ComputerBase Menü
Registrieren
Suche
  2. News
  3. Apps

Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz

Andreas Frischholz
141 Kommentare
Datenleck bei Volkswagen: Bewegungsdaten von Hunderttausenden VW-Kunden offen im Netz
Bild: VW

Beim Volkswagen-Konzern kam es zu einem großen Datenleck. Durch das standen unter anderem Hunderttausende Bewegungsdaten von Besitzern eines E-Autos offen im Netz. Neben VW sind auch Marken wie Audi, Seat und Skoda betroffen.

Von dem Datenleck berichtet der Spiegel. Das Magazin hatte zeitgleich mit dem Chaos Computer Club (CCC) einen Hinweis zu den Daten erhalten, die von der VW-Tochter Cariad gesammelt wurden. Diese ist für die Software-Entwicklung im VW-Konzern verantwortlich.

Insgesamt 800.000 E-Autos betroffen

Betroffen sind demnach Nutzer der Volkswagen-App, die Besitzer von Elektroautos wie dem VW ID.3 verwenden können, um das Auto vorzuheizen oder Informationen wie den Ladestand der Batterie ablesen zu können. Erfasst wurden aber auch jeweils die GPS-Daten, wenn das Auto abgestellt wird. Mit diesen Informationen ist es möglich, ein präzises Bewegungsprofil zu erstellen. Erkennen lässt sich so das Zuhause, der Arbeitsort sowie weitere Aktivitäten.

Zugänglich waren die Daten über einen Cloud-Speicher bei AWS, der laut dem Spiegel-Bericht weitestgehend ungeschützt im Netz stand. Betroffen waren insgesamt 800.000 E-Autos aus der ganzen Welt. Mit 300.000 stammen die meisten davon aus Deutschland, danach folgen Norwegen mit 80.000 und Schweden mit 68.000. Es handelt sich um mehrere Terabyte an Daten, die meisten davon stammen aus 2024, einige sind aber noch älter.

Bei 460.000 Autos waren präzise Standortdaten einsehbar, die das Erstellen von Bewegungsprofilen ermöglichten. Die VW-Modelle ID.3 und ID.4 sollen zu denen zählen, bei denen besonders detaillierte Daten erfasst worden sind.

Identifizieren lassen sich auch einzelne Personen. Im Spiegel-Bericht stehen dafür beispielhaft die Politiker Nadja Weippert und Markus Grübel. Neben Politikern befinden sich auch führende Kräfte aus der Wirtschaft in den Daten, betroffen sind zudem Sicherheitsbehörden. Dazu zählen etwa die 35 E-Autos der Hamburger Polizei sowie mutmaßlich auch Nachrichtendienstmitarbeiter.

Daten aus Cloud-Speicher bei AWS offen zugänglich

Eigentlich sollten solche Daten nicht öffentlich zugänglich sein. Cariad nutzte aber eine falsch konfigurierte AWS-Cloud. Dem Spiegel-Bericht zufolge war es zunächst möglich, durch systematisches Raten bestimmte Cariad-Internetseiten und deren Unterseiten zu entdecken, die externe Nutzer eigentlich nicht sehen sollten. Über diese Seiten konnte man dann auf Dateien zugreifen, darunter auch Speicherauszüge aus internen Cariad-Anwendungen. Wie brisant die Dateien sind, war laut Spiegel auf den ersten Blick erkennbar.

In dem Cloud-Speicher waren Daten aus mehreren Quellen zugänglich. Bei einer Datenbank wurden die einzelnen Fahrzeuge erfasst, gespeichert wurden Informationen wie der Batterieladestand, der Inspektionsstatus sowie die Position bei „Motor an“ und „Motor aus“. Diese Geodaten sind bei VW und Seat auf zehn Zentimeter genau, bei Audi und Skoda hingegen nur bis auf zehn Kilometer.

Eine weitere Datenquelle ist jedoch ein VW-Dienst, durch den Autobesitzer per App ein persönliches Profil anlegen können, das mit einem Auto verknüpft ist. Durch diese Daten war es möglich, Autos aus der ersten Datenbank einer Person zuzuordnen.

VW hat keine Hinweise auf Datenabfluss

Der Chaos Computer Club lobt derweil, wie Cariad auf Hinweise zur Lücke reagiert hat. Die VW-Tochter habe den Vorfall ernst genommen und die Sicherheitslücke mittlerweile geschlossen. Offiziell spricht Cariad nun von keiner Sicherheitslücke, sondern von einer Fehlkonfiguration. Betroffene müssten nicht reagieren, Passwörter oder Zahlungsdaten wären nicht betroffen. Es gebe bislang zudem keine Hinweise, dass irgendjemand – mit Ausnahme des CCC – auf die Daten zugegriffen hätte.

Ohnehin hätte der Zugang ein „hohes Maß an Fachwissen“ erfordert, so Cariad zum Spiegel. Laut der Analyse des Magazins war das aber nicht der Fall, die Hürden waren demnach niedrig. Tools, die Hacker oder IT-Sicherheitsforscher alltäglich nutzen, hätten ausgereicht, um die Sicherheitsmechanismen zu umgehen.

Für VW kommt der Vorfall so oder so zur Unzeit. Der Konzern steckt in der Krise, vor allem bei der Software-Entwicklung muss man aufholen. Solche Datenlecks schaden dem Ruf, um den es ohnehin nicht gut bestellt ist. Besonders pikant ist zudem, dass deutsche Anbieter vor allem im Vergleich zu amerikanischen Big-Tech-Konzernen gerne auf den Datenschutz verweisen. Nun zeigt nicht nur, dass auch VW enorme Datenmengen speichert. Sondern es auch Mängel bei der Sicherheit gibt.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz