Kommentar zur VW-Datenpanne: DSGVO, zeig deine Zähne!
Volkswagen hat sich eine Datenschlamperei erster GĂĽte geleistet. Bei der DSGVO-Strafe dafĂĽr sollte es richtig scheppern, findet Philipp Steevens.
(Bild: skovalsky/Shutterstock.com/heise online)
Auf dem 38. Chaos Communication Congress haben die Sicherheitsforscher des CCC die womöglich größte bis dato gefundene Datenschlamperei bekannt gemacht. Über eine Subdomain-Abfrage der Website von Cariad, IT-Dienstleister der Volkswagen-Gruppe, war ein API-Endpunkt zu finden, auf dem sich ein frei zugänglicher Daten-Dump befand.
Darin der Hauptgewinn: Zugangsdaten zu AWS. Obendrauf kamen noch Client-IDs und die dazugehörigen Secrets zum Identitätsdienst der Volkswagen-Gruppe. Damit ließen sich dann 15 Millionen Datenpunkte zu Fahrzeugen, über 600.000 Daten zu VW-Kunden, teils inklusive E-Mail, Geburtsdatum und Anschrift, auslesen. Und noch dazu: 9,5 TByte Ereignisdaten, darin enthalten Geokoordinaten – im Fall von Seat und VW bis auf die sechste Nachkommastelle, also 10 Zentimeter genau.
Bordellbesuche rekonstruierbar
Zwar reagierten die ITler bei Cariad laut CCC nach Bekanntwerden professionell, doch gegenüber dem Spiegel beginnt bei Volkswagen schon wieder das peinliche Rauswinden: "Für die Kunden bestehe 'keinerlei Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen sind.'" Hier schickt VW einen Strohmann vor, denn die gefundenen Informationen sind deutlich sensibler als Login-Daten und Kreditkartennummern.
Was Datenjournalist Michael Kreil anhand dieser Daten beim 38C3 vorführte, kann man eigentlich nur als erschreckend bis katastrophal bezeichnen: Mit den Geodaten von knapp 470.000 Fahrzeugen konnte der CCC Tages- und Wochenabläufe rekonstruieren, die Identitäten von Kindern der VW-Fahrer aufdecken und auch pikante Details wie Bordellbesuche nachvollziehen – auch wenn Leute ein VW-Taxi nahmen, denn das muss schließlich irgendwo losfahren. Neben dem Fahrverhalten von Polizisten ließen sich dann auch die Identitäten von Geheimdienstmitarbeitern aus den Daten rekonstruieren. Bitte WAS?
Datensparsamkeit ist nicht nur Zier
Dieser Vorfall ist ein Musterbeispiel, warum Datensparsamkeit eben auch im Interesse der sammelnden Unternehmen sein sollte, die den Rachen nicht voll genug von den Daten ihrer Kunden bekommen. Will VW seine Batterien verbessern, braucht der Konzern dafür Ladestände und zurückgelegte Strecke. Nicht auch noch die Fahrzeugkoordinaten und die genauen Uhrzeiten des Ladens. Auch für das Wiederfinden eines abgestellten Pkw würde ein per App angestoßenes einmaliges Signal reichen, das die Anwendung nach kurzer Zeit wieder vergisst.
Es braucht keine ganzheitliche Erfassung und Speicherung dieser Daten. Dabei ist der niedersächsische Autobauer nicht der einzige Übeltäter: Bereits 2023 monierte die Mozilla Foundation das Datensammelverhalten von 25 verschiedenen Autoherstellern. Jetzt müssen Konsequenzen folgen.
Das wird hoffentlich teuer
Michael Kreil hebt im Vortrag beim 38C3 besonders den Verstoß gegen Artikel 9 DSGVO hervor: Daten dürfen nicht verarbeitet werden, wenn sie politische Meinung, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit oder Daten zum Sexualleben oder der sexuellen Orientierung eines Menschen enthalten. All diese Informationen stecken in den auf 10 Zentimeter genauen Geokoordinaten von VW und Seat. Selbst wenn Cariad und VW die Daten nach eigener Aussage nie zusammengeführt haben, kann von einer Sicherheit bei der Verarbeitung keine Rede sein. Der Grund: Mangelnde Pseudonymisierung oder Verschlüsselung der Daten, die Artikel 32 der DSGVO an dieser Stelle fordert.
Durch diese gewaltige Fahrlässigkeit qualifiziert sich die wirtschaftlich angeschlagene VW-Gruppe für eine empfindlich hohe Geldbuße. Jetzt kann und muss die DSGVO endlich einmal ihre Zähne zeigen und beweisen, dass sie keine Papierverschwendung zur Gängelei kleiner Unternehmen ist, die sich Compliance nicht leisten können oder wollen. Es muss das angebliche Vorzeigeunternehmen krachend treffen und dann am besten mit Schwung einmal durch die ganze Branche fegen. Denn der Verstoß gegen Artikel 9 DSGVO kann vier Prozent des Vorjahresumsatzes kosten. Den schätzt die VW-Gruppe für 2024 auf 320 Milliarden Euro.
Die hoffentlich fälligen 12,8 Milliarden Euro ließen sich sicherlich gut in dringende Problemgebiete wie die Bildung investieren. Da könnten Kinder, Jugendliche und Auszubildende an ihren Schulen beispielsweise direkt lernen, wie man nicht mit Daten umgehen sollte – aber auch, wie man sich seiner Neugier und einfacher Hilfsmittel bedient, um große Konzerne auf die Schnauze fallen zu lassen.
Dieser Kommentar ist das Editorial der iX 2/2025, die am 24. Januar 2025 erscheint.
(pst)
