erschweren.
-
Wie gefährlich ist die Zero-Motorcycles-Schwachstelle in der Praxis?
Die CISA bewertet die Angriffskomplexität als hoch. Der Angreifer muss sich in Bluetooth-Reichweite befinden, den Pairing-Prozess genau kennen und während des gesamten Firmware-Uploads in der Nähe bleiben. Laut Bureau Veritas könnte ein motivierter und gut ausgestatteter Angreifer den Angriff jedoch durchführen.
- UniTEC Autoteile 10319UniTEC Autoteile Unitec Auffahrrampe klappbar 200x25cm – 2 Stück
