Autos in der Cloud: Vorsicht vor ungebetenen Beifahrern
Fahrzeug-Apps mit Cloud-Zugriff versprechen viel Komfort. Dumm nur, wenn bei einem Gebrauchtwagen der Vorbesitzer den Zugriff aufs Fahrzeug behält.
Seit geraumer Zeit erreichen uns Hinweise von Lesern, die von Datenlecks in Cloud-Plattformen vernetzter Fahrzeuge berichten. Das Muster ist dabei immer ähnlich: Ein vernetztes Fahrzeug wurde als Neuwagen erworben, freigeschaltet, selbst genutzt und wieder verkauft. Mit dem Verkauf gehen die Kunden davon aus, dass auch die Verbindungen zum Fahrzeug gekappt sind, sobald das Infotainment im Fahrzeug zurückgesetzt wird – doch das ist ein Trugschluss. So kommt es nicht selten vor, dass der technisch weniger interessierte Käufer eines Gebrauchtwagens mit dem Fahrzeug vom Hof fährt, während es noch mit dem Smartphone des Vorbesitzers verknüpft ist.
In unserem Datenschutzschwerpunkt zum vernetzten Auto in c’t 1/22 haben wir diese und andere Beispiele zusammengefasst.
Feste Verbindung
Auch die Kolleginnen und Kollegen vom Bayerischen Rundfunk wollten die Probe aufs Exempel machen. Das Resultat ist ein Beitrag für das Politmagazin Kontrovers, der am 09.03.22 um 21:15 ausgestrahlt wird und ab sofort auf YouTube abrufbar ist. Erzählt wird die Geschichte eines gebrauchten Audi A3 Sportback e-tron Plug-in-Hybrid und eines ehemaligen c’t-Testfahrzeugs, dem vollelektrischen Mazda MX-30.
Ende 2020 hatte uns Hersteller Mazda den Mazda MX-30 für einen Test in c't zur Verfügung gestellt. Wie üblich stehen bei c’t die Punkte Konnektivität / Smartphone ganz oben auf der Liste, sodass auch eine Verknüpfung mit der My-Mazda-App erfolgte. Auch über ein Jahr nach Abschluss des zweiwöchigen Tests war das Fahrzeug für uns per App ortbar. Die Fernbedienungsfunktionen erlaubten es, das Fahrzeug per Smartphone zu verriegeln oder den lokal am Fahrzeug angestoßenen Ladevorgang zu unterbrechen. Auch beim im BR-Beitrag erwähnten Audi konnte der Vorbesitzer nach Abgabe und Weiterverkauf des Fahrzeugs durch einen Händler auf die Positionsdaten des Autos zugreifen.
BR-Fotos Kontrovers (7 Bilder)
Keine echte Datensparsamkeit
Die Vernetzung von Fahrzeugen ist kein neues Phänomen, spätestens mit der Einführung des verpflichtenden E-Calls sind die Hersteller gezwungen, neue Autos mit einem Modem nebst eingebetteter SIM-Karte auszustatten. Ist der Mobilfunkvertrag an Bord, lassen sich dank der Verbindung zur Cloud allerhand für den Verbraucher durchaus nützliche Komfortfunktionen umsetzen: Vorklimatisierung, nachträgliches Verriegeln mit dem Smartphone, Zugriff auf Fensterheber, Positionsangaben zum Auffinden des Fahrzeugs, Eingriffe in das Ladeverhalten oder auch ein komplettes Fahrtenbuch für den dienstlichen Gebrauch.
Hat man nicht explizit eine Fahrtenbuch-Option gebucht, geben heutige Fahrzeuge ihre Position “nur” bekannt, nachdem sie abgestellt wurden. Das dient der Datensparsamkeit, allerdings lässt sich auch aus den eigentlich anonymen, akkumulierten Abstellpositionen schnell ein recht detailliertes Nutzerprofil ableiten. Häufig genutzte Abstellorte geben Hinweise auf Arbeitsstelle, Privatadresse, Hobby und so weiter.
Im Falle des Audi A3 gelang es dem Kontrovers-Team zusammen mit dem Erstbesitzer, das längst verkaufte Fahrzeug zu orten und den neuen Eigentümer auf das Datenleck hinzuweisen. Dieser war vom unsichtbaren Beifahrer sichtlich überrascht: „Dass man das so sehen kann, wo wir hingefahren sind. Das ist schon schockierend.” Alt- und Neubesitzer kamen sich im anschließenden Telefonat immerhin näher. Auch eine Art, neue Leute kennenzulernen.
Auf der Suche nach Mr. MX
Mit derselben Scotland-Yard-Methode versuchte c’t in Kooperation mit dem BR, auch die Neueigentümer des ehemaligen Testwagens Mazda MX-30 über die Ortbarkeit des Fahrzeugs in Kenntnis zu setzen. Nach einem Interviewtermin und der Vorbesprechung in Hannover ließ sich auch unser Mazda in einer nächtlichen Suchaktion in einem Wohngebiet in Düsseldorf aufspüren. Ein Ferneingriff aus Hannover über die App zog die Zentralverriegelung an – unser Fahrzeug.
Mazda Screenshots (8 Bilder)
Mr. X tauchte an diesem Abend allerdings nicht mehr auf und stand am nächsten Morgen früher auf als das Fernsehteam. Das Fahrzeug war wieder unterwegs, das Kontrovers-Team trat die Heimreise an. Abgestellt wurde der Mazda wenig später auf dem Parkplatz der Mazda-Zentrale. Offensichtlich war das ehemalige Testfahrzeug immer noch im Besitz des Herstellers oder eines Mitarbeiters.
In einer Stellungnahme gegenüber dem BR weist Mazda auf den Verstoß gegen die AGBs des Remote-Dienstes hin. Bei einem Halterwechsel ist der Erstbesitzer demnach verpflichtet, sich von allen Diensten abzumelden. Mit dem Verweis auf die AGBs steht Mazda nicht alleine da, in der Branche sieht man bezüglich der Connected-Funktionen meist den Fahrzeughalter in der Pflicht, der sich an- aber eben auch abmelden soll. Mazda sieht als zusätzliche Sicherheitsebene immerhin eine Abmeldung durch den Mazda-Service vor. Diese soll erfolgen, sobald der Hersteller von einem Halterwechsel Kenntnis erlangt.
Prinzip Hoffnung
Genau hier liegt das Problem, denn im Verlauf eines Fahrzeuglebens von 10 bis 15 Jahren tauchen Autos immer seltener in den Markenwerkstätten der Hersteller auf. Die Abmeldung durch den Hersteller kann also längst nicht bei allen Fahrzeugen erfolgen. Ist die Garantie einmal erloschen, wenden sich Gebrauchtwagenkäufer oft freien Werkstätten zu.
Damit die persönlichen Daten eines Gebrauchtwagenkäufers geschützt sind, müsste er sich nach der Logik der Hersteller auf die Vertragstreue des Vorbesitzers verlassen. Hat dieser nach drei Jahren nicht mehr präsent, welche Verpflichtungen er durch das Wegklicken von AGBs im Fahrzeug eingegangen ist, bleibt er als digitaler Beifahrer im Auto sitzen und der Gebrauchtwagenkäufer hat das Nachsehen.
Für Käufer von gebrauchten Fahrzeugen gilt die dringende Empfehlung: Machen Sie sich mit den vernetzten Services ihres Fahrzeugs vertraut und reklamieren Sie den Zugriff. Diese Empfehlung gilt unabhängig davon, ob die aktivierten Dienste später genutzt werden oder nur von geringem Interesse sind. So gilt im Falle des beschriebenen Mazdas das Prinzip “Rauswurfs bei Neuanmeldung”. Hätte jemand das Infotainment-System des Fahrzeugs mit einem neuen Mazda-Account verknüpft, hätte dies die alten Bande nach Angaben des Herstellers automatisch gelöst.
Hersteller mĂĽssen liefern
An die Hersteller geht die Aufforderung, künftige Systeme vor solchen Lecks zu schützen. Einfache Abhilfe würde schon eine sporadische Überprüfung der Verknüpfung von Fahrzeug und Smartphone bieten: Fahrzeug oder App könnten halbjährig einen Code generieren, den man an der jeweiligen Gegenstelle eingeben muss. So ließe sich überprüfen, ob eine Person gleichzeitig Zugriff auf das Fahrzeug und die damit verknüpfte App hat. Hat sie das nicht, könnte die Verbindung nach Ablauf einer Frist automatisch gekappt werden.
Darüber hinaus sollten die Fahrzeuge, wie bei ähnlichen Smartphone-Diensten üblich, deutlich signalisieren, dass sie von externer Stelle geortet werden. Ein entsprechender Hinweis im Infotainment-Display, “Ihr Fahrzeug wurde per App lokalisiert”, dürfte auch für technisch weniger interessierte Fahrzeughalter Anlass genug sein, dem Sachverhalt auf den Grund zu gehen. Im Falle des BR-Beitrages hätten die Personen im Fahrzeug zumindest bemerkt, dass sie gerade Teil einer Schnitzeljagd nach dem Scotland-Yard-Prinzip sind. (sha)