Datenleck bei VW: 800.000 Autos waren betroffen
Bewegungsdaten von E-Autos sowie Kontaktinformationen zu Besitzern sollen ungeschützt im Netz gestanden haben. Das berichten DER SPIEGEL und der Chaos Computer Club.
Bei der VW-Softwaretochter Cariad hat es dem SPIEGEL zufolge ein Datenleck gegeben. Bewegungsdaten von 800.000 E-Autos in Europa sowie Kontaktinformationen zu Besitzern sollen ungeschützt im Internet gestanden haben.
Wegen eines Softwarefehlers seien über Monate Daten von VW-, Seat-, Audi- und Skoda-Fahrzeugen in einem Amazon-Cloudspeicher zugänglich gewesen, schreibt das Blatt. Zu 460.000 Fahrzeugen sollen demnach sogar präzise Standortdaten einsehbar gewesen sein, die Rückschlüsse auf das Leben der Menschen hinter den Lenkrädern zugelassen hätten.
Der VW-Konzern teilte mit, der Fehler sei inzwischen behoben. Sensible Informationen wie Passwörter oder Zahlungsdaten seien nicht betroffen gewesen. Bis auf den Chaos Computer Club (CCC), der Cariad auf den Fehler am 26. November aufmerksam gemacht hatte, habe niemand auf die Daten zugegriffen, heißt es in einem Statement.
Betroffen seien ausschließlich Daten von Fahrzeugen gewesen, die für Online-Dienste registriert waren und über eine Online-Konnektivität verfügten. Dabei ging es nach Unternehmensangaben um Daten zum Ladeverhalten und Ladegewohnheiten. Sie würden erhoben, um Batterie- und Ladesoftware zu optimieren.
VW: Keine Rückschlüsse auf einzelne Personen
Um an die Daten zu gelangen, habe der Chaos Computer Club erheblichen Aufwand betreiben müssen, erklärte Volkswagen: "Der Zugriff auf die Daten erfolgte in einem sehr komplexen, mehrstufigen Verfahren." Gleichzeitig versuchte der Konzern zu beschwichtigen: Der CCC habe lediglich auf pseudonymisierte Fahrzeugdaten zugreifen können, die keine Rückschlüsse auf einzelne Personen zuließen.
Nur durch die Umgehung mehrerer Sicherheitsmechanismen, die ein hohes Maß an Fachwissen und einen erheblichen Zeitaufwand erforderten, sowie durch die Kombination verschiedener Datensätze sei es dem CCC möglich gewesen, Rückschlüsse auf einzelne Kundendaten von bestimmten Nutzern zu ziehen.
Davon berichtet der CCC in seiner Pressemitteilung: Man habe die Fahrzeuge von Vorständen und Aufsichtsratsmitgliedern von DAX-Konzernen sowie von diversen Polizeibehörden in Europa identifizieren zu können. So seien beispielsweise Bewegungsdaten von 35 elektrischen Streifenwagen der Hamburger Polizei erfasst und auf der VW-Plattform für Dritte einsehbar gewesen.
Volkswagen betonte außerdem, der CCC habe zu keinem Zeitpunkt Zugriff auf Fahrzeuge gehabt. "Die abschließende Analyse des Vorfalls ist noch nicht abgeschlossen und erfordert aufgrund ihrer Komplexität weiteren Aufwand.", so Volkswagen. Nach Abschluss dieser Analyse werde man gegebenenfalls über weitere Schritte entscheiden.
Dass moderne Autos riesige Datenmengen sammeln und speichern, ist seit Jahren bekannt. Denn aktuelle Autos sind vernetzte Autos. Die Digitalisierung macht Autos zu Datenzentren, die nahezu alles verarbeiten, was gerade geschieht. Der ADAC ließ bereits 2016 vier Fahrzeugmodelle beispielhaft von den externen Experten Stefan Nürnberger (CISPA/DFKI) und Dieter Spaar untersuchen. Ihr Fazit: Bei den vier Beispielautos werden ständig Daten erfasst, die Rückschlüsse auf das Nutzungsprofil, die Intensität der Nutzung, die Anzahl der Fahrer oder sogar den Fahrstil erlauben. Gespeichert wurden zum Beispiel gefahrene Strecken, GPS-Daten, Gurtstraffungen oder die Betriebsstunden der Fahrzeugbeleuchtung.
mit Material von dpa