27.12.2024
Die Informationen von 800.000 E-Autos landeten ungeschützt im Internet. Auch Österreichische Fahrzeuge sind betroffen.
Wegen eines enormen Datenlecks bei Volkswagen sollen Informationen von 800.000 Elektroautos im Netz gelandet sein. Einem Bericht zufolge sind die Marken VW, Audi, Seat und Skoda betroffen.
Wie Der Spiegel berichtet, werden über die Smartphone-App für die Fahrzeugsteuerung Daten gesammelt und an den Hersteller übertragen.
Daten monatelang offen zugänglich in Amazon-Cloud
Darunter befanden sich auch GPS-Daten, die den genauen Standort des Fahrzeugs übermittelten.
Dabei lagen die sensiblen Daten monatelang offen zugänglich auf einem Amazon-Cloudspeicher. Grund dafür soll ein Fehler der Volkswagen-Softwaretochter Cariad gewesen sein.
Die Daten stammten hauptsächlich von 2024, teilweise reichten sie länger zurück.
Über die zugehörige App lässt sich z.B. die Heizung regeln und der Batteriestand ablesen
Mit den Daten konnte man Bewegungsprofile der Besitzer erstellen. Sie zeigten, wo die Personen sich wann und wie lange aufhielten – ob Zuhause, am Arbeitsplatz, beim Bäcker, Sportverein und anderswo.
Ein Hinweis einer anonymen Quelle ging an den Spiegel und den „Chaos Computer Club„, der das Datenleck an Cariad meldete. Innerhalb weniger Stunden sei das Datenleck behoben worden.
20.000 E-Autos aus Österreich betroffen
Im Bericht „Wir wissen, wo dein Auto steht“ des CCC heißt es, dass neben Infos über Privatpersonen auch Datensätze aus dem Parkhaus des deutschen Bundesnachrichtendienstes (BND) und verschiedener europäischer Polizeibehörden, darunter 35 Streifenwagen der Hamburger Polizei, einsehbar waren.
Laut Spiegel sind 20.000 Fahrzeuge in Österreich betroffen.
Auch der ID.3 ist vom Datenleck betroffen
Anhand der Daten hätten Kriminelle und Spione die Bewegungsprofile einzelner Personen ableiten können. Sie würden laut Spiegel etwa Aufschluss geben, wer zu welcher Uhrzeit vor dem BND-Gebäude oder Militärstützpunkten parkte. Auch Phishing-Versuche, Erpressung und Stalking würden mit den Daten möglich. Komplexe Hacker-Werkzeuge seien dafür nicht nötig gewesen, lediglich „systematisches Raten“, so der Spiegel.
Keine Handlungsbedarf bei Fahrzeughaltern
Cariad teilte dem Spiegel mit, man habe bisher „keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte“. Für die Kundinnen und Kunden bestehe kein Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen seien. Die Analyse des Vorfalls sei aber noch nicht abgeschlossen.
Die Daten würden innerhalb des Konzerns niemals so zusammengeführt, dass ein Rückschluss auf einzelne Personen möglich sei oder Bewegungsprofile erstellt werden könnten. Volkswagen nutzt die Daten nach Angaben von Cariad dazu, um Batterien und die dazugehörige Software zu verbessern. Das Unternehmen spricht nicht von einer Sicherheitslücke, sondern einer „Fehlkonfiguration„, die nur mit einem hohen Maß an Fachwissen Zugang zu den Daten ermöglicht hätte.