85 Neulich, auf einem Parkplatz irgendwo in Deutschland, hat ein VW-Besitzer nichtsahnend sein Elektroauto abgestellt und ist in den Supermarkt gegangen. Eigentlich kein bemerkenswerter Vorgang – bis man erfährt, dass ebendieser Wagen brav jede Koordinate nach Wolfsburg gefunkt hat. Dieses Fahrzeug und Hunderttausende andere betriebssame E-Autos erzählen der Volkswagen-Konzernfamilie (Volkswagen, Audi, Škoda, Seat) ziemlich genau, wo sie stehen, wann sie hingefahren sind, wie lange sie dort geblieben sind und wie voll ihre Batterie gerade ist.Klingt gruselig? Ist es auch. Noch gruseliger wird es, wenn diese Daten dank fehlender IT-Sicherheit öffentlich einsehbar sind. Und genau das ist passiert: Datenleck VW – wir wissen, wo dein Auto steht. Plötzlich ist man nicht mehr nur Autobesitzer, sondern unfreiwilliger Star in einem ziemlich schlechten Datenschutz-Thriller.Auf fast tragikomische Weise zeigt uns der Fall: Der Volkswagen-Konzern hat wohl doch keinen so hochmodernen Panzer an Cybersicherheit, wie man es von einem der größten Autokonzerne der Welt erwarten würde. Stattdessen wurde eine Art Scheunentor offengelassen, durch das Hackerinnen und Hacker lustig spazieren konnten, um sich Millionen von Datensätzen zu sichern – darunter hochpräzise Geo-Informationen, persönliche Daten und noch viel mehr. Was ist eigentlich passiert? Das Datenleck in Kurzform Wenn du jetzt glaubst, hier würde nur eine E-Mail-Adresse im Netz kursieren – weit gefehlt. Dieses Datenleck beim Volkswagen-Konzern hatte weitreichende Folgen:Backend ungeschützt zugänglich: In einer Art digitalem Schatzsucher-Modus fanden IT-Sicherheitsexperten oder Hackerinnen mittels einfacher Subdomain-Scans ein VAG-Backend. Mit ein bisschen Directory Enumeration (z. B. Gobuster) entdeckten sie einen frei zugänglichen Actuator-Endpunkt des Spring-Frameworks.Actuator-Heapdump mit Geheimnissen: Die größte Panne war wohl, dass der Actuator-Endpunkt nicht abgesichert war. Ein Heapdump (also eine Speicherauszug-Datei) lag offen herum. Darin tummelten sich AWS-Zugangsdaten (BasicAWSCredentials) und OAuth-Keys (CLIENT_ID, CLIENT_SECRET).Vollzugriff auf Nutzerkonten: Mit diesen Schlüsseln war es möglich, sich JSON-Web-Tokens für beliebige User-IDs zu generieren. Und damit war der Weg frei: Personenbezogene Daten, Fahrzeugdaten, Standortdaten und mehr.Gesammelte Werke: Millionen Datensätze15 Mio. Enrollment-Daten (Fahrgestellnummern, Modell, Baujahr, Land, Nutzer-IDs)600.000 User-Datensätze (Name, E-Mail, z. T. Geburtsdaten, Mobilnummer, Adresse)9,5 TB Event-Daten (u. a. exakte Geokoordinaten, Zeitpunkte des Ein- und Ausschaltens des Motors etc.)Standortdaten en masse: Betroffen waren laut Recherchen rund 800.000 E-Autos, bei denen man zentimetergenaue GPS-Informationen abgreifen konnte (z. B. VW, Seat). Bei Audi und Škoda waren die Daten „gemäßigter“ – nämlich auf 10 km genau.Warum das dennoch übel ist? Weil 10 km Ungenauigkeit immer noch reicht, um herauszufinden, in welcher Region man sich aufhält. Und wenn man zusätzlich andere Infos hat – z. B. wann eine Person 8 Stunden lang an Ort X stand – lassen sich Bewegungsprofile rekonstruieren.Am Ende konnte man herauslesen, wer wann beim BND herumparkte, wer regelmäßig bei einer Kaserne oder vielleicht vor einem Bordell hielt. Nicht gerade der Stoff, aus dem vertrauensvolle Beziehungen zwischen Kunde und Hersteller gemacht sind. eCall: Wenn aus einer eigentlich guten Idee ein Datenschatz wird Das Ganze ist nicht erst seit gestern ein Problem. Seit 2018 schreibt die EU vor, dass jedes neu zugelassene Automodell mit eCall ausgestattet sein muss, einem automatischen Notrufsystem, das bei Unfällen die Rettungsleitstelle verständigt. Genial, oder? Beim Crash wählt das Auto die 112, Rettungskräfte kommen schneller – Leben können gerettet werden.Die Schattenseite: Mit dem Einbau von eCall ist so ziemlich jedes neue Auto auch immer online – ob gewollt oder nicht. Und wenn ein Fahrzeug online ist, dann können automatisch Daten übertragen werden: GPS-Positionen, Zustandsdaten, Crashinformationen, und mit ein paar netten Zusatzdiensten (z. B. Over-the-Air-Updates, Pay-as-you-drive-Versicherungen) noch vieles mehr.Wikipedia zu eCall warnt selbst vor diesen Nebenwirkungen: „Das eCall-System könnte die Grundlage für eine Überwachungsinfrastruktur sein.“ Keine böse Verschwörungstheorie, sondern ein durchaus realer Umstand. Man stelle sich vor, man sitzt in seinem brandneuen E-Auto und hat gar keine Ahnung, dass alles Mögliche an Daten ununterbrochen zum Hersteller funkt. Und wenn dann ein solcher Hersteller wie Volkswagen den digitalen Handwerkerkeller offen lässt, kann plötzlich der halbe Planet sehen, wo du wohnst und wo dein Auto parkt. Der Modulare E-Antriebs-Baukasten (MEB): Hightech trifft Offline-Sicherheit? Der VW-Konzern will mit dem Modularen E-Antriebs-Baukasten (MEB) zum großen Player in der Elektromobilität werden. Er verspricht: flexible Fertigung, zukunftsweisende Antriebskonzepte, einheitliche Softwarearchitektur, einfache Skalierung. Man könnte sagen: Der MEB ist VWs Antwort auf Teslas Skateboard-Design.Klingt super, oder? Ein Elektroauto, bei dem Motor(en), Akku, Software und sämtliche Sensorik schick in einer standardisierten Plattform vereint sind. Beim ID.3, ID.4, ID.5 und all den Konzern-Derivaten (Audi Q4 e-tron, Škoda Enyaq etc.) sieht das alles top aus.Aber was nützt das beste Auto, wenn die IT-Sicherheit so marode ist, dass Hacker mit ein paar Klicks an 9,5 TB hochsensibler Daten kommen? Offensichtlich hat man den MEB zwar fürs Fahren ordentlich entwickelt, aber beim Thema sichere Backends und Datenschutz war man wohl weniger gründlich. Oder man hat komplett vergessen, dass digitaler Diebstahl mindestens so schlimm ist wie klassischer Diebstahl. VW und die Kunst, einfache Sicherheitslücken zu übersehen Man könnte fast witzeln, dass VW fleißig Diesel-Abgase manipuliert hat und dabei vergaß, dass ein schlichtes “/actuator/heapdump” in einer Spring-Anwendung ein Scheunentor sein kann. Klar, das sind ganz andere Baustellen. Aber vom Image her passt es in dieselbe Schublade: „Ups, schon wieder was Peinliches bei VW entdeckt.“Der Chaos Computer Club (CCC) und andere White-Hat-Hacker sind die Guten in diesem Spiel. Sie melden solche Sicherheitslücken, damit Unternehmen nicht in den Fettnapf treten – oder wenigstens nicht so tief. Und was passierte? VW alias Cariad reagierte zwar fix, aber offenbar erst, nachdem ihnen der CCC auf die Füße trat.Tatsächlich gab es laut Recherchen sogar eine Responsible-Disclosure-Anfrage, bei der der Konzern nachweislich eines der kompromittierten Passwörter nicht deaktivierte. Motto: „Ach, so schlimm wird’s schon nicht sein.“ Das zeigt, dass VW noch einen langen Weg vor sich hat, wenn es darum geht, IT-Sicherheit ernst zu nehmen. Warum dieser Leak so gefährlich ist Hast du etwas zu verbergen? Die beliebte rhetorische Frage, die jeder Datenschützer hasst. „Ich hab doch nix zu verbergen“ – naja, aber willst du wirklich, dass jeder, der ein Hacker-Tool bedienen kann, weiß, wann du vor dem Bordell geparkt hast oder welche Klinik du regelmäßig besuchst?Daten wie Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse reichen Kriminellen bereits für üble Betrugsmaschen oder Identitätsdiebstahl. Jetzt pack noch dein Bewegungsprofil dazu. Plötzlich weiß irgendwer, dass du jeden Mittwoch von 17–19 Uhr in der Kletterhalle bist – was, wenn dein Haus dann unbewacht ist?Noch brisanter wird es bei Agenten, Polizisten, Politikerinnen und anderen Personen, die einen Geheimhaltungsbedarf haben. Wer beim Militär oder Nachrichtendienst arbeitet und täglich mit dem ID.3 vorm Stützpunkt oder Verfassungsschutzbüro steht, wird quasi enttarnt. Das macht Spionen das Leben leicht und kann im schlimmsten Fall Menschenleben gefährden. Seien wir ehrlich: Der Kunde wird zum Produkt In Zeiten, in denen wir Unsummen für Elektroautos hinblättern, ist es schon bitter, wenn man erfährt, dass man selbst das Produkt ist. eCall, MEB, Telematik – alles mag in gewisser Weise nützlich sein. Aber aus Herstellersicht bedeuten Daten Geld. Und wenn man sich die entsprechenden AGBs durchliest, steht häufig so etwas wie: „Wir sammeln anonymisiert, pseudonymisiert, for research purposes…“Der Fall VW zeigt jedoch, dass Anonymisierung in der Praxis gerne mal halbgar ist. Wenn du den exakten Standort plus Zeitstempel hast und den User-Datensatz, ist Pseudonymisierung schnell passé. Und schon wird aus „anonymen“ Fahrdaten ein Namen-und-Adresse-Paket, das sich mühelos zuordnen lässt.„Pay as you drive“ ist übrigens nur der Anfang. Wie wäre es mit „Pay how you brake“, „Pay where you park“ oder „Pay when you accelerate“? Possibilities are endless. Die eCall-Verordnung schiebt zwar einige Regelungen vor, aber die Autohersteller haben eben viele Tricks, Daten über separate Kanäle einzusammeln. Ein Blick in die Zukunft: Noch mehr vernetzte Autos, noch mehr Skandale? Über kurz oder lang werden fast alle neuen Autos online sein: Over-the-Air-Updates, Echtzeit-Stauinfos, Fernwartung, vernetzte Car-Entertainment-Systeme, autonomes Fahren. Das klingt alles superspannend, aber wie lange dauert es, bis wir das nächste Schlagzeilen-Meldung haben: „Datenleck bei BMW“, „Datenleck bei Tesla“ oder eben erneut „Datenleck VW“?Auf der Herstellerseite müssen dringend Veränderungen her. Wir brauchen:Privacy by Design: Dass Softwarekomponenten grundsätzlich so designt werden, dass Daten minimal und nur verschlüsselt gespeichert werden – und Zugänge nicht als Klartext im Heapdump liegen.Fundierte IT-Sicherheit: Actuator-Endpunkte dürfen nicht aus Versehen offen sein. Firmen wie VW müssen lernen, dass IT-Security kein Add-on ist, sondern Kernbestandteil moderner Fahrzeugsysteme.Rechtliche Klarheit: Wer besitzt eigentlich die Telemetriedaten? Sind das wirklich nur Eigentümer oder eben doch primär die Hersteller? Die EU hat mit dem Data Act erste Weichen gestellt, aber Umsetzung und Kontrolle sind unklar.Offene Schnittstellen, aber sicher: Freie Werkstätten oder Dienstleister sollen Zugriff haben (im Sinne von Wettbewerbsfreiheit), aber eben nur autorisiert, nicht jedermann. Bisschen Humor zum Schluss: VWs nächste Werbekampagne? Man stelle sich eine ironische Werbekampagne vor: „VW – wir fahren nicht nur, wir spionieren! Bei uns gibt es den Datendurchfluss gratis on top. Wussten Sie, dass wir wissen, wo Sie wohnen? Kein Problem: Wir sagen es Ihnen gerne, falls Sie’s vergessen haben!“Ja, gut, ganz so wird VW das natürlich nicht vermarkten. Aber nach diesem Leak ist die Reputation schwer angeschlagen. Vielleicht sieht man in Wolfsburg demnächst Schilder: „Software-Entwickler gesucht! Erfahrung mit Passwort-Management von Vorteil.“Oder, noch besser: Die nächste Modellreihe nennt sich ID.404 – in Anspielung auf den berühmten „404 Not Found“-Fehler. Falls man die Daten nicht mehr finden möchte, wenn der Actuator offen herumliegt. Fazit: Ein (wenig) Lachen über ein ernstes Problem Fazit: Ein (wenig) Lachen über ein ernstes ProblemDass das Datenleck beim Volkswagen-Konzern weitreichend ist, bleibt unbestritten. Es ist ein Paradebeispiel dafür, wie moderne Autos durch eCall und MEB zu fahrenden Datensammlern mutieren – und wie schnell sich das Ganze in einen massiven Datenschutzskandal verwandeln kann, wenn grundlegende Sicherheitsprinzipien ignoriert werden.Volkswagen (bzw. Cariad) hat sich hier wahrlich nicht mit Ruhm bekleckert.Der Kunde bleibt verwundert zurück und fragt sich: „Wer besitzt eigentlich meine Daten?“eCall sollte Leben retten, anstatt Bewegungsprofile auszuspähen.Der MEB und andere Plattformen sind technologisch spannend, aber bitte nicht auf Kosten von Privatsphäre und Sicherheit.Am Ende muss jeder für sich entscheiden, ob er ein vernetztes Auto will oder lieber oldschool unterwegs ist. Doch selbst beim Gebrauchtwagenkauf kann man kaum verhindern, dass ein potenzieller „connected“ Modem-Modul drinsteckt. Die Branche sagt uns: „Vernetzung ist die Zukunft.“Unser Appell an Volkswagen & Co.: Statt PR-Blabla über „Fehlkonfigurationen“ braucht es echte Selbstkritik. Bitte weniger Zeit damit verbringen, blinkende Werbespots für eCar-Öko-Image zu produzieren, und mehr Zeit in eine sichere IT-Infrastruktur investieren. Denn hey, wir reden hier nicht nur von ein paar IP-Adressen, sondern von Hunderttausenden realen Menschen, die nicht Opfer irgendeines peinlichen Datenlecks werden möchten.Schlusswort:VW, Audi, Škoda, Seat – die nächste Generation digitaler Autos kann großartig sein. Aber wenn wir enden wie ein offenes Adressbuch für die ganze Welt, dann gute Nacht. Also, lieber Volkswagen-Konzern: Sattelt eure Sicherheits-Pferde, fixiert die Actuator-Lecks und hört endlich auf, jeden Fehler erst nach dem gefühlten Weltuntergang zu bemerken. Wir wollen weiter Auto fahren – ohne dabei das Gefühl zu haben, dass jeder Internetbrowser im Hintergrund unsere heimischen Parkplätze in Realtime trackt.In diesem Sinne: Wir wissen, wo dein Auto steht? Nein, danke! Lieber gemeinsam dafür sorgen, dass wir sicher und privat unterwegs sind. Denn am Ende gibt’s nur eine wirklich souveräne Lösung: Privacy by Design – oder es klopft bald wieder der Chaos Computer Club an und sagt: „Jungs, euer Heapdump ist offen. Alles easy?“ DatenDatenschutzNachrichtenNetzpolitikSicherheitVW Vorheriger Beitrag Frohe Weihnachten 2024 – trotz aller Sorgen und Ereignisse Nächster Beitrag Wenn du nicht Kunde bist, bist du das Produkt: Wie ein kostenloses VPN Zugang zu deinem Heimnetzwerk verkauft You may also like Gespräch des Jahres: Alice Weidel mit Elon Musk Januar 8, 2025 PayPal vor Gericht: Influencer erheben Betrugsvorwürfe wegen Honey-Coupon-Tool Januar 8, 2025 Mark Zuckerberg ändert Meta-Kurs: Correctiv und andere Faktenchecker unter Druck Januar 8, 2025 Wenn du nicht Kunde bist, bist du das Produkt: Wie ein kostenloses... Dezember 30, 2024 Baerbock-Beleidigung: Rentner zahlt 800 Euro Strafe – Prominente Abgeordnete und Anwälte testen... Dezember 20, 2024 Wie Telepolis seine Vergangenheit löscht: Ein Lehrstück über Cancel Culture im Medienbetrieb Dezember 19, 2024 Hinterlasse einen Kommentar Cancel Reply Save my name, email, and website in this browser for the next time I comment.
