- Ein Datenleck ermöglichte den Zugang zu Standortdaten von etwa 800.000 Elektrofahrzeugen der Marken Volkswagen, Audi, Seat und Skoda. Die öffentlich zugänglichen Daten umfassten Echtzeit-Bewegungen der Fahrzeuge über mehrere Monate. Ursache für die Sicherheitslücke war ein Fehler von VW’s Tochtergesellschaft Cariad. Das Datenleck wurde erst bekannt, nachdem ein Whistleblower es an Der Spiegel und den Chaos Computer Club meldete. Cariad betonte, dass keine sensiblen Informationen wie Passwörter oder Zahlungsdetails betroffen seien.
Ein jüngstes Datenleck hat dazu geführt, dass die Standortdaten von rund 800.000 Elektrofahrzeugen der Marken Volkswagen, Audi, Seat und Skoda über mehrere Monate hinweg online einsehbar waren. Dies berichtete das deutsche Nachrichtenmagazin Der Spiegel. Das globale Ereignis ermöglichte Einblicke in die Echtzeit-Bewegungen der betroffenen Fahrzeuge, egal ob diese sich zu Hause, auf der Straße oder, wie Der Spiegel es ausdrückt, „vor dem Bordell“ parkten.
Datensammlung und Profilbildung
Volkswagen sammelt Daten, darunter GPS-Koordinaten, sobald ein Fahrzeugbesitzer die VW-App eingerichtet hat. Diese ermöglicht es, das Auto vorzuheizen, den Ladezustand der Batterie zu überwachen oder die verbleibende Reichweite zu überprüfen. Laut Der Spiegel lassen sich daraus detaillierte Profile der täglichen Bewegungen von Personen erstellen.
Das wirklich alarmierende Element dieser Geschichte ist jedoch, dass aufgrund eines Fehlers diese Daten öffentlich zugänglich waren. Mehrere Terabyte an Informationen, die mit etwa 800.000 Elektrofahrzeugen verknüpft sind, blieben monatelang auf Amazons Cloud-Speichersystem exponiert. Bevor die Schwachstelle geschlossen wurde, behauptete Der Spiegel, dass es keine signifikante Herausforderung gewesen wäre, für Geheimdienste, Konkurrenzunternehmen, Kriminelle oder auch gelangweilte Jugendliche Zugang zum System zu erlangen. Alles war offen einsehbar, man musste nur wissen, wo man suchen sollte.
Sicherheitslücke und Verantwortung
Der Fehler soll geschehen sein, weil eine VW-Tochtergesellschaft namens Cariad, die eine Software-Plattform für die Elektrofahrzeuge des Konzerns entwickelte, einen Fehler übersehen hatte, der im vergangenen Sommer ins System gelangte. Tatsächlich wurde der Vorfall erst bekannt, nachdem ein Whistleblower Der Spiegel sowie den Chaos Computer Club informierte. Das Nachrichtenmagazin beschreibt mehrere Szenarien, in denen die Informationen in den falschen Händen für finstere Zwecke genutzt werden könnten, wie die Verfolgung von Politikern durch ausländische Geheimdienste oder die Erpressung von Personen, die Orte besuchten, die sie lieber geheim halten möchten.
Auf Nachfrage von Der Spiegel erklärte Cariad, dass man pseudonymisierte Daten über das Ladeverhalten und die Gewohnheiten der Kunden sammle, um die Batterien und die zugehörige Software zu verbessern. Zudem wurde betont, dass Kunden nach der Enthüllung der Datenpanne keine Maßnahmen ergreifen müssen und keine sensiblen Informationen wie Passwörter oder Zahlungsdetails betroffen seien. Besitzer können entscheiden, ob sie VW-Produkte und Dienstleistungen nutzen möchten, die die Verarbeitung persönlicher Daten erfordern, und alle Fahrzeuge mit Online-Funktionen bieten eine Deaktivierungsoption. Volkswagen selbst hat sich öffentlich noch nicht zu dem Vorfall geäußert.
