[English]Der VW-Konzern steht im Mittelpunkt eines Datenskandals, bei dem aufgezeichnete Bewegungsdaten von 800.000 Elektrofahrzeugen im Umfang von Terabytes aus der Cloud abrufbar waren. Der Vorfall zeigt einerseits, was Fahrzeughersteller an Daten sammeln. Andererseits wird klar, wie schnell Daten ungesichert an die Öffentlichkeit gelangen können und dann für ungewollte Zwecke missbraucht werden können.
Anzeige
Leck mit Bewegungsdaten von E-Fahrzeugen
Jemand ist im Internet durch Zufall auf eine mehrere Terabyte große Datensammlung gestoßen, die von der VW-Software-Entwicklungs-Tochter Cariad auf Amazon gespeichert wurde. Wegen einer "Fehlkonfiguration", wie es so schön heißt, waren diese Daten wohl ungesichert auf AWS abrufbar.
Der Entdecker wandte sich an den Chaos Computer Club (CCC), die das Ganze mit dem Spiegel recherchierten und an VW meldeten. Die Datensammlung ist inzwischen geschützt und nicht mehr abrufbar. Ein Blog-Leser hatte im Diskussionsbereich auf diesen Artikel bei heise hingewiesen. Auch Golem hat das Thema aufgegriffen. Beide Artikel beziehen sich auf den initialen Beitrag Datenleck beim Volkswagen-Konzern: Wir wissen, wo dein Auto steht von Spiegel Online.
Der Bericht des CCC
Der Chaos Computer Club (CCC) hat das Datenleck aufgedeckt und beschreibt den Umfang in diesem Beitrag. Die kompakte Variante: Der Volkswagen-Konzern hat die Bewegungsdaten von ca. 800.000 Fahrzeugen der Marken VW, Audi, Skoda und Seat systematisch erfasst und über lange Zeiträume gespeichert.
Dem Spiegel-Bericht zufolge scheint die Datensammlung begonnen zu haben, sobald der Fahrzeug-Besitzer oder die -Besitzerin die Volkswagen-App installiert und für das Fahrzeug konfiguriert hat. Die App ist erforderlich, um bestimmte Fahrzeugfunktionen wie Akkuladezustand, Vorheizung des Fahrzeugs kontrollieren zu können.
Anzeige
Spiegel Online zeichnet dies am Beispiel der VW ID.3-Besitzerin, der Politikerin Nadja Weippert nach. Die Politikerin sitzt für die Bündnis 90/Die Grünen im niedersächsischen Landtag, und sie ist Sprecherin für Datenschutz ihrer Fraktion. Spiegel Online schreibt, dass Frau Weippert auch Bürgermeisterin von Tostedt, einer Gemeinde zwischen Hamburg und Bremen, sei. Die Besitzerin hat vor der Aktivierung der Volkswagen-App auch einen Blick in die Datenschutzinformationen geworfen – ich gehe aber nicht davon aus, dass sie sich über den Umfang der Datensammlung im Klaren war.
Spiegel Online zeichnet in seinem Artikel noch den Fall eines zweiten Politikers, des CDU-Bundestagsabgeordneten Markus Grübel aus Esslingen am Neckar, nach. Beide Politiker haben dem Recherche-Team die Zustimmung zur Auswertung der gespeicherten Daten erteilt.
Dem Bericht ist zu entnehmen, dass das Fahrzeug von Frau Weippert sofort nach der Einrichtung der App mit der Sammlung von Fahrzeugdaten begann. Die Daten umfassten die genauen GPS-Daten des jeweiligen Abstellorts, sobald der Elektroantrieb des Fahrzeugs abgeschaltet wurde. Die gesammelten Daten wurden zum Hersteller übertragen und auf AWS-Servern in der Cloud gespeichert.
Über die App waren die Daten mit persönlichen Daten des Fahrzeughalters verknüpft. Der CDU-Bundestagsabgeordnete Markus Grübel tauchte unter seinem Spitznamen »Kussi« in den Daten auf. Im Spiegel-Artikel liest es sich recht kurzweilig – der Chaos Computer Club bringt es präziser auf den Punkt: Volkswagen erhält durch die Bewegungsdaten Einblicke in das alltägliche ‒ und insbesondere auch in das nicht alltägliche ‒ Privatleben von Hunderttausenden Fahrzeughalter und Fahrzeughalterinnen.
Und durch den nett umschriebenen "Konfigurationsfehler" waren diese Daten (mehrere Terabyte) für Dritte in der AWS-Cloud abrufbar. Ein absolutes Desaster, auch wenn man vorgab, die Daten nur pseudonymisiert erfassen zu wollen, um die Fahrzeugtechnik zu verbessern. heise zitiert den CCC, der von VW-Cariad die Information erhielt, dass die Daten gesammelt wurden, "um Batterien und die dazugehörige Software zu verbessern".
Bei der Analyse der Daten kamen die Experten des CCC zum Schluss, dass die Daten von 460.000 Fahrzeugen so präzise seien, dass sie Rückschlüsse auf das Leben der Fahrer und Fahrerinnen ermöglichen (Geodaten bei Modellen von VW und Seat sind auf zehn Zentimeter genau).
Bei der Recherche konnten diese Fahrzeugdaten mit persönlichen Profilen von Fahrzeughaltern und -halterinnen verknüpft werden. Selbst ein Mapping der detaillierten Bewegungsdaten mit Adressen und Handynummern war in manchen Fällen möglich.
VW-Cariad gibt zwar an, diese Zusammenführung niemals so vorgenommen zu haben, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden", heißt es. Ist aber Bullshit-Bingo vom feinsten – wenn die Daten gesammelt wurden und öffentlich Zugriff darauf möglich war, konnte jeder Konkurrent, Cyberkriminelle oder gelangweilter Teenie genau diese Zuordnung vornehmen.
Der Spiegel umreißt es prägnant: "Wir wissen, wo dein Auto parkt. Sichtbar war, wer wann zu Hause parkt, beim BND oder vor dem Bordell." Denn betroffen von der Datensammlung sind nicht nur Privatpersonen, sondern auch Fuhrparkverwaltungen, Vorstände und Aufsichtsratsmitglieder von DAX-Konzernen sowie diverse Polizeibehörden in Europa.
So wurden beispielsweise Bewegungsdaten von 35 elektrischen Streifenwagen der Hamburger Polizei erfasst und auf der VW-Plattform für Dritte einsehbar gespeichert. Auch sensible Daten zu nachrichtendienstlichen und militärischen Aktivitäten wurden laut CCC erfasst: So fanden sich unter anderem Datensätze aus dem Parkhaus des Bundesnachrichtendienstes (BND) und vom Militärflugplatz der United States Air Force in Ramstein.
Der CCC schreibt, dass die von der VW-Tochter Cariad gesammelten Informationen präzise Angaben zum Standort und Zeitpunkt des Abschaltens der Zündung beinhalten. Die Bewegungsdaten seien verbunden mit weiteren personenbezogenen Daten. Dadurch erlaubten sie auch Rückschlüsse auf Zulieferer, Dienstleister, Mitarbeiter und Mittarbeiterinnen oder Tarnorganisationen der Sicherheitsbehörden.
"Das Problem ist, dass diese Daten überhaupt erhoben und über einen so langen Zeitraum gespeichert werden. Dass sie obendrein schlecht geschützt waren, setzt dem Ganzen nur die Krone auf." sagte Linus Neumann, Sprecher des Chaos Computer Clubs.
Meine 2 Cents
Da ist wieder ein Fall, der zeigt, wie Daten, die erhoben werden, Missbrauch Tür und Tor eröffnen. Und es zeigt sich erneut, wie sofort zahlreiche Nebelkerzen geworfen werden. "Die gesammelten Daten wurden sofort nach der Meldung des Datenlecks durch VW gesichert" – in den Berichten lese ich ein Lob, wie schnell das passierte.
Und natürlich darf die Nebelkerze, dass die Daten des Fahrzeugs natürlich nie mit den persönlichen Daten der Fahrzeughalter zusammen geführt wurden, nicht fehlen. Die Sauerei ist aber, dass a) die Daten überhaupt erhoben wurden und b) in einer Art gespeichert sind, die eine Zusammenführung durch Dritte möglich wird. Dass das Ganze noch schlampig abgesichert wurde, ist das Tüpfelchen auf dem i.
Kürzlich las ich, dass deutsche Fahrzeughersteller hoffnungslos der Entwicklung hinterher hinken, speziell, was Software Defined Vehicles (SDV) betrifft. Hier giert die Industrie nach (Fahrzeug-)Daten und Funktionen, die man zu Geld machen will. Ich verweise auf den Spiegel-Artikel, in dem die Autoren darauf hinweisen, dass VW kein Einzelfall beim Datensammeln ist. BMW, Daimler etc. sammeln genau so Daten. Und Schwachstellen führen unweigerlich dazu, dass Missbrauch durch Dritte möglich ist.
Die Büchse der Pandora ist weit aufgerissen – aber in den Artikeln beim Spiegel etc. lobt der CCC, wie kooperativ und schnell VW reagiert und die Schwachstelle geschlossen habe. Kein Wort darüber, dass Millionen Fahrzeugbesitzer ungewollt zum gläsernen Autofahrer werden und die Fahrzeughersteller von der EU dazu gezwungen werden müssen, dass die Autofahrer Herr der eigenen Daten werden sollen. Kranke Welt.
Ähnliche Artikel:
Risiko Keyless Go-Systeme beim Auto: Kein Schutz bei Diebstahl
Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau
Software: Unser Grab als PKW-Besitzer der Zukunft?
Was läuft falsch, bei modernen Autos?
Fail: Toyota ermöglicht den Remote-Start seiner vernetzten PKWs nur mit Monats-Abo
Connected-Car: Überwachung seit 15 Jahren gang und gäbe
Connected Car-Schwachstellen und PKW-Datensammelwut
ADAC: Keyless-Systeme in PKWs in 2024 immer noch leicht zu hacken
Crowd-Recherche: "Datenspende", was wissen PKW-Hersteller über Kunden?
PKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web
KIA-Schwachstelle: Millionen Fahrzeuge hack- und trackbar
Fahrzeuge aus China: Kunden sorgen sich um Datenschutz
Datenschutz-GAU neues Auto – Mozilla untersucht Situation in den USA, folgt Europa?
DSGVO-Falle Fleetback: Wenn Du die falsche Benachrichtigung bekommst
Automobile IT-Fehlentwicklungen: Touchbedienung als Risiko; Datenerfassung als Falle für Besitzer
BMW kickt Abonnement für Sitzheizung
Tesla: Ein falscher "Klick" sorgt für 14.000 US-Dollar Kreditkartenbelastung
Tesla-Files: Datenleck zeigt die Probleme des Autobauers mit seinem Autopilot und der Sicherheit
Datenschutzbeauftragter warnt: Dashcams (speziell bei Tesla) sind unzulässig
Digades GmbH (Funkfernsteuerungen etc.) in Insolvenz – Dienste abgeschaltet
Audi, Seat, Skoda, VW: Connectivity-Dienste (Car-Net) war gestört
Webasto: Massenmail zur DSGVO-Zustimmung schief gelaufen
Anzeige
Die EU wird die Fahrzeughersteller nicht im Leben von der Datensammelei abbringen. Das ist so gewollt, weil diese Daten über kurz oder lang in staatliche Hände gelangen. Kriminalitätsbekämpfung und so…
Ganz ehrlich, mal abgesehen von dem Punkt das halt mal wieder Dilettanten am Werke waren, hat nahezu jeder der ein solches Fahrzeug nutzt seine Einwilligung erteilt. Zuerst mit der Entscheidung ein solches Fahrzeug zu kaufen/leasen und letztlich fahren zu wollen, dann mit dem Vertragsabschluss und zu guterletzt mit der Nutzung, denn in den Entertainmentsystemen gibt es ja schließlich auch Nutzungsbedingungen (oder Datenschutzhinweise) die der Fahrzeugnutzer bestätigen soll, wenn der "Schlüssel umgedreht" wird.
Das ist also im wahrsten Sinne des Wortes "geliefert, wie bestellt".
Da steht VW auch nicht allein da. Es sind halt nur die, die jetzt mit der negativen Schalgzeile auffallen.
Die PKWs haben eCall schon seit 2018 oder 2019 serienmäßig an Bord und daher wissen die Hersteller bei all diesen Fahrzeugen, wo sie sind. Man hat da keine Wahl, außer ein älteres Fahrzeug zu fahren. Bewusst macht das aber deswegen niemand. Und VW wird bei seiner Datensammlung noch harmlos sein, im Vergleich von diesen angehimmelten Teslas von dem angehimmelten Musk. Der Punkt ist, egal was die Hersteller da sammeln, aus welchen Gründen auch immer, es darf nicht öffentlich zugänglich sein, das ist der Skandal da dran.
Der Skandal ist das Sammeln.
Doch mach ich ganz bewusst keines meiner Autos hat solchen Shice verbaut! Mein 1969 Dodge Challenger nicht, mein 2006 Dodge Charger und mein 2011 Alfa Romeo 159 Sportwagon nicht! Gut die letzteren Zwei haben bereits ODB/ODB2, aber noch keine Online Verbindung.
Da ich jedoch meien Autos selbst repariere (JA ich kann auch einen V8 zerlegen und wieder funktionsfähig zusammenbauen) wird da auch in der Werkstatt nix ausgelesen und übermittelt. Einzig zur TÜV/ASU Abnahme sehen die Wägen eine Fremdwerkstatt meines Vertrauens.
eCall gabs beim Alfa damals schon optional habe ich bewusst ausgeschlossen.
Ich werde auch garantiert kein neues Auto brauchen bevor ich in die Kiste springe und den Flammen preisgegeben werde.
Der Mustang Mach-E GT Shelby würde mich ja noch in den Fingern jucken, aber eben wegen der ganzen "Überwachung" in dem Wagen verzichte ich doch lieber drauf.
Alles eine bewusste Entscheidung den ich lebe "Eigenverantwortung"!
Etwas was die Masse aber scheinbar nicht mehr kennt.
Mit sowas habe ich immer gerechnet. Ich gehe auch davon aus, dass die Hersteller sich die entsprechende Erlaubnis irgendwo gut verklausuliert bestätigen lassen, so dass es viele gar nicht mitbekommen, was sie dem Hersteller so an Datennutzung gestatten.
Mir stellt sich dabei zusätzlich die Frage, wie es sich verhält, wenn man sich das Auto von Freunden oder Verwandten ausleiht. Da würden ggf. solche Einwilligungen zuvor erteilt, nicht jedoch von dem, der sich das Auto leiht.
Der Eigentümer hat die Plicht, dir das alles vorher haarklein zu erklären. Du musst ja nicht mit dem Auto fahren, wenn es dir nicht zusagt.
Die IT-Industrie ist übergriffig, Orwell's 1984 läßt grüßen.
Solche Pauschalisierungen sind nicht angebracht und das sage ich als jemand, der aus dieser mysteriösen "IT-Industrie" (Was genau soll das sein?) kommt. Ja, es gibt schwarze Schafe und nach meinem Geschmack zu viele.
Einige "mysteriösen" Datensammler z.B. Google, Apple, Microsoft, Adobe, amazon, Meta (Facebook, instagram, whatsapp, ..), Mobilfunkanbieter, Zahlungsdienstleister und Kreditkartenanbieter, Streamigdienste, Supermarkt Apps, Payback ähnliche Punktesammeldienste, …
Ergebnis einer Mozilla-Studie:
"Autos sind in puncto Datenschutz die übelste Produktkategorie, die wir je getestet haben."
https://foundation.mozilla.org/de/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/
gerade Mozilla die selbst nicht ohne sind ;-P mit dem Finger auf andere Zeigen … ja das können die.
https://techcrunch.com/2024/09/25/mozilla-hit-with-privacy-complaint-in-eu-over-firefox-tracking-tech/
Dann bitte konkret: Welche weißen Schafe gibt es denn noch in der Autoindustrie? Welches Auto übermittelt garantiert keinerlei Daten, an wen auch immer?
Für den Fall, dass mein „Alter" irgendwann nicht mehr will, wäre ich sehr daran interessiert, das zu wissen.
alle Älteren Wägen, Marke egal!
Das ist so wie es mit dem Abgasskandal https://de.wikipedia.org/wiki/Abgasskandal gewesen war, jeder hats geahnt, dann wußte es jeder. Jetzt weiß es jeder ganz sicher dass die Konzerne wieder alles so machen wie man es schon geahnt hat, sie haben einfach nichts gelernt. Und das wird sich auch nie ändern.
EDIT: Ich kann nur jedem empfehlen den Vortrag vom CCC anzuschauen.
Wer nicht ewig suchen will:
https://streaming.media.ccc.de/38c3/relive/598
Kann man die Datensammelei irgendwie abstellen oder wenigstens reduzieren?
Man kennt das von z.B. Smartphone, Tablet und PC: Es gibt dafür Schalter (ob die wirken, sei mal dahingestellt), die meisten Kunden sind schlicht zu faul, die z.T. mies versteckten Optionen zu suchen.
Häufigste Ausrede: Ich habe nichts zu verbergen, das darf jeder gerne einsehen. Bis jetzt habe ich aber von niemandem eine jederzeit öffentlich einsehbare Live-Schalte vom Schlafzimmer oder Badezimmer bekommen, geht also offensichtlich doch nicht mit rechten Dingen bei denen zu. ;)
Bei meinem BMW kann man die Datenübertragung in den Datenschutzeinstellungen recht granular regeln.
BMW (also der Hersteller, nicht der Händler) hat sich geweigert, mir schriftlich zu bestätigen, dass mein BMW keine Daten an irgendjemanden übermitteln wird. Auch eine entsprechende Klausel in den Kaufvertrag aufzunehmen, war nicht möglich. Ich habe deswegen dann auf den Kauf verzichtet.
Ist aber Jahre her; kann besser geworden sein.
Ja, und die Schiebeschalter schalten das alles nachhaltig ab, ganz sicher, LOL.
Deswegen hege und pflege ich meinen Alt-Polo.
Bewegungsdaten hat der nicht zu bieten.
Noch fahren mein Auto, mein E-Bike und mein Bus (Papierticket gegen Bares beim Fahrer) "offline".
Die Frage ist, wie lange geht das noch?
Im Firmen-Auto (Citroën Berlingo), mit dem ich zeitweise rumgefahren bin, poppte immer beim Start eine Datenmeldung im Bordcomputer auf, die ich konsequent ignoriert habe, das Auto fuhr auch ohne OK-Knopf, ich musste mich nicht mit einem Citroën-Konto einloggen, um fahren zu können.
Wir reden hier von Fahrzeugen im 5 bis 6 stelligen Euro-Bereich.
Da kann und muss der Gesetzgeber ran woebei das Thema ja nicht neu ist.
Dumm nur das zu viele Leute Autos zwingend benötigen so da der Markt das nicht regeln wird.
Nächster Halt dann „alle Daten der Elektronischen Krankenakte abgezogen".
Gruß
Vieles davon hat doch der Gesetzgeber vorgeschrieben… da wird der garantiert nix tun! eCall ist ab bestimmten Baujahr verpflichtend!
oder auch:
https://www.gesetze-im-internet.de/pkw-envkv/BJNR103700004.html
damit müssen Daten verpflichtend gesammelt werden.
Außerdem ist die vorherschende Agenda in der Politik doch das die "Datenschätze" gehoben werden müssen, koste es was es wolle… Digitalisierung first, Bedenken second!
Da zu hoffen das der Gesetzgeber einschreitet ist schon nicht mehr naiv, sondern… (kannst dir selber denken).
bitterbösesüßlich
Aber die haben doch alle nichts zu verbergen…
Und dann wundern sich die Hersteller, dass die Verkäufe zurückgehen? Ernsthaft?
Wo kann ich anrufen wenn ich feststelle, dass mir mein Auto geklaut wurde? Ist doch ideal wenn es jemanden gibt der sofort weiß wo es ist. Ach so, Datenschutz, das dürfen wir ihnen leider nicht sagen.
Was passiert, wenn ich so einen Gebrauchtwagen kaufe?
"Erbe" ich dann die Daten meines Vorgängers, oder ist das Auto für immer mit dem Erstkäufer verknüpft?
teils teils, hatte da schonmal einen Beitrag drüber
Wenn der Vorbesitzer sich auskennt, hat er die ganzen Anbindungen "deaktiviert".
Werden leider nur die wenigsten Autobesitzer können und machen.