{"id":307386,"date":"2024-12-27T18:16:08","date_gmt":"2024-12-27T17:16:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307386"},"modified":"2025-03-07T23:28:51","modified_gmt":"2025-03-07T22:28:51","slug":"vw-datenleck-terabyte-an-bewegungsdaten-von-e-fahrzeugen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/27\/vw-datenleck-terabyte-an-bewegungsdaten-von-e-fahrzeugen\/","title":{"rendered":"VW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen"},"content":{"rendered":"

\"Stop[English<\/a>]Der VW-Konzern steht im Mittelpunkt eines Datenskandals, bei dem aufgezeichnete Bewegungsdaten von 800.000 Elektrofahrzeugen im Umfang von Terabytes aus der Cloud abrufbar waren. Der Vorfall zeigt einerseits, was Fahrzeughersteller an Daten sammeln. Andererseits wird klar, wie schnell Daten ungesichert an die \u00d6ffentlichkeit gelangen k\u00f6nnen und dann f\u00fcr ungewollte Zwecke missbraucht werden k\u00f6nnen.<\/p>\n

<\/p>\n

Leck mit Bewegungsdaten von E-Fahrzeugen<\/h2>\n

\"\"Jemand ist im Internet durch Zufall auf eine mehrere Terabyte gro\u00dfe Datensammlung gesto\u00dfen, die von der VW-Software-Entwicklungs-Tochter Cariad auf Amazon gespeichert wurde. Wegen einer \"Fehlkonfiguration\", wie es so sch\u00f6n hei\u00dft, waren diese Daten wohl ungesichert auf AWS abrufbar.<\/p>\n

Der Entdecker wandte sich an den Chaos Computer Club (CCC), die das Ganze mit dem Spiegel recherchierten und an VW meldeten. Die Datensammlung ist inzwischen gesch\u00fctzt und nicht mehr abrufbar. Ein Blog-Leser hatte im Diskussionsbereich auf diesen Artikel<\/a> bei heise hingewiesen. Auch Golem hat das Thema aufgegriffen<\/a>. Beide Artikel beziehen sich auf den initialen Beitrag Datenleck beim Volkswagen-Konzern: Wir wissen, wo dein Auto steht<\/a> von Spiegel Online.<\/p>\n

Der Bericht des CCC<\/h2>\n

Der Chaos Computer Club (CCC) hat das Datenleck aufgedeckt und beschreibt den Umfang in diesem Beitrag<\/a>. Die kompakte Variante: Der Volkswagen-Konzern hat die Bewegungsdaten von ca. 800.000 Fahrzeugen der Marken VW, Audi, Skoda und Seat systematisch erfasst und \u00fcber lange Zeitr\u00e4ume gespeichert.<\/p>\n

Dem Spiegel-Bericht zufolge scheint die Datensammlung begonnen zu haben, sobald der Fahrzeug-Besitzer oder die -Besitzerin die Volkswagen-App installiert und f\u00fcr das Fahrzeug konfiguriert hat. Die App ist erforderlich, um bestimmte Fahrzeugfunktionen wie Akkuladezustand, Vorheizung des Fahrzeugs kontrollieren zu k\u00f6nnen.<\/p>\n

Spiegel Online zeichnet dies am Beispiel der VW ID.3-Besitzerin, der Politikerin Nadja Weippert<\/a> nach. Die Politikerin\u00a0sitzt f\u00fcr die B\u00fcndnis 90\/Die Gr\u00fcnen im nieders\u00e4chsischen Landtag, und sie ist Sprecherin f\u00fcr Datenschutz ihrer Fraktion. Spiegel Online schreibt, dass Frau Weippert auch B\u00fcrgermeisterin von Tostedt, einer Gemeinde zwischen Hamburg und Bremen, sei. Die Besitzerin hat vor der Aktivierung der Volkswagen-App auch einen Blick in die Datenschutzinformationen geworfen – ich gehe aber nicht davon aus, dass sie sich \u00fcber den Umfang der Datensammlung im Klaren war.<\/p>\n

Spiegel Online zeichnet in seinem Artikel noch den Fall eines zweiten Politikers, des CDU-Bundestagsabgeordneten Markus Gr\u00fcbel<\/span> aus Esslingen am Neckar, nach. Beide Politiker haben dem Recherche-Team die Zustimmung zur Auswertung der gespeicherten Daten erteilt.<\/p>\n

Dem Bericht ist zu entnehmen, dass das Fahrzeug von Frau Weippert sofort nach der\u00a0Einrichtung der App mit der Sammlung von Fahrzeugdaten begann. Die Daten umfassten die genauen GPS-Daten des jeweiligen Abstellorts, sobald der Elektroantrieb des Fahrzeugs abgeschaltet wurde. Die gesammelten Daten wurden zum\u00a0Hersteller\u00a0 \u00fcbertragen und auf AWS-Servern in der Cloud gespeichert.<\/p>\n

\u00dcber die App waren die Daten mit pers\u00f6nlichen Daten des Fahrzeughalters verkn\u00fcpft. Der\u00a0CDU-Bundestagsabgeordnete Markus Gr\u00fcbel<\/span> tauchte unter seinem Spitznamen\u00a0 \u00bbKussi\u00ab in den Daten auf. Im Spiegel-Artikel liest es sich recht kurzweilig – der Chaos Computer Club bringt es pr\u00e4ziser auf den Punkt: Volkswagen erh\u00e4lt durch die Bewegungsdaten Einblicke in das allt\u00e4gliche \u2012 und insbesondere auch in das nicht allt\u00e4gliche \u2012 Privatleben von Hunderttausenden Fahrzeughalter und Fahrzeughalterinnen.<\/p>\n

Und durch den nett umschriebenen \"Konfigurationsfehler\" waren diese Daten (mehrere Terabyte) f\u00fcr Dritte in der AWS-Cloud abrufbar. Ein absolutes Desaster, auch wenn man vorgab, die Daten nur pseudonymisiert erfassen zu wollen, um die Fahrzeugtechnik zu verbessern. heise zitiert den CCC, der von VW-Cariad die Information erhielt, dass die Daten gesammelt wurden,\u00a0\"um Batterien und die dazugeh\u00f6rige Software zu verbessern\".<\/p>\n

Bei der Analyse der Daten kamen die Experten des CCC zum Schluss, dass die Daten von 460.000 Fahrzeugen so pr\u00e4zise seien, dass sie R\u00fcckschl\u00fcsse auf das Leben der Fahrer und Fahrerinnen erm\u00f6glichen (Geodaten bei Modellen von VW und Seat sind auf zehn Zentimeter genau).<\/p>\n

Bei der Recherche konnten diese Fahrzeugdaten\u00a0mit pers\u00f6nlichen Profilen von Fahrzeughaltern und -halterinnen verkn\u00fcpft werden. Selbst ein Mapping der detaillierten Bewegungsdaten mit Adressen und Handynummern war in manchen F\u00e4llen m\u00f6glich.<\/p>\n

VW-Cariad gibt zwar an, diese\u00a0Zusammenf\u00fchrung niemals so vorgenommen zu haben, \"dass ein R\u00fcckschluss auf einzelne Personen m\u00f6glich ist oder Bewegungsprofile erstellt werden\", hei\u00dft es. Ist aber Bullshit-Bingo vom feinsten – wenn die Daten gesammelt wurden und \u00f6ffentlich Zugriff darauf m\u00f6glich war, konnte jeder Konkurrent, Cyberkriminelle oder gelangweilter Teenie genau diese Zuordnung vornehmen.<\/p>\n

Der Spiegel umrei\u00dft es pr\u00e4gnant: \"Wir wissen, wo dein Auto parkt. Sichtbar war, wer wann zu Hause parkt, beim BND oder vor dem Bordell.\" Denn betroffen von der Datensammlung sind nicht nur Privatpersonen, sondern auch Fuhrparkverwaltungen, Vorst\u00e4nde und Aufsichtsratsmitglieder von DAX-Konzernen sowie diverse Polizeibeh\u00f6rden in Europa.<\/p>\n

So wurden beispielsweise Bewegungsdaten von 35 elektrischen Streifenwagen der Hamburger Polizei erfasst und auf der VW-Plattform f\u00fcr Dritte einsehbar gespeichert.\u00a0Auch sensible Daten zu nachrichtendienstlichen und milit\u00e4rischen Aktivit\u00e4ten wurden laut CCC erfasst: So fanden sich unter anderem Datens\u00e4tze aus dem Parkhaus des Bundesnachrichtendienstes (BND) und vom Milit\u00e4rflugplatz der United States Air Force in Ramstein.<\/p>\n

Der CCC schreibt, dass die\u00a0von der VW-Tochter Cariad gesammelten Informationen pr\u00e4zise Angaben zum Standort und Zeitpunkt des Abschaltens der Z\u00fcndung beinhalten. Die Bewegungsdaten seien verbunden mit weiteren personenbezogenen Daten. Dadurch erlaubten sie auch R\u00fcckschl\u00fcsse auf Zulieferer, Dienstleister, Mitarbeiter und Mittarbeiterinnen oder Tarnorganisationen der Sicherheitsbeh\u00f6rden.<\/p>\n

\"Das Problem ist, dass diese Daten \u00fcberhaupt erhoben und \u00fcber einen so langen Zeitraum gespeichert werden. Dass sie obendrein schlecht gesch\u00fctzt waren, setzt dem Ganzen nur die Krone auf.\" sagte Linus Neumann, Sprecher des Chaos Computer Clubs.<\/p>\n

Erg\u00e4nzung:<\/strong> Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> noch einige Details zusammen getragen.<\/p>\n

Meine 2 Cents<\/h2>\n

Da ist wieder ein Fall, der zeigt, wie Daten, die erhoben werden, Missbrauch T\u00fcr und Tor er\u00f6ffnen. Und es zeigt sich erneut, wie sofort zahlreiche Nebelkerzen geworfen werden. \"Die gesammelten Daten wurden sofort nach der Meldung des Datenlecks durch VW gesichert\" – in den Berichten lese ich ein Lob, wie schnell das passierte.<\/p>\n

Und nat\u00fcrlich darf die Nebelkerze, dass die Daten des Fahrzeugs nat\u00fcrlich nie mit den pers\u00f6nlichen Daten der Fahrzeughalter zusammen gef\u00fchrt wurden, nicht fehlen. Die Sauerei ist aber, dass a) die Daten \u00fcberhaupt erhoben wurden und b) in einer Art gespeichert sind, die eine Zusammenf\u00fchrung durch Dritte m\u00f6glich wird. Dass das Ganze\u00a0 noch schlampig abgesichert wurde, ist das T\u00fcpfelchen auf dem i.<\/p>\n

K\u00fcrzlich las ich, dass deutsche Fahrzeughersteller hoffnungslos der Entwicklung hinterher hinken, speziell, was Software Defined Vehicles<\/a> (SDV) betrifft. Hier giert die Industrie nach (Fahrzeug-)Daten und Funktionen, die man zu Geld machen will. Ich verweise auf den Spiegel-Artikel<\/a>, in dem die Autoren darauf hinweisen, dass VW kein Einzelfall beim Datensammeln ist. BMW, Daimler etc. sammeln genau so Daten. Und Schwachstellen f\u00fchren unweigerlich dazu, dass Missbrauch durch Dritte m\u00f6glich ist.<\/p>\n

Die B\u00fcchse der Pandora ist weit aufgerissen – aber in den Artikeln beim Spiegel etc. lobt der CCC, wie kooperativ und schnell VW reagiert und die Schwachstelle geschlossen habe. Kein Wort dar\u00fcber, dass Millionen Fahrzeugbesitzer ungewollt zum gl\u00e4sernen Autofahrer werden und die Fahrzeughersteller von der EU dazu gezwungen werden m\u00fcssen, dass die Autofahrer Herr der eigenen Daten werden sollen. Kranke Welt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nRisiko Keyless Go-Systeme beim Auto: Kein Schutz bei Diebstahl<\/a>
\nBluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau<\/a>
\nSoftware: Unser Grab als PKW-Besitzer der Zukunft?<\/a>
\nWas l\u00e4uft falsch, bei modernen Autos?<\/a>
\nFail: Toyota erm\u00f6glicht den Remote-Start seiner vernetzten PKWs nur mit Monats-Abo<\/a>
\nConnected-Car: \u00dcberwachung seit 15 Jahren gang und g\u00e4be<\/a>
\nConnected Car-Schwachstellen und PKW-Datensammelwut<\/a>
\nADAC: Keyless-Systeme in PKWs in 2024 immer noch leicht zu hacken<\/a>
\nCrowd-Recherche: \"Datenspende\", was wissen PKW-Hersteller \u00fcber Kunden?<\/a>
\nPKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web<\/a>
\nKIA-Schwachstelle: Millionen Fahrzeuge hack- und trackbar<\/a>
\nFahrzeuge aus China: Kunden sorgen sich um Datenschutz<\/a>
\nDatenschutz-GAU neues Auto \u2013 Mozilla untersucht Situation in den USA, folgt Europa?<\/a>
\nDSGVO-Falle Fleetback: Wenn Du die falsche Benachrichtigung bekommst<\/a>
\nAutomobile IT-Fehlentwicklungen: Touchbedienung als Risiko; Datenerfassung als Falle f\u00fcr Besitzer<\/a>
\nBMW kickt Abonnement f\u00fcr Sitzheizung<\/a>
\nTesla: Ein falscher \"Klick\" sorgt f\u00fcr 14.000 US-Dollar Kreditkartenbelastung<\/a>
\nTesla-Files: Datenleck zeigt die Probleme des Autobauers mit seinem Autopilot und der Sicherheit<\/a>
\nDatenschutzbeauftragter warnt: Dashcams (speziell bei Tesla) sind unzul\u00e4ssig<\/a>
\nDigades GmbH (Funkfernsteuerungen etc.) in Insolvenz \u2013 Dienste abgeschaltet<\/a>
\nAudi, Seat, Skoda, VW: Connectivity-Dienste (Car-Net) war gest\u00f6rt<\/a>
\nWebasto: Massenmail zur DSGVO-Zustimmung schief gelaufen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der VW-Konzern steht im Mittelpunkt eines Datenskandals, bei dem aufgezeichnete Bewegungsdaten von 800.000 Elektrofahrzeugen im Umfang von Terabytes aus der Cloud abrufbar waren. Der Vorfall zeigt einerseits, was Fahrzeughersteller an Daten sammeln. Andererseits wird klar, wie schnell Daten ungesichert an … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2011,4328],"class_list":["post-307386","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-pkw","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307386","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307386"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307386\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307386"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307386"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307386"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}