Datenleck bei Volkswagen

Beim CCC hat man ein wenig am Server der Volkswagen-Softwarefirma Cardiac gebuddelt und ist dabei auf die Bewegungsdaten von 800.000 Elektroautos gestoßen.

Im Spiegel lese und beim Chaos Computer Club sehe ich, dass bei Cariad, der für Software zuständigen Tochterfirma von Volkswagen, Bewegungsdaten von über 800.000 Elektroautos der Marken VW, Seat, Audi und Skoda – 20.000 davon waren in Österreich zugelassen – ohne effektive Hürden im Netz zugänglich waren. Immerhin, nach einem Hinweis des Chaos Computer Club, der den Leak auch gefunden und dokumentiert hatte, wurde die Lücke „zügig, gründlich und verantwortungsbewusst“ repariert, so der Spiegel.

Volkswagen erhält durch die Bewegungsdaten Einblicke in das alltägliche ‒ und insbesondere auch in das nicht alltägliche ‒ Privatleben von Hunderttausenden Fahrzeughalter:innen. Betroffen sind nicht nur Privatpersonen, sondern auch Fuhrparkverwaltungen, Vorstände und Aufsichtsratsmitglieder von DAX-Konzernen sowie diverse Polizeibehörden in Europa. […] Auch sensible Daten zu nachrichtendienstlichen und militärischen Aktivitäten wurden erfasst: So fanden sich unter anderem Datensätze aus dem Parkhaus des Bundesnachrichtendienstes (BND) und vom Militärflugplatz der United States Air Force in Ramstein. […] Die Bewegungsdaten sind verbunden mit weiteren personenbezogenen Daten. Dadurch erlauben sie auch Rückschlüsse auf Zulieferer, Dienstleister, Mitarbeiter:innen oder Tarnorganisationen der Sicherheitsbehörden.

Chaos Computer Club

Darüber, was man mit solchen Daten machen kann, habe ich ohnehin schon häufig geschrieben, und erst kürzlich habe ich einen Beitrag über nicht geschützte Cloudspeicher veröffentlicht. In diesem Fall war der Cloudspeicher zwar geschützt, die dafür nötigen Zugangsdaten aber nicht, wie im Video oben detailliert dargestellt oder in der unten zitierten Passage im Spiegel schön und genügend vereinfacht beschrieben wird.

[Es war] möglich, durch systematisches Raten bestimmte Cariad-Internetseiten […] zu finden, […] die […] auf Dateien führten, [die] brisante Inhalte haben könnten. Einer dieser Pfade führte zur Kopie des jeweils aktuellen Speicherauszugs einer Cariad-internen Anwendung […] Darin lagen […] die Zugangsdaten zu einem Cloudspeicher bei Amazon. Der […] enthielt die Daten der einzelnen Fahrzeuge [und] die Position des Autos beim Ausschalten des Elektromotors. Im Fall von VW-Modellen und Seats waren diese Geodaten auf zehn Zentimeter genau, bei Audis und Skodas auf zehn Kilometer und damit weniger problematisch. […] An anderer Stelle fanden sich weitere Zugangsdaten [die es erlaubten] VWs [interne] Datenbank nach allen registrierten Nutzerinnen und Nutzern […] abzufragen – und mit dem ersten Autodatensatz zu verknüpfen. So ließen sich die detaillierten Bewegungsdaten einzelnen Personen zuordnen, inklusive E-Mail-Adresse und zum Teil auch Anschrift und Handynummer.

SPIEGEL

Autsch! Und immerhin, die Lücke wurde geschlossen. Aber trotzdem bleiben Fragen offen, denen auch der Spiegel in seinem lesenswerten Artikel nachgeht. Darunter so Dinge wie: Erstellt Volkswagen Bewegungsprofile, wo doch die Daten verfügbar sind? Wozu benötigt VW diese Daten überhaupt? Werden die Daten innerhalb des Konzerns zusammengeführt? Und, das muss auch gesagt werden, es ist nicht nur bei Volkswagen zu Datenlecks gekommen. BMW, Mercedes-Benz, KIA, Jeep… sie alle hatten bereits mit Lücken zu kämpfen, die in allen Fällen bislang von Hackern ohne unguten oder gar gefährlichen Absichten gefunden wurden.

Der gleichzeitig amüsante und erschreckende Vortrag „Wir wissen wo dein Auto steht – Volksdaten von Volkswagen“ lohnt sich für all diejenigen, die Spaß und Interesse daran haben, den Hergang, die konkreten Resultate und deren potentielle Auswirkungen, gespickt mit Zitaten zur Sicherheit bei VW, präsentiert zu bekommen. Der Artikel im Spiegel „Wir wissen, wo dein Auto steht“ fasst die ganze Sache samt Aussagen von Betroffenen gut zusammen und lässt die technischen Details so gut als möglich außen vor. In beiden Fällen: Sehens- bzw. lesenswert!

Aber ganz besonders wert ist es, ganz generell mitzuverfolgen, was am 38. Chaos Communication Congress präsentiert wird. Praktisch jeder Vortrag ist eine Herausforderung; nicht etwa in Bezug auf seine Qualität, sondern auf das Erleben darin gezeigter Security-Fails, das Erkennen dort genannter Herausforderungen oder das Infragestellen der eigenen Handlungen aus dort geschildeten Beobachtungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert