Sicher­heit­s­panne bei VW: Daten von rund 800.000 E-Autos geleakt

» News » Sicher­heit­s­panne bei VW: Daten von rund 800.000 E-Autos geleakt
  • Lesedauer:4 min Lesezeit

Sensible Infor­ma­tionen und Standorte von Kunden sickerten unbemerkt durch die Cloud

Ein Datenleck bei VW hat dazu geführt, dass die Standort- und Kontakt­daten von rund 800.000 Elektro­autos und ihren Besitzern ungeschützt im Netz zugänglich waren. Terabytes an sensiblen Infor­ma­tionen waren über Monate über die Amazon Cloud für jedermann einsehbar. Die kompro­mit­tierten Daten sind besonders sensibel, weil damit Bewegungs­profile erstellt werden können. Betroffen sind unter anderem Politiker, Geschäfts­leute und Polizisten, die meisten Daten stammen wohl aus den Modellen ID.3 und ID.4.

Sicherheitspanne bei VW: Daten von rund 800.000 E-Autos geleaked
Wright Studio / shutterstock.com

VW vor dem nächsten Skandal

Die deutsche Automo­bil­in­dustrie steckt in der Krise. Hohe Kosten, ein schwie­riges Verhältnis zur Elektro­mo­bi­lität sowie drohende Zölle der neuen US-Administration unter Donald Trump machen der Branche zu schaffen.

Doch damit nicht genug: Beim VW-Konzern steht bereits der nächste Skandal ins Haus. Ein mehrere Terabyte großer Datenpool zu rund 800.000 E-Autos war monatelang größten­teils ungesi­chert in einem Cloud-Speicher von Amazon zugänglich – und mit ihm die Standort- sowie Kontakt­daten der Kunden.

ID.3 einer grünen Bürger­meis­terin sendet Positionsdaten

Unter denen sich auch die Grünen-Politikerin Nadja Weippert befand. Erst im September hatte sie ihren neuen ID.3 in Betrieb genommen und dafür die Volkswagen-App instal­liert. Über die Software können einige Zusatz­funk­tionen wie Vorheizen oder das Ablesen des Ladezu­stands der Batterie genutzt werden.

Ironi­scher­weise ist Weippert auch Sprecherin für Daten­schutz ihrer Fraktion im nieder­säch­si­schen Landtag sowie Bürger­meis­terin des Ortes Tostedt. Wie sich aus den geleakten Daten einsehen lässt, sendete die App nach der Einrichtung regel­mäßig Standorte an VW – jedes Mal, wenn sie den Motor abstellte.

Hieraus lässt sich mit Leich­tigkeit ein Bewegungs­profil erstellen, in dem der Landtag Hannover, Arztpraxen und Sport­vereine, das heißt der gesamte Lebens­alltag der Politi­kerin gespei­chert ist.

Kosename von CDU-Bundestagsabgeordnetem enthüllt

Ein ähnliches Datenschutz-Fiasko ereignete sich bei dem CDU-Bundestagsabgeordneten Markus Grübel aus Esslingen am Neckar. Er hatte in seinen Daten den Spitz­namen „Kussi“ hinterlegt.

Sein Fahrzeug stand den durch­ge­si­ckerten Daten zufolge gelegentlich vor dem Pflegeheim, in dem sein Vater lebt, sowie vor einer Kaserne – Grübel ist Mitglied im Vertei­di­gungs­aus­schuss und war bis 2018 Staats­se­kretär im Vertei­di­gungs­mi­nis­terium. Auch ein Kurzurlaub im Allgäu lässt sich anhand seiner Fahrzeug­daten rekonstruieren.

300.000 betroffene Stromer in Deutschland

All diese Daten hätten besser geschützt werden müssen. Von den 800.000 betrof­fenen VWs, Seats, Audis und Skodas aus unter­schied­lichsten Ländern Europas und der Welt sollen 300.000 in Deutschland zugelassen sein.

Die IT-Panne gilt als besonders gravierend, da sich die Fahrzeug­daten auch mit den Kontakt­daten ihrer Fahrer, Halter und Fuhrpark­ma­nager verknüpfen lassen. Grund für das Leck soll ein Fehler der VW-Tochter Cariad im vergan­genen Sommer sein, der über lange Zeit nicht bemerkt worden war.

Erst durch einen anonymen Hinweis­geber wurden sowohl der Spiegel als auch der Chaos Computer Club auf die Schwach­stelle aufmerksam. Daraufhin stellten die Politiker Weippert und Grübel den Hackti­visten die Daten­sätze ihrer Fahrzeuge für weitere Unter­su­chungen zur Verfügung.

Betroffene Politiker fordern mehr Cyber­si­cherheit im Auto

„Ich bin geschockt“, so Weippert gegenüber dem Spiegel. Für sie als Politi­kerin, die sich regel­mäßig Drohungen und Anfein­dungen ausge­setzt sieht, ist das Schlupfloch besonders bedenklich.

„Es kann nicht sein, dass meine Daten unver­schlüsselt in der Amazon-Cloud gespei­chert und dann nicht mal ausrei­chend geschützt werden. Ich erwarte, dass VW das abstellt, insgesamt weniger Daten erhebt und diese auf jeden Fall anonymisiert.“

Auch Markus Grübel hält die Daten­panne für „ärgerlich und peinlich“. Die Hersteller müssten in puncto Cyber­si­cherheit noch eine Schippe drauf­legen, „besonders mit Blick aufs autonome Fahren“.

Den meisten ist nicht klar, wie gläsern ihr Auto ist

Spiegel.de zufolge sind neben Weippert und Grübel auch weitere Politiker, Unter­neh­mens­chefs, die Hamburger Polizei sowie mutmaß­liche Geheim­dienst­mit­ar­beiter betroffen. Den meisten war wohl nicht klar, wie trans­parent sie in ihren digita­li­sierten Fahrzeugen sind.

Bei etwa der Hälfte, darunter Fahrer von VW-Modellen wie ID.3 und ID.4, sind die Daten besonders präzise und zeigen, wann und wo das Auto gestartet und abgestellt wurde. Die meisten Daten stammen aus 2024, einige reichen weiter zurück.

Bußgeld­vor­würfe stets über Geblitzt.de prüfen lassen

Bei Geblitzt.de arbeitet die CODUKA GmbH eng mit großen Anwalts­kanz­leien zusammen und ermög­licht es Betrof­fenen, sich gegen Bußgelder, Punkte und Fahrverbote zu wehren.

Rechts­schutz­ver­si­che­rungen übernehmen die Kosten eines vollstän­digen Leistungs­spek­trums unserer Partner­kanz­leien. Ohne eine vorhandene Rechts­schutz­ver­si­cherung übernimmt die CODUKA GmbH als Prozess­fi­nan­zierer die Kosten der Prüfung der Bußgeld­vor­würfe und auch die Selbst­be­tei­ligung Ihrer Rechtsschutzversicherung.

Täglich erreicht das Geblitzt.de-Team eine Flut von Anfragen. 12 % der betreuten Fälle werden einge­stellt, bei weiteren 35 % besteht die Möglichkeit einer Strafreduzierung.

Quelle: spiegel.de