Thought Leadership
Eine Sicherheitslücke bei der VW-Softwaretochter Cariad hat monatelang sensible Standortdaten von rund 800.000 E-Autos des Volkswagen-Konzerns exponiert. Wie der SPIEGEL berichtet, waren detaillierte GPS-Daten und persönliche Informationen der Fahrzeughalter über einen ungeschützten Amazon-Cloud-Speicher frei zugänglich.
Die Daten ermöglichten die Erstellung präziser Bewegungsprofile der Fahrzeugnutzer. Die Datenpanne betrifft Fahrzeuge der Marken VW, Audi, Seat und Skoda. Bei etwa 460.000 Fahrzeugen waren präzise Standortdaten verfügbar, die sich mit den Kontaktdaten der Besitzer verknüpfen ließen. Besonders brisant: Unter den Betroffenen befinden sich Politiker, Wirtschaftsführer und möglicherweise auch Mitarbeiter von Sicherheitsbehörden. Die Hamburger Polizei etwa nutzt rund 35 elektrische Streifenwagen, deren Bewegungsdaten ebenfalls exponiert waren.
Die Daten umfassten nicht nur die GPS-Koordinaten der Fahrzeuge, sondern auch Informationen über Batterieladestände, Inspektionsstatus sowie exakte Zeitpunkte des Ein- und Ausschaltens der Fahrzeuge. Nicht nur Deutschland, sondern auch andere europäische Länder und weitere Regionen seien betroffen gewesen. Bei VW- und Seat-Modellen waren die Standortdaten auf 10 Zentimeter genau, bei Audi und Skoda auf 10 Kilometer. Bei den Modellen ID.3 und ID.4 protokollierte VW demnach besonders minutiös.
Technische Details der Sicherheitslücke
Der Zugang zu den sensiblen Daten erforderte keine ausgefeilten Hackermethoden. Mit frei verfügbaren Standardwerkzeugen war der Zugriff möglich. Durch systematisches Durchsuchen der Cariad-Webseiten konnten versteckte Unterseiten gefunden werden, die eigentlich nicht öffentlich zugänglich sein sollten. Die Dateinamen verrieten bereits den brisanten Inhalt. Ein besonders kritischer Fund: Ein ungeschützter Speicherauszug einer internen Cariad-Anwendung. Diese hochsensible Datei enthielt unverschlüsselte Zugangsdaten zu einem Amazon-Cloud-Speicher – der Schlüssel zu sämtlichen Fahrzeugdaten.
Der Chaos Computer Club, der den Hinweis erhalten hat, vergleicht den Fall mit „einem riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag“. Die fehlenden Schutzmaßnahmen offenbaren grundlegende Sicherheitsmängel im System der VW-Tochter.
Brisante Missbrauchsszenarien
Die mehrere Terabyte umfassende Datenmenge hätte für verschiedene Akteure wertvoll sein können. Ausländische Geheimdienste hätten beispielsweise leicht identifizieren können, welche Fahrzeuge regelmäßig vor Gebäuden des Bundesnachrichtendienstes oder am Militärflugplatz der US Air Force in Ramstein parken, schreibt der SPIEGEL.
Die Daten boten auch abseits von Geheimdienstszenarien erhebliches Missbrauchspotenzial. Betrüger hätten authentisch wirkende Phishing-Mails im Namen von VW oder Zulieferern erstellen können, um an sensible Zahlungsinformationen zu gelangen. Auch für Stalking boten die Daten eine gefährliche Grundlage, da sich Übernachtungsorte und tägliche Bewegungsmuster präzise nachvollziehen ließen.
Eine zusätzliche Dimension erhielt die Datenpanne durch die internationale Reichweite: Da auch Fahrzeugbewegungen in Krisenregionen wie der Ukraine und Israel erfasst wurden, hätten die Daten auch militärische Relevanz entwickeln können – etwa wenn sich bestimmte Zielpersonen unter den Fahrern befanden.
Die GPS-Daten von 460.000 Fahrzeugen ließen sich direkt mit Namen, E-Mail-Adressen und teilweise sogar Handynummern der Besitzer verknüpfen.
Reaktion und Behebung
Nach Hinweisen durch den Chaos Computer Club reagierte Cariad innerhalb weniger Stunden und schloss die Sicherheitslücke. Das Unternehmen bezeichnet den Vorfall als „Fehlkonfiguration“ und betont, dass nach bisherigem Kenntnisstand keine Daten missbräuchlich genutzt wurden. CCC-Sprecher Linus Neumann lobt die schnelle Reaktion: „Das technische Team von Cariad hat zügig, gründlich und verantwortungsbewusst reagiert.“
