Volkswagen sammelt Volksdaten

Nachdem der Abgasskandal knapp zehn Jahre nach der erstmaligen Entdeckung sogenannter Abschalteinrichtungen in diversen Fahrzeugmodellen der Volkswagen-Gruppe noch immer deutsche Gerichte beschäftigt, tritt der Automobilkonzern erneut negativ in Erscheinung. Wie der Spiegel berichtete, wurden die Daten von 800.000 Fahrzeugen, davon 300.000 in Deutschland, und ihren Eigentümer:innen in einer Cloud von Amazon Web Services (AWS) gespeichert und dort unzureichend gesichert. Die Folge: Für jeden, der über die nötigen IT-Kenntnisse verfügt, waren die Daten zugänglich.

Was bisher geschah

Moderne Autos sammeln eine enorme Anzahl an Daten. Neben allgemeinen Fahrzeugdaten, wie Motorzustände, Temperaturen oder den Stand der Akkuladung bzw. Tankfüllung, werden auch personenbezogene Daten der Eigentümer:innen bzw. Fahrer:innen erhoben, z.B. Namen und Kontaktdaten, Account-Einstellungen sowie Standortdaten. Bei Fahrzeugmodellen der Automarken Volkswagen, Audi, Skoda und Seat gelang es einem anonymen Hinweisgeber, auf all diese Daten Zugriff zu erlangen. Grund dafür war, dass das Volkswagen-Tochterunternehmen Cariad, das für die Entwicklung und den Betrieb der Softwareplattform für Fahrzeuge des Konzerns zuständig ist, die Daten nicht ausreichend sicherte. Mit einfachen, frei verfügbaren IT-Werkzeugen war es möglich, bestimmte Websites und deren Unterseiten von Cariad aufzurufen, die nicht für die Öffentlichkeit bestimmt waren. Auf diesen Seiten befanden sich u.a. die Zugangsdaten zu einer AWS-Cloud, auf der die Fahrzeug- und Kundendaten aus dem Zeitraum von Dezember 2022 bis September 2024 unverschlüsselt gespeichert wurden. Der Hinweisgeber wandte sich mit dieser Information an den Chaos Computer Club, dessen Ziel es ist, die allgemeine IT-Sicherheit zu erhöhen. Gemeinsam informierten sie Cariad über die Sicherheitslücke und gaben eine 30-tägige Frist zur Behebung, bis sie die Lücke öffentlich machen würden. Cariad reagierte sofort, schloss die Sicherheitslücke innerhalb weniger Stunden und bezeichnete diese als „Fehlkonfiguration“.

Was sind die Folgen?

Nach Aussage von Cariad wurde die Sicherheitslücke vor dem Hinweisgeber nicht entdeckt bzw. ausgenutzt. Zudem seien keine sensiblen Daten betroffen gewesen: Kund:innen müssten daher nicht weiter tätig werden. Zumindest im Fall der Standortdaten, durch die sich umfassende Bewegungsprofile einzelner Personen erstellen ließen, ist diese Aussage mehr als fragwürdig. Im Fall von Volkswagen und Seat ließ sich der Standort auf 10 cm genau nachvollziehen, bei Audi und Skoda hingegen nur auf 10 km genau. Nach Recherchen des Spiegels waren neben Privatpersonen auch Unternehmens- und Behördenfuhrparks von DAX-Unternehmen und Sicherheitsbehörden wie der Polizei oder dem Bundesnachrichtendienst betroffen. Diese Informationen bergen in den falschen Händen ein enormes Sicherheitsrisiko für die betroffenen Personen und den Staat.

Die Sicherheitslücke offenbart gleich mehrere Verstöße gegen Grundsätze der Informationssicherheit und des Datenschutzes: Offensichtlich ist, dass die technischen und organisatorischen Maßnahmen des Konzerns nicht ausreichten, um die betroffenen Daten zu schützen. Abgesehen davon aber stellt sich die Frage, ob diese Daten überhaupt in diesem Umfang und über diese Dauer erhoben bzw. gespeichert werden durften. Insbesondere mit Blick auf die bestehenden bzw. bald in Kraft tretenden europäischen Datengesetze, wie den Data Act, wird der Automobilhersteller prüfen müssen, ob er seine Praktiken entsprechend anpassen muss. Hierbei handelt es sich allerdings um ein Problem der gesamten Automobilbranche, da ähnliche Praktiken auch von BMW, Mercedes und Renault bekannt sind.

Denkbar erscheint es nun, dass sich die Volkswagen-Gruppe einer Klagewelle von betroffenen Kund:innen ausgesetzt sehen wird. Schließlich hat der Europäische Gerichtshof Ende 2024 entschieden, dass ein Datenschutzverstoß auch ohne Eintritt eines tatsächlichen, bezifferbaren Schadens einen Schadenersatzanspruch in Form von Schmerzensgeld begründen kann.