38C3: Terabyte an Bewegungsdaten von VW-Elektroautos in der Cloud gefunden

Ein Tochterunternehmen des Volkswagen-Konzerns hat teils extrem detaillierte Bewegungsdaten von 800.000 Elektroautos so in der Amazon-Cloud abgelegt, dass Nachrichtendienste, Konkurrenten, Kriminelle oder "gelangweilte Teenager" ohne große Schwierigkeiten darauf hätten zugreifen können. Das berichtet Der Spiegel unter Berufung auf eine Recherche in Zusammenarbeit mit dem Chaos Computer Club (CCC). Entdeckt hat die Daten demnach ein anonymer Hinweisgeber, überprüft wurden sie demnach unter anderem anhand der Daten einer niedersächsischen Landtagsabgeordneten und eines Bundestagsabgeordneten.

Daten zu Fahrzeugen mehrerer VW-Marken

Gesammelt wurden die Daten demnach von der VW-Tochter Cariad, die für die Softwareentwicklung des Autokonzerns zuständig ist. Wegen einer "Fehlkonfiguration" seien die Daten nicht ausreichend gesichert worden. Laut dem Spiegel handelt es sich um mehrere Terabyte an Standortdaten von Fahrzeugen der Marken VW, Seat, Audi und Skoda. Gesammelt hatte diese Daten die von der Volkswagen-App, über die verschiedene Informationen zum Zustand der Fahrzeuge abrufen lassen. Zu 460.000 Fahrzeugen seien die entdeckten Daten so präzise, dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zulassen. So seien die Geodaten bei VW- und Seat-Modellen auf zehn Zentimeter genau.

Laut der Recherche konnten die Daten teilweise mit persönlichen Profilen von Fahrzeughaltern und -halterinnen verknüpft werden. Teils hätten die detaillierten Bewegungsdaten gar mit Adressen und Handynummern zusammengeführt werden können. CCC-Sprecher Linus Neumann spricht von einem "riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag". Cariad habe erklärt, dass die Daten gesammelt worden seien, "um Batterien und die dazugehörige Software zu verbessern". Die beschriebene Zusammenführung sei niemals so vorgenommen worden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden".

Verhängnisvolle "Fehlkonfiguration"

Nachdem der CCC auf die zugängliche Datensammlung aufmerksam gemacht worden war, seien unter anderem Cariad und die VW-Konzernzentrale informiert worden. Die Konzerntochter habe binnen weniger Stunden reagiert und gar nicht erst versucht, das Ausmaß des Vorfalls kleinzureden. Mittlerweile sei die Lücke auch gestopft, auf die Daten könnten Unbefugte nicht mehr zugreifen. Bei der "Fehlkonfiguration" handelte es sich dem Bericht zufolge um die Kopie des jeweils aktuellen Speicherauszugs einer Anwendung von Cariad. Darin lagen die Zugangsdaten zum Cloudspeicher bei Amazon, wo sich die Bewegungsdaten befanden.

Mit den Daten hätten Unbefugte beispielsweise ermitteln können, welche Fahrzeuge regelmäßig vor Gebäuden des Geheimdiensts oder des US-Militärs parken und wem die gehören, erklärt der Spiegel noch. Auch hätte man damit herausfinden können, welche Autos etwa regelmäßig vor einem Bordell, einem Gefängnis oder Suchtkliniken halten und damit Erpressungsversuche in die Wege leiten können. Auch für Stalking wären die Daten enorm hilfreich gewesen. Laut Cariad gibt es aber nach aktuellem Kenntnisstand keine Hinweise darauf, dass außer dem CCC Dritte auf die Daten Zugriff hatten. Noch sei die Analyse aber nicht abgeschlossen.

Lesen Sie auch

Mozilla: Autos sammeln Daten zum Einwanderungsstatus und zur sexuellen Aktivität

(mho)