Teilweise zentimetergenau sind die Nutzungsprofile einiger VW-Kunden öffentlich einsehbar. Eine IT-Lücke offenbart die Standortdaten vieler E-Auto-Fahrer. Die Panne ist mittlerweile behoben, Missbrauch gibt es offenbar nicht.

Standortdaten von rund 800.000 Elektroautos der Marken Volkswagen, Audi, Seat und Skoda waren einem Medienbericht zufolge ohne Passwortschutz im Internet abrufbar. Im Fall von VW-Modellen und Seats waren die GPS-Daten auf zehn Zentimeter genau, bei Audis und Skodas auf zehn Kilometer, berichtet der "Spiegel". Die Softwarelücke sei mittlerweile behoben, Hinweise auf Missbrauch gebe es keine.

03:00 min

Wirtschaft 23.12.24

Iredi zur Krise in Wolfsburg "VW-Mitarbeiter müssen den Gürtel enger schnallen"

In vielen Fällen ließen sich die Fahrzeugdaten mit Namen und Kontaktdaten ihrer Besitzerinnen und Besitzer kombinieren, da auch diese im Netz auffindbar waren. Auf diese Weise hätten Angreifer Bewegungsprofile von Privatpersonen, aber auch Politikerinnen, Polizeifahrzeugen und mutmaßlichen Nachrichtendienstmitarbeitern erstellen können, schreibt der "Spiegel" weiter.

Hinweisgeber hätten die mehrere Terabyte große Datensammlung mithilfe von frei verfügbaren Computerprogrammen entdeckt, die in der Branche als Standardwerkzeuge gelten. Daraufhin sei das Problem dem Chaos Computer Club (CCC) gemeldet worden. CCC-Sprecher Linus Neumann verglich die Sicherheitslücke im "Spiegel" mit "einem riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte lag".

"Ärgerlich und peinlich"

Eigenen Angaben zufolge konnte das Nachrichtenmagazin die zugrundeliegende IT-Schwachstelle nachvollziehen und die Daten analysieren. Die niedersächsische Landtagsabgeordnete Nadja Weippert vom Bündnis 90/Die Grünen, von der Daten ihres VW ID.3 abrufbar waren, zeigte sich "geschockt". Sie erwarte, "dass VW das abstellt, insgesamt weniger Daten erhebt und diese auf jeden Fall anonymisiert", sagte sie dem "Spiegel".

Der CDU-Bundestagsabgeordnete Markus Grübel, der ebenfalls betroffen ist, bezeichnete die Datenpanne als "ärgerlich und peinlich", sie stärke nicht gerade das Vertrauen in die deutsche Autoindustrie. "Besonders mit Blick aufs autonome Fahren und mögliche manipulierende Hackingangriffe darauf, muss die IT-Kompetenz der Hersteller offenbar noch deutlich zulegen."

Der CCC habe die Sicherheitslücke der Volkswagen-Tochterfirma Cariad gemeldet, die für die Software der E-Autos des Konzerns zuständig ist. Cariad sprach im "Spiegel" von einer "Fehlkonfiguration", man habe aber bisher "keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte". Für die Kundinnen und Kunden bestehe "keinerlei Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen sind", teilte das Unternehmen mit.

Volkswagen nutzt die Daten nach Angaben von Cariad dazu, um Batterien und die dazugehörige Software zu verbessern. Das Unternehmen betonte, dass die Daten innerhalb des Konzerns niemals so zusammengeführt werden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden". Die Schwachstelle sei mittlerweile von Cariad behoben worden.