Ein schönes Beispiel, was die Datensammelwut einiger Konzerne gepaart mit schlechter IT-Security so anrichten kann, hat
der Chaos Computer Club (CCC) im Vortrag „Wir wissen wo dein Auto steht – Volksdaten von Volkswagen“ am letzten Kongress 38C3 in Hamburg gezeigt.

Wer ist der CCC überhaupt?

Der Chaos Computer Club ist ein deutscher Verein, der 1981 als loses Treffen von ein paar Hacker / Computerfreaks ins Leben gerufen wurde.
Der Verein setzt sich „grenzüberschreitend für Informationsfreiheit ein und beschäftigt sich mit den Auswirkungen von Technologien auf die Gesellschaft sowie das einzelne Lebewesen.“

Was ist passiert?

Eine mehrere Terabyte grosse Datenmenge mit systematisch erfassten Daten von über 800’000 Fahrzeugen der Marken VW, Skoda, Audi und Seat war über Monate ungeschützt in einem Amazon Cloudspeicher öffentlich zugänglich.
Bei etwa der Hälfte der Datensätze waren präzise Standortdaten der Lenker einsehbar.

Was das genau bedeuten kann, schauen wir uns dann in den nächste zwei Teilen der dreiteiligen Blogserie genauer an.

Welche Daten sind betroffen?

Daten über die Fahrzeuge selbst wie bsp. den Batterieladestand oder der Inspektionsstatus waren in den Daten vorhanden. Dann gab es auch Kategorien wie „Motor an“ und „Motor aus“. Bei „Motor aus“ waren neben der Uhrzeit auch die zugehörigen Längen- und Breitengrade (GPS-Daten) hinterlegt.

Für VW und Seat Fahrzeuge auf 10 cm genau, für Audi und Skoda Fahrzeuge auf 10 km genau.

Ausserdem fanden sich im Datensatz auch Informationen zu den registrierten Benutzern der verwendeten Auto-Apps. Darunter E-Mail-Adresse, Anschrift und Handynummer.
Damit liessen sich die Fahrzeugdaten mit den Personendaten kombinieren.

Konfrontation

Cariad, eine Tochtergesellschaft des Volkswagen-Konzerns ist für die Softwareentwicklung von VW zuständig. Als der CCC Cariad mit dem Datenleak konfrontierte,
haben diese innert weniger Stunden reagiert und die Lücke bereinigt. Der CCC-Sprecher Linus Neumann meint dazu: „Das technische Team von Cariad hat zügig, gründlich und verantwortungsbewusst reagiert.“

Auf Anfrage des SPIEGEL hat Cariad die „Fehlkonfiguration“ eingestanden und beschwichtigt. Es seien „keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen“.
Die erfassten „pseudonymisierte Daten zum Ladeverhalten und Ladegewohnheiten von Kunden“ werden zur Verbesserung der Batterien und der Software genutzt.
Ausserdem bieten „sämtliche Fahrzeuge mit Online-Funktionen die Möglichkeit, diese jederzeit zu deaktivieren.“

• „keine sensiblen Informationen“ & „pseudonymisierte Daten“. Diese zwei Aussagen merken wir uns für Teil 2 dieser Blogserie vor. 😉

Und nun?

Was bleibt ist die Frage, warum solche Daten überhaupt erfasst werden müssen. Was ist der Unterschied zwischen Metadaten und besonders schützenswerten Daten? Und können wir unseren Umgang mit persönlichen Daten verbessern? Diesen Fragen gehen wir in den nächsten beiden Teilen der Blogserie nach.

Quellen:

• https://www.spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027
• https://www.ccc.de/de/updates/2024/wir-wissen-wo-dein-auto-steht