Riesiges Datenleck bei VW: Bewegungs- und Kundendaten waren öffentlich

27.12.2024

Die Informationen von 800.000 E-Autos landeten ungeschützt im Internet. Auch Österreichische Fahrzeuge sind betroffen.

Wegen eines enormen Datenlecks bei Volkswagen sollen Informationen von 800.000 Elektroautos im Netz gelandet sein. Einem Bericht zufolge sind die Marken VW, Audi, Seat und Skoda betroffen.

Wie Der Spiegel berichtet, werden über die Smartphone-App für die Fahrzeugsteuerung Daten gesammelt und an den Hersteller übertragen. Darunter befanden sich auch GPS-Daten, die den genauen Standort des Fahrzeugs übermittelten.

➤ Mehr lesen: VW war jahrelang Opfer von großangelegter Industriespionage

Daten monatelang offen zugänglich in Amazon-Cloud

Dabei lagen die sensiblen Daten monatelang offen zugänglich auf einem Amazon-Cloudspeicher. Grund dafür soll ein Fehler der Volkswagen-Softwaretochter Cariad gewesen sein. Die Daten stammten hauptsächlich von 2024, teilweise reichten sie länger zurück.

IAA Mobility 2021 - International Motor Show — Über die zugehörige App lässt sich z.B. die Heizung regeln und der Batteriestand ablesen

© EPA / SASCHA STEINBACH

Mit den Daten konnte man Bewegungsprofile der Besitzer erstellen. Sie zeigten, wo die Personen sich wann und wie lange aufhielten - ob Zuhause, am Arbeitsplatz, beim Bäcker, Sportverein und anderswo.

Ein Hinweis einer anonymen Quelle ging an den Spiegel und den "Chaos Computer Club", der das Datenleck an Cariad meldete. Innerhalb weniger Stunden sei das Datenleck behoben worden.

➤ Mehr lesen: Volkswagen will komplette Führung seiner Software-Sparte feuern

20.000 E-Autos aus Österreich betroffen

Im Bericht "Wir wissen, wo dein Auto steht" des CCC heißt es, dass neben Infos über Privatpersonen auch Datensätze aus dem Parkhaus des deutschen Bundesnachrichtendienstes (BND) und verschiedener europäischer Polizeibehörden, darunter 35 Streifenwagen der Hamburger Polizei, einsehbar waren. Laut Spiegel sind 20.000 Fahrzeuge in Österreich betroffen.

GERMANY-AUTOMOBILE-VOLKSWAGEN — Auch der ID.3 ist vom Datenleck betroffen

© APA/AFP/JENS SCHLUETER / JENS SCHLUETER

Anhand der Daten hätten Kriminelle und Spione die Bewegungsprofile einzelner Personen ableiten können. Sie würden laut Spiegel etwa Aufschluss geben, wer zu welcher Uhrzeit vor dem BND-Gebäude oder Militärstützpunkten parkte. Auch Phishing-Versuche, Erpressung und Stalking würden mit den Daten möglich. Komplexe Hacker-Werkzeuge seien dafür nicht nötig gewesen, lediglich "systematisches Raten", so der Spiegel.

Keine Handlungsbedarf bei Fahrzeughaltern

Cariad teilte dem Spiegel mit, man habe bisher "keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte". Für die Kundinnen und Kunden bestehe kein Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen seien. Die Analyse des Vorfalls sei aber noch nicht abgeschlossen.

Die Daten würden innerhalb des Konzerns niemals so zusammengeführt, dass ein Rückschluss auf einzelne Personen möglich sei oder Bewegungsprofile erstellt werden könnten. Volkswagen nutzt die Daten nach Angaben von Cariad dazu, um Batterien und die dazugehörige Software zu verbessern. Das Unternehmen spricht nicht von einer Sicherheitslücke, sondern einer "Fehlkonfiguration", die nur mit einem hohen Maß an Fachwissen Zugang zu den Daten ermöglicht hätte.