News Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz

[Squido]

Nach deinen Schilderungen gibt es bei dir nur "Omas" oder "Schumis" als Autofahrer.
Was soll das für eine Diskussionsgrundlage sein?

 

[ich_nicht]

Brauchst nicht träumen, tatsächlich bist da bei den deutschen OEMs, vorallem VW Konzern, bestens aufgehoben.

Einfach Auto auswählen und nichts reinkonfigurieren.

Wie war denn das mit dem Volks E-Auto was VW bauen wollte?
Na ja, die sind aber auch kein sinnvoller Betrieb. Leider immer noch krass kapitalistische AG. Bei einem demokratischen Betrieb würde der Preis der Ware keinen übermäßigen Gewinn erwirtschaften müssen.
Alles deutlich sinnvoller.

 

[Nightmar17]

Ich bin vermutlich ebenfalls "Betroffener" als Fahrer eines Skoda Enyaq. Warum muss Carriad so etwas auf AWS-Servern speichern?

Weil das nicht das Hauptgeschäft von VW ist, also lagert man sowas aus, die sowas besser können.
VW hätte allerdings auch die Admins auslagern sollen, damit der Zugriff nicht möglich wäre.

Hätte VW das alles auf eigenen Servern, wäre der Schutz noch schlechter
Da würden ganze Server aus dem Netz erreichbar sein.

 

[ebird]

Das „S“ in „IoT“ steht für Security höhö

Ergänzung (29. Dezember 2024)

Naja „illegal“… solange man das Einverständnis einholt darf man Daten schnorcheln, und Otto Normalo nickt alles ab.

Nein. Man darf keine Daten sammeln, die nicht zu Durchführung eines Auftrages benötigt werden. Das war schon bei der Datenschutzrichtlinie so, allerdings ohne Strafen. Bei der DSGVO wurde es leicht verschärft und Strafen hinzugefügt.

Siehe https://dsgvo-gesetz.de/art-5-dsgvo/

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen
.....
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

Jetzt kommst Du. Wozu braucht VW eine gesammtes Bewegungsprofil eines Benutzers? Meinetwegen könnte ich noch Telemetriedaten mit zwei geschlossenen Augen erlauben. Aber auch da reicht es, wenn diese lokal Aggregiert werden.

 

[TigerNationDE]

Eben nicht, gerade wer sein Auto in Grenzbereich beherrscht kann Auto fahren, sonst würde ja jede Oma zu den besten Autofahrern (in meinem Augen damals Schumi, heute Verstappen) der Welt gehören.

Sorry, aber Rennfahrer mit normalen Autofahrern zu vergleichen und dann zu sagen sie seien die besten Autofahrer, ergibt keinerlei Sinn. Ich kann Sportwagen sicher über Rennstrecken fahren, habe für den öffentlichen Straßenverkehr aber gar keinen Führerschein. Wie erklärst du das dann?

 

[Carsti80]

Also ich habe nun mal den CCC Vortrag dazu gesehen. Unaufgeregt und sachlich.

Aber, ein gigantischer Datenabfluss mit personenbezogenen Daten. Hier wird sich zeigen, was die DSGVO den Behörden wert ist. Wahrscheinlich nichts. Aber wir sind mal gespannt. Ich kann jedem den Beitrag empfehlen.

 

[Tekwin]

Ich finds sogar gut wenn Leute mit solch einer asozialen Fahrweise bestraft werden. Was soll das denn? Wieso ist es so schwer 50 zu fahren, wenn 50 ausgeschildert ist?

Das System der Versicherungen basiert auf dem Solidaritätsprinzip. Nur mal so als Denkansatz.

Natürlich muss eine rücksichtslose, gefährliche sowie schädliche Fahrweise bestraft werden. Dafür ist die Versicherung aber nicht zuständig. Es besteht ein feiner Unterschied zwischen Strafe und vertraglich basierter Konsequenz.

 

[crashbandicot]

Naja „illegal“… solange man das Einverständnis einholt darf man Daten schnorcheln, und Otto Normalo nickt alles ab.

Im 38C3 Video wird gezeigt, dass Audi die GPS-Daten auf eine Nachkommastelle kürzt (10km Genauigkeit), bei VW werden hingegen sechs Nachkommastellen verwendet (Genauigkeit 10cm). In den AGB wird von "gekürzte GPS Daten" gesprochen, was bei sechs Nachkommastellen nicht erfüllt sein dürfte.

 

[Weyoun]

Weil das nicht das Hauptgeschäft von VW ist, also lagert man sowas aus, die sowas besser können.
VW hätte allerdings auch die Admins auslagern sollen, damit der Zugriff nicht möglich wäre.

Ich arbeite seit knapp 20 Jahren bei Automotive-Zulieferern und die ersten 10 Jahre waren diese Konzerne noch "Herr über ihre Daten". Eigene Server samt Backups in Deutschland oder Europa, die selber administriert wurden.

Hätte VW das alles auf eigenen Servern, wäre der Schutz noch schlechter
Da würden ganze Server aus dem Netz erreichbar sein.

Aus eigener Erfahrung kann ich nur sagen: Als wir noch selber die Datenhoheit hatten, gab es weniger Ausfälle und Zuständigkeitsprobleme. Ab und zu musste halt mal ein Bandspeicherlaufwerk bemüht werden, das war es aber auch schon. Damals hatten wir auch noch eigene IT-Mitarbeiter (im Vergleich zu Behörden auch gut bezahlt) und heute leider nur noch externe, outgesourcte IT-ler mit begrenzter Motiviation. Warum soll das bei unserem Großkunden VW anders sein als bei seinen Zulieferern

 

[pacifico]

@pacifico Die berichteten Zahlen beider Unternehmen entsprechen nicht dem was du hier als Fakten verkaufen willst. Reicht jetzt.

VW verkauft nur noch sechs Millionen Autos pro Jahr. Das waren vor 10-12 Jahren aber zwölf Millionen.

Tesla produziert pro Jahr zwei Millionen Autos.


Google It.

 

[Squido]

Google It.

Hab ich gemacht.
Wikipedia, Statista und der VW Jahresbericht 2023 sagen etwas anderes.
Wo hast Du die Zahlen her?
"VW" hat alleine niemals 12 Millionen Autos produziert. Die gesamte VW Gruppe lag zu Höchstzeiten knapp vor 11 Millionen. 2023 ist man bei 9 Millionen, davon 4,8 Millionen durch VW PKW.

Edit:
Im ersten Halbjahr 24 haben VW PKW 2,2 Mio Autos und die VW Gruppe 4,3 Mio. ausgeliefert. Damit liegt man knapp unter dem Niveau von 23.

 

[Nacho_Man]

VW verkauft nur noch sechs Millionen Autos pro Jahr. Das waren vor 10-12 Jahren aber zwölf Millionen.

Tesla produziert pro Jahr zwei Millionen Autos.


Google It.

Zum einen: Wieso nennst du die Tesla-Zahlen? Ohne Absatzentwicklung im Vergleich haben die keine Relevanz zur 1. Aussage.
Zum zweiten: VW hat dieses Jahr allein bis September (9 von 12 Monate) bereits 6,5 Millionen Fahrzeuge ausgeliefert.
Wenn du schon Zahlen lieferst und andere zum Recherchieren aufrufst tue das doch bitte selbst mit korrekter Zuordnung ob Konzern, Marke, Auslieferung/Verkauf, etc.

 

[senf.dazu]

Ach die Firmen sind einfach zu wenig reguliert. So was wie eigenverantwortlich mit fremden Daten umzugehen liegt denen nicht so. Das schreit nach mehr DSVGO.

Die Firmen hätten's ja selbst in der Hand gehabt weniger reguliert zu werden. Nun haben sie verkackt. Also liebe Firmenverbände - das Thema weniger Regullierung ist durch.

 

[Mittelspecht]

Eben nicht, gerade wer sein Auto in Grenzbereich beherrscht kann Auto fahren, sonst würde ja jede Oma zu den besten Autofahrern (in meinem Augen damals Schumi, heute Verstappen) der Welt gehören.

Formel 1 Fahrer als beste Autofahrer zu bezeichnen - Einspruch.
Das Fazit wird in den ersten 10 Sekunden des Videos genannt, wer Lust hat schaut auch den Rest.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Carsti80]

Es reicht schon mein Google-Bewegungsprofil vom Außendienstler-Tablet, welches der Firma zugänglich ist, was sie aber angeblich null verwenden bzw. auslesen.

Ich arbeite in einem weltweit tätigen Konzern. Nahezu jeder Mitarbeiter hat ein gesichertes Smartphone mit nicht deaktivierbaren Standort- und Mobilfunkdaten. Dazu eine Sicherheitssoftware, die ein Abrufen durch die Firma möglich macht. Nachdem die Geräte für MFA verpflichtend wurden, hat meine Anfrage bei der IT nach Wochen die schriftliche Antwort ergeben, dass die das ja nur selten nutzen würden und die Dienste im Falle eines geklauten Gerätes für die Fernlöschung notwendig wären.... ok, würde ich in Teilen akzeptieren. Auf die Frage der Sicherheit und den Schutz der erhobenen Daten habe ich keine Antwort erhalten.
Dann habe ich unseren Sicherheitsbeauftragten angeschrieben, der meinte, davon wüsste er ja noch gar nichts (merke, jeder Mitarbeiter hat so ein Gerät) und ich solle ihn auf dem Laufenden halten. Beim Datenschutzbeauftragten das Gleiche.
Daraufhin habe ich Betriebsrat und Gewerkschaft informiert. Dann erst wurde ein 4 Augen Prinzip eingeführt. d.h. zum Zugriff auf die Daten, muss ein Mitarbeitervertreter dabei sein. Wie immer das auch umgesetzt und gesichert ist... . Ein halbes Jahr später wurde der genutzte Dienstleister ausgetauscht.
Ich vermute trotzdem, dass das ganze Verfahren so quasi auf Vertrauen basiert.
Und ob Hardware- und Betriebssystemhersteller nicht auch noch Daten erheben ....

 

[Nightmar17]

Ich arbeite seit knapp 20 Jahren bei Automotive-Zulieferern und die ersten 10 Jahre waren diese Konzerne noch "Herr über ihre Daten".

Also Redest du von einem Zeitraum bis 2014, da waren die Autos aber noch nicht so digital und vernetzt wie heute oder?

 

[netzgestaltung]

haha steil, schnell die simkarte wechseln hilft auch nicht weiter xD

 

[Weyoun]

Also Redest du von einem Zeitraum bis 2014, da waren die Autos aber noch nicht so digital und vernetzt wie heute oder?

Es geht nicht nur um die Datenübertagung der Autos ins Internet, sondern für allem um die Datenhoheit der Konzerne selbst. Mir wird jedes Mal Angst und Bange, wenn Kollegen wichtigste Daten in ihren OneDrive-Ordnern oder Teams-Kanälen speichern, obwohl sie höchst sensibel sind (das sind u.a. Daten, die man für Patentierungen benötigt, die müssen so sicher wie möglich aufbewahrt werden).

Vor 10 Jahren gab es dafür spezielle Server, die nicht ans Internet angeschlossen waren und an die man nur von innerhalb der Firma rangekommen ist. Heute läuft alles über VPN und wer weiß schon, was unsere chinesischen Kollegen oder unsere externen indischen IT-Supporter mit unseren Daten so alles treiben.

 

[Project 2501]

Bei aller berechtigter Kritik an Apple ist es dennoch eines der wenigen Unternehmen, die sich überhaupt die Mühe machen persönliche Daten lokal auf dem Gerät zu verarbeiten.

Die anderen schaufeln fröhlich alles in die Cloud, wird schon nix passieren :^)

Ergänzung (31. Dezember 2024)

Ohnehin hätte der Zugang ein „hohes Maß an Fachwissen“ erfordert

"hohes Maß an Fachwissen" = kann ein mittelmäßiges Bash-Script zusammenklopfen um eine Seite zu scrapen, oder wie?

 

[Vigilant]

Wird doch alles im verlinkten Vortrag leicht verständlich erklärt. Anschauen -> lernen.

Hier noch mal: https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen