Das berichtet der „Spiegel“ in einer gemeinsamen Recherche mit dem Chaos Computer Club (CCC). Demnach waren mehrere Terabyte an Daten „weitgehend ungeschützt zugänglich“, die in einem Cloudspeicher der Amazon-Tochter AWS abgelegt waren. Bei rund 460.000 Fahrzeugen waren sogar präzise Standortdaten einsehbar, beim Rest ließen sich viele Fahrzeugdaten mit Namen und Kontaktdaten verknüpfen – etwa von Fahrer, Eigentümer oder dem Fuhrparkverantwortlichen.

Auf den Hinweis eines Informanten konnte ein „Spiegel“-Team“ die Schwachstelle nach eigenen Angaben nachvollziehen. Über einige Umwege und „systematisches Raten“ erhielt das Team Zugriff auf eine „Kopie des jeweils aktuellen Speicherauszugs einer Cariad-internen Anwendung“. Dort fanden die Reporter und IT-Spezialisten die Zugangsdaten zu dem erwähnten Cloudspeicher. Dort waren die Daten der einzelnen Fahrzeuge abgelegt, unter anderem zum übermittelten Ladestand der Batterie, Inspektionsstatus und ob der Antrieb ein- oder abgeschaltet ist.

Brisant: Wenn er abgeschaltet wurde, wurde neben der Uhrzeit auch die Position des Autos übermittelt. Mit 300.000 Fahrzeugen ist Deutschland am stärksten betroffen, es folgen mit Norwegen (80.000 Fahrzeuge), Schweden (68.000) und Großbritannien (63.000) weitere europäische Länder mit recht hoher E-Auto-Verbreitung.

Da an anderer Stelle auch Zugangsdaten für einen VW-eigenen Dienst abgelegt waren, konnten die Informationen aus den Fahrzeugdaten mit registrierten Usern verknüpft werden. Auf diese Weise konnte der „Spiegel“ die Bewegungsprofile zweier Regionalpolitiker (mit deren Genehmigung) genau analysieren, aber auch Fahrzeugdaten weiteren Politikern, Wirtschaftsbossen oder der Hamburger Polizei mit ihren rund 35 elektrischen Streifenwagen zuordnen, um nur einige Beispiele zu nennen. Beim VW ID.3 und ID:4 waren die Daten offenbar besonders detailliert, teilweise wurde der Standort auf zehn Zentimeter genau gespeichert. Bei den betroffenen MEB-Modellen von Audi und Seat, also dem Q4 e-tron und Cupra Born, war es hingegen nur auf zehn Kilometer genau, womit ein Bewegungsprofil deutlich weniger aussagekräftig wäre.

Der CCC hatte im Vorfeld einen entsprechenden Hinweis und technische Details an Cariad übermittelt und vor Veröffentlichung der Firma 30 Tage Zeit gegeben, die Daten zu schützen. Cariad habe „binnen weniger Stunden“ reagiert, die Lücke ist geschlossen und die Daten sind nicht mehr zugänglich. Aber: Statt von einer Sicherheitslücke spricht die Firma lieber von einer „Fehlkonfiguration“. Es habe außer dem CCC niemand auf die Systeme zugegriffen und es gebe „keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte“. Cariad sammle die Daten, um etwa das Ladeverhalten von Kunden zu analysieren, damit die Batterien und Software verbessert werden könne.

spiegel.de