Bewegungsprofile von VW-Kunden waren im Internet abrufbar

Standortdaten von rund 800.000 Elektroautos der Marken Volkswagen, Audi, Seat und Skoda sind einem Bericht des „Spiegels“ zufolge bis vor Kurzem ohne Passwortschutz im Internet abrufbar gewesen.

Im Fall von VW-Modellen und Seats seien die GPS-Daten auf zehn Zentimeter genau gewesen, bei Audis und Skodas auf zehn Kilometer, schreibt das Nachrichtenmagazin. In vielen Fällen ließen sich die Fahrzeugdaten demnach mit Namen und Kontaktdaten ihrer Besitzer kombinieren, da auch diese im Netz auffindbar gewesen seien.

Auf diese Weise hätten Angreifer Bewegungsprofile von Privatpersonen, aber auch Politikern, Polizeifahrzeugen und mutmaßlichen Nachrichtendienstmitarbeitern erstellen können, berichtet der „Spiegel“.

Standardwerkzeuge haben zum Auffinden genügt

Hinweisgeber hatten demnach die mehrere Terabyte große Datensammlung mithilfe von frei verfügbaren Computerprogrammen entdeckt, die in der Branche als Standardwerkzeuge gelten.

Sie meldeten das Problem daraufhin dem Chaos Computer Club (CCC). CCC-Sprecher Linus Neumann vergleicht die Sicherheitslücke mit „einem riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag“, wie er dem „Spiegel“ sagte.

Die niedersächsische Landtagsabgeordnete Nadja Weippert (Grüne), von der Daten abrufbar gewesen sein sollen, zeigte sich „geschockt“. Sie erwarte, „dass VW das abstellt, insgesamt weniger Daten erhebt und diese auf jeden Fall anonymisiert“, sagte sie dem Nachrichtenmagazin.

Der CDU-Bundestagsabgeordnete Markus Grübel, der ebenfalls betroffen gewesen sein soll, bezeichnete die Datenpanne als „ärgerlich und peinlich“, sie stärke nicht gerade das Vertrauen in die deutsche Autoindustrie.

„Besonders mit Blick aufs autonome Fahren und mögliche manipulierende Hackingangriffe darauf muss die IT-Kompetenz der Hersteller offenbar noch deutlich zulegen.“

VW-Tochterfirma beschwichtigt

Der Chaos Computer Club hat die Sicherheitslücke der Volkswagen-Tochterfirma Cariad gemeldet, die für die Software der E-Autos des Konzerns zuständig ist. Cariad sprach im „Spiegel“ von einer „Fehlkonfiguration“, man habe aber bisher „keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte“.

Für die Kunden bestehe „keinerlei Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen sind“, teilte das Unternehmen mit.

Volkswagen nutzt die Daten nach Angaben von Cariad dazu, um Batterien und die dazugehörige Software zu verbessern. Das Unternehmen hebt hervor, dass die Daten innerhalb des Konzerns niemals so zusammengeführt werden, „dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden“. Die Schwachstelle wurde mittlerweile von Cariad behoben. (dts/red)