Durch eine Sicherheitslücke bei der VW-Software-Tochter Cariad waren über Monate hinweg Bewegungsdaten von rund 800.000 Elektroautos sowie Kontaktinformationen der Besitzer öffentlich zugänglich.
Zu den betroffenen Marken gehören VW, Seat, Audi und Skoda. Besonders brisant: Zu 460.000 Fahrzeugen waren präzise Standortdaten einsehbar, die detaillierte Rückschlüsse auf das Leben der Fahrzeugbesitzer zuließen. Die Sicherheitslücke hat der Chaos Computer Club (CCC) aufgedeckt und in Zusammenarbeit mit dem Magazin "Der Spiegel" veröffentlicht. VW hat unterdessen reagiert.
Bewegungsprofile bis auf zehn Zentimeter genau
Die Daten waren in einem Amazon-Cloudspeicher abgelegt, der weitgehend ungeschützt war. Diese gravierende Sicherheitslücke erlaubte Dritten Zugriff auf Standortdaten, Batterieladestände, Inspektionsstatus sowie die Geodaten der Fahrzeuge.
Besonders genau nahm es der Konzern dabei mit den Modellen der Marken Seat und VW. Bei allen Modellen der ID.-Familie und de wurden die GPS-Koordinaten vollständig gespeichert. Die Standortinformationen waren damit auf bis auf zehn Zentimeter genau und ließen Bewegungsprofile erkennen, die persönliche und berufliche Muster der Nutzer offenlegten.
Laut den Sicherheitsforschern des CCC verstößt das nicht nur gegen geltendes Recht, sondern auch gegen die eigenen AGBs des Autobauers. Dort sagt der Konzern nämlich, dass die Geo-Daten gekürzt gespeichert werden. Das passierte allerdings nur bei den Modellen von Skoda und Audi, wo die Geokoordinaten nach der ersten Kommastelle gekürzt wurden und sie damit nur auf rund 10 Kilometer genau macht – aus Datenschutzperspektive der richtige Weg.
Video: Cariad patzt beim Datenschutz
Bei den Seat und VW-Modellen konnte man allerdings erkennen, wann und wie lange ein Fahrzeug an einem bestimmten Ort parkte – sei es vor dem eigenen Zuhause, an Arbeitsplätzen oder in sensiblen Bereichen wie dem Umfeld des Bundesnachrichtendienstes. Eine Verbindung dieser Daten mit den persönlichen Kontaktinformationen ermöglichte zudem die Identifikation der Fahrzeughalter. Im Zeitraum von Dezember 2022 bis September 2024 fanden die Forscher fast 900 Millionen Geokoordinaten von Fahrzeugen aus dem VW-Konzern.
Insgesamt waren für die Sicherheitsforscher des CCC 9,5 Terabyte Daten frei zugänglich im Internet abrufbar. Darunter über 600.000 Nutzerdaten, die etwa die Nutzer-ID, die E-Mail-Adressen und den Namen beinhalteten. Zudem war teilweise auch die Handynummer, das Geburtsdatum und die Adresse der Nutzer abrufbar.
In Summe waren laut CCC 807.357 Autos von dem Datenleck des Konzerns betroffen.388.509 Fahrzeuge der Marke Volkswagen, 80.212 von Seat und Cupra, sowie 163.099 von Audi und weitere 175.537 Autos von Skoda, wie Michael Kreil bei seinem Vortrag auf dem 38C3 (38. Chaos Computer Congress in Hamburg) erklärte.
Ultimatum des Chaos Computer Clubs
Der Chaos Computer Club wurde durch einen Hinweisgeber auf die Sicherheitslücke aufmerksam gemacht. Die Club-Sprecher Linus Neumann und Matthias Marx informierten daraufhin sowohl Cariad als auch den VW-Konzern, den niedersächsischen Landesdatenschutzbeauftragten und das Bundesinnenministerium. Innerhalb von 30 Tagen sollte die Lücke geschlossen werden, bevor eine öffentliche Warnung erfolgen würde.
Cariad reagierte schnell und schloss die Sicherheitslücke. Der CCC lobte die zügige und verantwortungsvolle Reaktion der technischen Teams. Dennoch wiesen die IT-Sicherheitsforscher darauf hin, dass ein solches Versäumnis nicht hätte vorkommen dürfen. "Es war wie ein riesiger Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag", sagte CCC-Sprecher Neumann.
Nicht ausreichend verschlüsselt, kein Passwortschutz
Der Zugriff auf die Daten wurde durch eine Kombination von Schwachstellen und unzureichenden Sicherheitsmechanismen möglich. Unter anderem konnten durch systematisches Raten versteckte Dateien gefunden werden, die Zugangsdaten zu einem Amazon-Cloudspeicher enthielten. Zusätzlich waren diese Daten nicht ausreichend verschlüsselt oder mit einem Passwortschutz versehen.
Ein Teil der betroffenen Daten stammte aus einer Anwendung von Cariad, die pseudonymisierte Informationen über Ladeverhalten und Batteriezustand sammelt. Laut Cariad sollen diese Daten der Verbesserung von Batterie- und Ladesoftware dienen. Der Konzern betonte jedoch, dass die Daten innerhalb des Unternehmens nicht so zusammengeführt würden, dass sie Bewegungsprofile einzelner Personen zulassen.
Die Sicherheitslücke ermöglichte potenziell kriminellen Akteuren, Bewegungsprofile der Fahrzeughalter zu erstellen, die für Erpressung, Stalking oder Phishing-Angriffe hätten genutzt werden können. Auch wären die Daten für Nachrichtendienste oder wirtschaftliche Konkurrenz interessant gewesen. Für den betroffenen VW-Konzern ist der Vorfall eine erhebliche Blamage, da das Unternehmen ohnehin mit Softwareproblemen und einem schlechten Ruf im Bereich IT-Sicherheit zu kämpfen hat.
Reaktion des Volkswagen-Konzerns
Volkswagen hat die Sicherheitslücke inzwischen geschlossen und erklärt, dass keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen waren. Laut Konzernangaben sei außer dem CCC niemand auf die Daten zugegriffen. VW betonte zudem, dass Kunden ihre Online-Funktionen deaktivieren können, um die Verarbeitung personenbezogener Daten zu vermeiden.
Der Fall wirft jedoch grundsätzliche Fragen zur Datensicherheit und Datenverarbeitung in vernetzten Fahrzeugen auf. Eine Untersuchung der Mozilla-Stiftung hatte bereits 2023 festgestellt, dass viele Automobilhersteller mehr Daten sammeln, als für die Fahrzeugnutzung notwendig ist (siehe Fotoshow). Zudem sind Sicherheitslücken und Datenlecks keine Seltenheit, wie zahlreiche Vorfälle in der Vergangenheit zeigen.
Beispiele von Betroffenen
Zu den Betroffenen gehören auch prominente Politiker wie Nadja Weippert, Mitglied des niedersächsischen Landtags, und Markus Grübel, Bundestagsabgeordneter aus Esslingen. Beide Politiker haben ihre Daten dem Spiegel zu Verfügung gestellt.
Nadja Weippert, eine grüne Landtagsabgeordnete und Datenschutzsprecherin ihrer Fraktion, nutzt einen VW ID.3 und war von der Sicherheitslücke unmittelbar betroffen. Nachdem ihr die Auswertung ihrer Fahrzeugdaten präsentiert wurde, zeigte sie sich tief erschüttert. Die Standortdaten legten offen, wann und wo ihr Fahrzeug parkte, einschließlich privater und beruflicher Aufenthaltsorte wie ihrem Wohnsitz, dem niedersächsischen Landtag und lokalen Einrichtungen in ihrer Gemeinde. Auch private Besuche, etwa bei ihrer Physiotherapeutin, konnten aus den Daten abgeleitet werden. Als Politikerin, die sich regelmäßig mit Fragen des Datenschutzes befasst, betonte sie die Notwendigkeit, weniger personenbezogene Daten zu erheben und diese konsequent zu anonymisieren. "Es kann nicht sein, dass meine Daten unverschlüsselt gespeichert und nicht ausreichend geschützt werden", erklärte sie dem Spiegel. Besonders alarmierend sei die Gefahr, dass solche Daten missbraucht werden könnten, etwa für gezielte Angriffe oder Stalking.
Markus Grübel, CDU-Bundestagsabgeordneter und Mitglied im Verteidigungsausschuss, war ebenfalls betroffen. Seine Fahrzeugdaten enthielten unter anderem Informationen über Besuche von Kasernen sowie private Aufenthaltsorte wie das Seniorenheim seines Vaters. Auch ein Urlaub im Allgäu ließ sich aus den Daten nachvollziehen. Grübel kritisierte die Datenpanne scharf als "ärgerlich und peinlich" und hob hervor, dass der Vorfall das Vertrauen in die deutsche Automobilindustrie erheblich beeinträchtige. Er wies zudem auf die sicherheitspolitischen Risiken hin, die durch mangelnde IT-Kompetenz der Hersteller entstehen könnten, insbesondere im Kontext des autonomen Fahrens. "Die IT-Kompetenz der Hersteller muss deutlich gesteigert werden, um solche Vorfälle in Zukunft zu verhindern", forderte Grübel.
Standortdaten von Nachrichtendienstmitarbeitern
Besonders brisant war der potenzielle Missbrauch der Daten für sensible Sicherheitsbereiche. Die Daten enthielten auch Informationen zu Fahrzeugen, die regelmäßig im Umfeld von Einrichtungen des Bundesnachrichtendienstes oder bei Militärstandorten wie dem US-Militärflugplatz in Ramstein parkten. Solche Bewegungsprofile könnten ausländischen Nachrichtendiensten wertvolle Hinweise auf Personen und Abläufe liefern. Die detaillierten Standortdaten auf bis zu zehn Zentimeter genau hätten eine erhebliche Gefahr für die nationale Sicherheit darstellen können. Der Chaos Computer Club wies darauf hin, dass solche Daten für Spionagezwecke oder gezielte Cyberangriffe hätten genutzt werden können. © auto motor und sport
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.