News Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz

[andy_m4]

Es werden überall Daten gesammelt. Und wer seinen Knochen 75x am Tag vor die Linse zieht um sich Kurzvideos, Musik oder ähnliches aus der Welt reinzupfeifen, "Smart-Things" besitzt oder irgendwo digital bezahlt, sollte da mal genauer drüber nachdenken...

Wer sagt Dir denn, das das die Kritiker nicht tun?
Das hier vorwiegend über VW geredet wird liegt ja vielleicht daran, das VW auch das Topic ist zu dem es die Nachricht gab. Und logischerweise wird dann hier über VW geredet und nicht über die Datensammlungen die woanders liegen. Was aber nicht heißt, das man sich daran nicht stört.

Anwendungsthemen sind z.b. optimierte Ladeplanung, personalisierte Routenempfehlungen etc. Das funktioniert nur mit Daten.

Die Frage ist nur, wieviel Daten tatsächlich erhoben werden müssten und mit welchem Daten die verknüpft sein müssen und wo die gespeichert werden.
Man kann ja sehr wohl eine Route planen ohne das Daten auf irgendwelchen Servern verarbeitet werden müssen.

Da ist übrigens auch das Problem. Daten, welche zur Entwicklung herangezogen wurden, müssen teilweise, je nach Absicherung, mehrere Jahre aufbewahrt werden, um im Rechtsfall die Datengrundlage nachweisen zu können.

Das entbindet aber nicht von der Pflicht die Daten auch sicher zu speichern. Und wenn sie das nicht können, dürfen sie das nicht machen.
Ist ja in anderen Bereichen auch so. Wenn ich Hygiene nicht sicherstellen kann, darf ich auch kein Restaurant betreiben usw.

Das ganze ist übrigens, zumindest im VW Konzern, ausschließlich doppelt über opt-in möglich.

Weiß nicht, wie das bei VW ist. Aber oftmals werden ja Funktionalitäten dark pattern mäßig beworben.
Da steht ja häufig dran "Wenn sie demunddem nicht zustimmen funktioniert diesunddas nicht". Und dann stimmen viele instinktiv zu, weil das irgendwas nicht funktioniert das will man natürlich nicht.
Wenn da ehrlicherweise stehen würde "Wenn sie Zustimmen werden wir sie stasi-mäßig überwachen und außerdem werden uns die ganzen Daten früher oder später geklaut was weitere negative Konsequenzen für sie haben kann" wäre die Zustimmungsrate sicher geringer.

 

[Khorneflakes]

@pacifico
Aber ich bin doch gar kein VW-Fan, ich bin starker Kritiker der deutschen Autoindustrie. Das mit dem Werksschließungen ist einfach nur Geplänkel und Erpressung von Politik und Gesellschaft, auf diesem Niveau operiert unsere Industrie ja schon lange. Und ich habe keine Ahnung woher du deine Zahlen hast, aber VW hat seit 2014 ca. 50% Umsatz und Gewinn zugelegt. Wer nach Steuern regelmäßig Überschüsse in Milliardenhöhe produziert (zuletzt 2023 fast 18 Milliarden), dem kann es SO schlecht nicht gehen. Auch wenn VW natürlich viele Verbindlichkeiten hat, der Laden läuft gut. 2024 mag es einen Einbruch geben, das werden wir sehen, trotzdem mach ich mir wenig Sorgen um VW. Das Schauspiel, was die regelmäßig abziehen, ist einfach nur erbärmlich.

 

[Whitehorse1979]

Man sollte generell selbst entscheiden, ob Standortdaten erhoben werden dürfen. Die Autoindustrie muss das einfach nur umsetzen mit einer simplen Abfrage. Es gibt keinen nachvollziehbaren Grund Fahrzeuge permanent zu tracken.

 

[the_IT_Guy]

Kundenverhalten. Wie lange ist die durchschnittliche Fahrt, wie viele Kilometer bis zum Aufladen. Wie schnell fahren die Kunden, wie viel Leistung rufen sie ab...

Es gibt vieles welches man nicht aus dem Labor bekommt.

Benötigt keine Standortdaten, da reicht es den Tachostand am Anfang und Ende der Fahrt zu loggen. Genauso wenig wie ein Beschleunigungsverlauf einen Standort benötigt.

Dem wird der Kunde bei Kauf oder Installation der App zugestimmt haben.

Genau, ein Haken dran und dann die Fancy App nutzen. Es gibt unzählige Möglichkeiten durch Dark Patterns und Nudging die Leute dazu zu bringen dem Datensammeln zuzustimmen ohne das sie auch nur einen Hauch einer Ahnung haben was sie das zustimmen. Alles mit dem Hinweis man kann ja später aktiv wieder alles deaktivieren.
Das ist vielleicht Juristisch ein Opt-In aber realistisch kein unterschied zu opt-out.

Deswegen muss man sie eben so speichern dass sie eben auch nicht problematisch sind wenn sie wegkommen

Bin ich bei dir. Aber ich sehe keine Möglichkeit das bei Standortdaten zu tun.

Wird ja gemacht. Teleweise können. Mitarbeiter Autos leihen und als Auflage ist dann gewisse Mindest Kilometer etc. der Hersteller hat kostenlosen Testfahrer und der Mitarbeiter ein tolles Auto fürs Wochenende.

Finde ich gut und das sollte auch reichen.

Hohle Phrase. Es wurde hier ja offensichtlich nicht richtig gemacht.

Es gibt einfach mittlerweile immer und immer wieder Datenlecks wo alle Entsetzt sind und dann wird gesagt "ja es war nicht richtig konfiguriert." Es ist doch ganz Offensichtlich so, dass man es nicht richtig machen kann. Es ist hoch komplex alles abzusichern. Das nächste mal ist halt nicht VW schuld sondern Microsoft oder ein Virenscanner erzeugt eine neue Lücke. Alles schon gehört, alles so passiert.

Doch natürlich geht das. Hier wurde es falsch gemacht. Man kann die Daten natürlich anonym speichern. Nur weil es hier nicht der Fall ist, heißt das ja nicht, dass es nicht möglich ist

Was ist das denn für ein Quatsch. Wenn der Ort eine Auffahrt im Parkhaus ist, ist es kein Berg. Dazu brauche ich keinen Namen.

Zitat aus dem Artikel
"Im Fall von VW-Modellen und Seats waren diese Geodaten auf zehn Zentimeter genau, bei Audis und Skodas auf zehn Kilometer und damit weniger problematisch."

Noch einmal, Geodaten kann man mit einer Random ID Speichern pro Datum, dann machen sie aber keinen Sinn mehr, weil man keine Strecke mehr nachvollziehen kann. Man kann pro Strecke eine Random ID nehmen, dann kann man aber wieder durch Fahrtanfang und Fahrtende Informationen über den Fahrzeugbesitzer herausfinden. Man kann die Genauigkeit von Geodaten reduzieren, aber Geodaten mit einer 10km Genauigkeit sind vielleicht für Wettermodelle gut, aber sie machen keinen Sinn mehr für Autos. Also kann man es gleich lassen.

 

[andy_m4]

Man kann pro Strecke eine Random ID nehmen, dann kann man aber wieder durch Fahrtanfang und Fahrtende Informationen über den Fahrzeugbesitzer herausfinden.

Wozu braucht man denn Informationen über den Fahrzeugbesitzer?

Also kann man es gleich lassen.

Das wäre in der Tat das Beste.
Daten die nicht anfallen, können auch nicht "verloren" gehen.

 

[the_IT_Guy]

Wozu braucht man denn Informationen über den Fahrzeugbesitzer?

Man braucht sie nicht! Ich versuche ja zu Zeigen, dass Geodaten nicht sinnvoll Anonymisierbar sind, weil bei einer gewissen Genauigkeit sich immer Informationen aus diesen Daten ableiten lassen.

Das wäre in der Tat das Beste.
Daten die nicht anfallen, können auch nicht "verloren" gehen.

Genau!

 

[bensen]

Benötigt keine Standortdaten, da reicht es den Tachostand am Anfang und Ende der Fahrt zu loggen. Genauso wenig wie ein Beschleunigungsverlauf einen Standort benötigt.

Es gnig hier um Daten allgemein und nicht nur um Standortdaten.

Genau, ein Haken dran und dann die Fancy App nutzen. Es gibt unzählige Möglichkeiten durch Dark Patterns und Nudging die Leute dazu zu bringen dem Datensammeln zuzustimmen ohne das sie auch nur einen Hauch einer Ahnung haben was sie das zustimmen. Alles mit dem Hinweis man kann ja später aktiv wieder alles deaktivieren.
Das ist vielleicht Juristisch ein Opt-In aber realistisch kein unterschied zu opt-out.

Ja gut, wenn der Kunde kein Interesse hat, dann braucht er sich hinterher nicht beschweren. Man kann es auch übertreiben. Ist ja OK sich nicht alles durchlesen zu wollen, aber sich dann zu beschweren, dass man was zugstimmt hat ohne zu wissen was, ist schon etwas absurd.

Es gibt einfach mittlerweile immer und immer wieder Datenlecks wo alle Entsetzt sind und dann wird gesagt "ja es war nicht richtig konfiguriert." Es ist doch ganz Offensichtlich so, dass man es nicht richtig machen kann.

Doch kann man. Es geht auch nicht darum Lecks zu verhindern sondern Daten so zu speichern, dass bei einem Verlust nicht alle Daten einer Person zugeordnet werden können.

Noch einmal, Geodaten kann man mit einer Random ID Speichern pro Datum, dann machen sie aber keinen Sinn mehr, weil man keine Strecke mehr nachvollziehen kann. Man kann pro Strecke eine Random ID nehmen, dann kann man aber wieder durch Fahrtanfang und Fahrtende Informationen über den Fahrzeugbesitzer herausfinden.

Mit einer einzelnen Fahrt kann ich keine Person identifizieren. Wenn alle Fahrten eines Fahrzeugs natürlich gespeichert werden, ist es ziemlich klar. Es gibt auch was zwischen 10cm und 10 km.

 

[Hagen_67]

Ich meine, das sind ja schon sensible Daten. Mit welchem finanziellen Ausgleich kann man da rechnen, wenn man klagt?

 

[ThirdLife]

Und da beginnt für mich schon das Problem. Kritik an der Datensammelwut wird als „rummäkeln“ bezeichnet und damit das grundsätzliche Problem nicht erkannt. Was ich in meinem Privatleben mache, wo ich mich aufhalte, hat mein Autohersteller nicht zu interessieren.

Ne das Problem is das übliche almanische Reflexgeflenne ohne mal für zwei Sekunden vorher nachzudenken. Wie bitte soll der Hersteller denn eine Funktion wie z.B. Teslas Remote Call Feature oder auch nur die Ortung des Fahrzeugs funktionieren ohne eben jene Standortdaten ?

Magie ? Wenn du das nicht willst, dann nutz es einfach nicht. Ganz simpel. Kannst dich auch gleich bei Edeka beschweren gehen über ihre Datensammelwut weil sie deine EC-Karten-Daten brauchen zum Abrechnen. Sowas auch ! Bald will womöglich der Energieversorger deine Nutzungsdaten haben für seine Abrechnung !!! Das ist das ENDE (von gratis Strom ziehen) !!!!!

 

[downunder4two]

Ne das Problem is das übliche almanische Reflexgeflenne ohne mal für zwei Sekunden vorher nachzudenken. Wie bitte soll der Hersteller denn eine Funktion wie z.B. Teslas Remote Call Feature oder auch nur die Ortung des Fahrzeugs funktionieren ohne eben jene Standortdaten ?

Tut mir leid, aber du hast das Problem nicht verstanden. Ich wünsche Dir trotzdem ein gesundes neues Jahr. Alles wird gut!

 

[the_IT_Guy]

Es gnig hier um Daten allgemein und nicht nur um Standortdaten.

Aber im Bericht geht es explizit um Standortdaten und da ist weiterhin meine Frage wozu überhaupt diese Speichern.

Ja gut, wenn der Kunde kein Interesse hat, dann braucht er sich hinterher nicht beschweren. Man kann es auch übertreiben. Ist ja OK sich nicht alles durchlesen zu wollen, aber sich dann zu beschweren, dass man was zugstimmt hat ohne zu wissen was, ist schon etwas absurd.

Es wird aber genau auf diese Unmündigkeit spekuliert. Sehr sehr vielen Menschen ist Datenschutz und generell IT einfach zu abstrakt und man kann es Ihnen nicht verdenken, die Welt ist kompliziert genug. Daher bin ich eben großer Fan von echtem Opt-In.

Doch kann man. Es geht auch nicht darum Lecks zu verhindern sondern Daten so zu speichern, dass bei einem Verlust nicht alle Daten einer Person zugeordnet werden können.

Am besten natürlich beides.

Mit einer einzelnen Fahrt kann ich keine Person identifizieren. Wenn alle Fahrten eines Fahrzeugs natürlich gespeichert werden, ist es ziemlich klar. Es gibt auch was zwischen 10cm und 10 km.

Aber genau das ist ja das Problem, das im Moment bei 800.000 Kunden alle Fahrten aufgezeichnet wurden.
Garnicht erst die Daten anfallen lassen.

 

[andy_m4]

Ja gut, wenn der Kunde kein Interesse hat, dann braucht er sich hinterher nicht beschweren. Man kann es auch übertreiben. Ist ja OK sich nicht alles durchlesen zu wollen, aber sich dann zu beschweren, dass man was zugstimmt hat ohne zu wissen was, ist schon etwas absurd.

Ja. Da ist durchaus was dran. Allerdings passiert das ja im Alltag sehr oft.
Ich mein, hast Du Dir schon die AGB des Supermarktes durchgelesen, zu dem Du gehst?
Viel ist halt auch einfach Treu&Glauben.
Zudem ist die digitale Welt für viele auch recht undurchschaubar. Selbst wenn man sich das durch liest, weiß man ja unter Umständen trotzdem nicht über die möglichen Gefahren. Es fehlt da oft an Wissen und Aufklärung (was dann wiederum halt ausgenutzt wird).

Aber ja. Die Kunden hätten natürlich mehr Möglichkeiten sich zu wehren.

Es geht auch nicht darum Lecks zu verhindern sondern Daten so zu speichern, dass bei einem Verlust nicht alle Daten einer Person zugeordnet werden können.

Und allein das ist ja schon eine Herausforderung.
Stand heute macht man sich leider nicht die Mühe, Daten ordentlich zu anonymisieren, falls man es überhaupt macht. Und dann werden sie noch nicht einmal sicher gespeichert. Gleichzeitig werden aber an immer mehr Stellen Daten erhoben.
Ist nur logisch, das es dann auch schief geht. Die Frage ist gar nicht so sehr ob, sondern wann.

Sicherheit und Datensparsamkeit hat eben nicht die Priorität, die es haben sollte.

Wenn du das nicht willst, dann nutz es einfach nicht.

Das Argument kam schon und es wurde dazu auch schon was gesagt.

Kannst dich auch gleich bei Edeka beschweren gehen über ihre Datensammelwut weil sie deine EC-Karten-Daten brauchen zum Abrechnen.

Klar braucht man hier und da Daten. Aber in welchem Umfang und vor allem aber werden die sicher aufbewahrt.
Wurde aber hier auch schon alles lang und breit durchgekaut.

ohne mal für zwei Sekunden vorher nachzudenken.

Dein Posting klingt aber auch sehr reflexhaft. Alles was Du gesagt hast, wurde bereits im Thread thematisiert. Und wenn Du schon in die Diskussion einsteigst, dann macht es sich gut, wenn man auf das aufsetzt was schon da ist und nicht stumpf die Sachen wiederholt, die schon genannt worden sind ohne den Diskussionsverlauf zur Kenntnis zu nehmen. Insbesondere, wenn man sich dann noch abfällig äußert. ;-)

 

[hippiemanuide]

Das Problem ist nicht die Technik in den Auto etc. Es ist wie immer die Sicherheit dahinter welche von den Menschen einfach nicht gut umgesetzt wurde. Kann man den Fortschritt aufhalten? Denke nicht. Kann man es aber einfach besser machen? Definitiv ja. Ich meine es fängt doch schon bei jedem einzelnen im Alltag mit der Technik an. Aber solange Passwort und 123456 die am häufig und beliebtestens Passwörter sind, wird sowas immer passieren. Tut mir einfach nur leid für die Kunden welche vom Datenleck dann später betroffen sind und ggf. durch Scammer und Co belästigt oder schlimmer, betrogen werden.

 

[Tulol]

dann musst du zu Fuß gehen.

Oder ein altes Auto fahren.

Es gibt durchaus paar Dinge an aktuellen Autos die mich abholen.
Allerdings sind mir diese Dinge den Aufpreis ggü. eines 10 Jahre alten Wagens einfach nicht wert.

Und bei dem 10+ jahre alten kann ich mit Freunden noch selber Warten/Reparieren ohne absurde investitionen für Spezialwerkzeug(Software) zu tätigen.

Klar, so ne neue Karre macht "was her".
Aber da bin ich zum Glück lange drüber hinaus.


Edit: Und bevor hier wieder jemand rumnölt.
Ich finde Elektroantriebe großartig und für die Zukunft alternativlos. Die Implementierung mit dem, für den Fahrer unnötigem Müll in Aktuellen Fahrzeugen finde ich jedoch so abschreckend(siehe zB diesen hier) dass ich gerne noch lange (alte) Verbrenner fahre.

 

[Corros1on]

Man sollte generell selbst entscheiden, ob Standortdaten erhoben werden dürfen. Die Autoindustrie muss das einfach nur umsetzen mit einer simplen Abfrage

Du wirst lachen, aber beim Kauf oder Leasing eines Fahrzeugs muss man tatsächlich eine Datennutzungserklärung unterschreiben und zustimmen. In dieser wird genau erklärt, welche Daten erhoben werden und wofür sie genutzt werden.

Schon allein wegen des gesetzlich vorgeschriebenen SOS-Knopfs: Sobald dieser betätigt wird, werden sämtliche Fahrzeugdaten inklusive des Standorts übermittelt.

Zudem sind seit Juli dieses Jahres Blackboxen in Neuwagen bei uns Pflicht.

Fahrzeuge müssen also zwangsläufig Daten sammeln – ob der Halter das möchte oder nicht.

Ich denke, man kann den Herstellern wohl kaum den Vorwurf machen, dass sie sich an die Gesetze halten und das umsetzen, was der Staat in der Hinsicht vorschreibt.

Zumal ich mir sicher bin, dass es mit dem autonomen Fahren noch deutlich mehr werden wird.

 

[Nightmar17]

Ich kann den Spruch nicht mehr hören. 🤢
Die Leute, die das sagen, haben nicht verstanden, welche Gefahren sich dahinter verbirgt. Jeder hat sein Leben zu verbergen! Alles, was öffentlich gemacht wird, kann gegen einen verwendet werden und wird es irgendwann auch.

Genau den Spruch von dir hört man auch seit über 10 Jahren und? Nix passiert bisher, deswegen juckt es die Menschen halt nicht.

 

[andy_m4]

Nix passiert bisher,

Das würde ich so nicht sagen. Die Frage ist nur, ob man bestimmte Dinge mit den erhobenen Daten in Zusammenhang bringt. Viele Vorkommnisse werden subtil sein.

Ich denke, man kann den Herstellern wohl kaum den Vorwurf machen, dass sie sich an die Gesetze halten und das umsetzen, was der Staat in der Hinsicht vorschreibt.

Naja. Erstens werden mehr Daten erhoben als gesetzlich vorgeschrieben. Zweitens ist das ja immer noch keine Ausrede dafür, diese Daten nicht sicher aufzubewahren.

 

[UrlaubMitStalin]

Dann muss die Wirtschaft sich breiter aufstellen, wie die OPEC Staaten die ja auch sich auf das Ende von Rohöl vorbereiten und in unzähligen Wirtschaftszweigen investieren.

So ein Quatsch. Die OPEC Staaten sind deutlich weniger diversiert als Deutschland. Wenn bei denen die Petrros ausbleiben, geht da das Licht aus. Wir (Firma wo ich arbeite) haben Partner im mittleren Osten. Es ist erschreckend wie ineffizient die arbeiten. Deren Arbeitsmoral ist quasi nicht vorhanden. Ohne Öl-Dollars könnten die mit niemandem konkurrieren.

Deutschland ist durchaus breit aufgestellt, aber der Autromobilsektor ist nunmal eine der wichtigen Säulen und wenn die wegbricht, dann können die anderen das nicht kurzfristig auffangen, vor allem nicht in einem Land was so wirtschafts-konservativ ist. Das wird auf alle anderen Branchen Auswirkungen haben.

 

[Krik]

@Nightmar17
Dann hast du aber einiges nicht mitbekommen.

Da gab es bspw. Leute, deren Handys automatisch aufgenommene Bilder in die Cloud bei MS oder Google hochgeladen wurden. Die Bilder wurden vom System gescannt und da war dann auch mal ein nacktes Kind dabei, weil ein Vater für den Arzt ein Bild gemacht hat. Der Account wurde daraufhin automatisch geschlossen und die Polizei informiert. Letztendlich wurde der Vater vom Vorwurf der Pädophilie freigesprochen, aber sein Account bleibt gesperrt und den gesellschaftlichen Makel wird er sein Leben lang nicht mehr los. Tolle Wurst!

Oder auch relativ bei den Chat-KIs, wo dann Firmeninterna versehentlich weitergegeben wurde, weil KI die Fragen und Antworten der Mitarbeiter ausgewertet hat.

Usw. Das ist nur die Spitze des Eisbergs. Aber glaube nur weiter, dass das Veröffentlichen von intimen Details aus deinem Leben keinen negativen Effekt auf dich haben wird.

 

[Andy]

Artikel-Update: Auf dem Hacker-Kongress 38C3 gibt es ebenfalls einen Vortrag zu dem Datenleck bei VW. Die Aufzeichnung ist über die Medien-Seite des CCC abrufbar.