Standortdaten von VM–E-Autos frei zugänglich

Der CCC (Chaos Computer Club) hat entdeckt, dass Bewegungsdaten von 800.000 E-Autos der VW-Gruppe samt vollständigen Kontaktinformationen der Besitzer ungeschützt im Netz standen. Sowohl von VW als auch Seat, Audi und Skoda. Ich habe das zuerst nebenher auf Spiegel Online mitbekommen und erst einmal für typisches Clickbaiting gehalten. „Wir wissen, wo dein Auto steht“. Sensationsheischend – dachte ich. Aber die Sache ist noch schlimmer. Das reicht von der Sicherheitslücke selbst bis hin zur Tatsache, dass überhaupt diese Daten von VW bzw. deren Tochter Cariad gespeichert wurden.

Letzteres hat man als Käufer vermutlich mit dem Kaufvertrag bzw. der Nutzung der Volkswagen-App genehmigt, denn die braucht man wohl, um alle Features eines modernen Autos voll zu nutzen. Also etwa das Auto vorheizen, Ladestand der Batterie ablesen oder die aktuelle Reichweite checken. Aber die App bzw. die E-Autos von VW sammeln dabei angeblich zig überflüssige Daten (genaue GPS-Daten des jeweiligen Abstellorts, den Inspektionsstatus oder ob der Motor an bzw. ist aus) und übertragen diese an den Hersteller. Mit so Datensätzen können ganz leicht detaillierte Bewegungsprofile erstellt werden. Z.B. ob und wie lange man vor einem Bordell, einer Militärbasis, einer Suchtklinik oder dem BND parkt, was teils auch sehr provokant in den Überschriften der entsprechenden Artikel zu finden ist und mich eben erst gesagtes Clickbaiting vermuten liess.

Aber tatsächlich sind diese gesammelten Informationen für zig Stellen interessant. Für Autoversicherer, Betrüger, Erpresser, Einbrecher, Stacker, ausländische Geheimdienste (Hinweis des CCC-Sprechers hinsichtlich längerer Parkdauer in Pullach) bis hin zu potentiellen Attentätern bei exponierten Personen oder elektrischen Streifenwagen der Polizei.

Denn diese Daten wurden eben nicht nur von VW gesammelt – sie waren unverschlüsselt und ungeschützt in der Amazon-Cloud zu finden. Man musste nur wissen, wo man suchen muss. Größtenteils stammen die Daten aus dem Jahr 2024, teils reichen sie sogar weiter zurück und sind je nach Fahrzeugmodell unterschiedlich genau.

Was bei dem Skandal für VW bzw. deren Tochter Caraid spricht und expizit vom CCC gelobt wird, ist der Umgang mit Hinweisen des CCC zur Sicherheitslücke. Angeblich wurde sehr schnell reagiert und die Lücke geschlossen. Da haben in der Vergangenheit von Sicherheitslücken betroffene Firmen oft schlechter reagiert.

Was aber wieder zur Frage führt, wozu all diese Daten von VW gesammelt werden? Diese hat der Spiegel wohl als Presseanfrage auch gestellt und eine lächerliche und absolut ungenügende Antwort erhalten, dass diese Daten genutzt würden, um Batterien und die dazugehörige Software zu verbessern.

Ein Witz und leider ist gesichert, dass auch andere Autohersteller so radikal Datenschutz als überflüssig betrachten, wenn eigene Ziele durch Spionage leichter zu erreichen sind. Die unzähligen Sensoren moderner Autos sammeln überall Massen an Daten, welche die Hersteller oft verwerten und sogar verkaufen.  Mozilla hat 2023 nicht umsonst das Fazit gezogen, dass moderne Autos ein Albtraum für die Privatsphäre sind.

Mir wird immer wieder klar, dass meine Entscheidung, niemals wieder ein neues Auto zu kaufen, unabdingbar ist. Einerseits ist das ein bisschen inkonsequent, da ich ja unlängst einen Saugroboter angeschafft habe und auch natürlich ein SmartPhone verwende. Aber das ist m.E. nicht vergleichbar mit diesem Datenschutzalbtraum der Autohersteller. Ich frage mich, wie sowas mit der DVGVO in Einklang zu bringen ist? Aber an die Autohersteller traut sich die deutsche Politik natürlich nicht ran. Also bleibt nur der Protest des kleinen Manns mit der Verweigung, diese Spione zu kaufen.