1. Beschreibung des Vorfalls
Der Vorfall, um den es hier geht, ist ein schwerwiegender Sicherheitsvorfall, bei dem die Standort- und Kontaktdaten von 800.000 Kunden von Volkswagen Elektrofahrzeugen (EV) ungeschützt auf Amazon Cloud öffentlich zugänglich gemacht wurden. Diese Daten waren mehrere Monate Ende 2024 ungeschützt und für jedermann zugänglich.
2. Art der offengelegten Daten
| Art der Daten | Beschreibung |
|---|---|
| Persönliche Daten der Nutzer | Namen, Kontaktinformationen und Daten der Fahrzeughalter. |
| Fahrzeugdaten | Spezifische Fahrzeugdaten wie Marke, Modell, Fahrzeug-Identifikationsnummer (VIN), Fahrzeugzustand, Kilometerstand und technische Merkmale. |
| Bewegungsdaten der Fahrzeuge | Genaue Fahrzeugstandorte während der Fahrt, einschließlich GPS-Daten, Geschwindigkeit und Zeit. |
| Echtzeit-Fahrzeugdaten | Informationen über den Zustand des Fahrzeugs in Echtzeit, einschließlich Batteriestatus, Temperatur, Energieverbrauch und andere Parameter. |
3. Wie kam es zu dem Sicherheitsvorfall?
Der Vorfall wurde durch eine Fehlerhafte Sicherheitskonfiguration verursacht, die bei der Amazon Web Services (AWS)-Cloud von Cariad, der Softwaretochtergesellschaft von Volkswagen, aufgetreten ist. Die Hauptursachen des Vorfalls sind:
| Ursache | Erklärung |
|---|---|
| Fehlerhafte Konfiguration | Die Daten wurden in einem „öffentlichen“ (public) Verzeichnis auf AWS gespeichert, was es jedem mit dem richtigen URL ermöglichte, darauf zuzugreifen. |
| Fehlende Passwortschutzmaßnahmen | Die Daten waren nicht mit entsprechenden Authentifizierungsmechanismen oder Verschlüsselung geschützt. |
| Mangelnde Überwachung | Die Zugriffsdaten auf AWS wurden nicht ausreichend überwacht, was dazu führte, dass der Vorfall über einen längeren Zeitraum unentdeckt blieb. |
4. Menge und Arten der betroffenen Daten
| Land | Anzahl der betroffenen Fahrzeuge |
|---|---|
| Deutschland | ca. 300.000 |
| Norwegen | ca. 80.000 |
| Schweden | ca. 68.000 |
| Vereinigtes Königreich | ca. 63.000 |
| Niederlande | ca. 61.000 |
| Frankreich | ca. 53.000 |
| Belgien | ca. 38.000 |
| Dänemark | ca. 35.000 |
| Schweiz | ca. 22.000 |
| Österreich | ca. 20.000 |
5. Wie wurde der Vorfall behoben?
Nachdem der Chaos Computer Club (CCC) Cariad über den Vorfall informiert hatte, wurde das Problem schnell behoben, allerdings erst nachdem es entdeckt wurde. Die Lösung beinhaltete:
- Zugangskontrolle gestoppt: Alle Daten wurden aus dem öffentlichen AWS-Verzeichnis entfernt.
- Überprüfung der Zugriffsrechte: Strengere Zugriffsrechte wurden für die Daten implementiert.
- Erstellung neuer Sicherheitsrichtlinien: Es wurden neue Verfahren eingeführt, um sicherzustellen, dass ein solcher Vorfall nicht erneut auftritt.
6. Sicherheit in der Automobilindustrie
Dieser Vorfall zeigt die wachsende Besorgnis über die Datensicherheit in der Automobilindustrie, insbesondere mit der zunehmenden Anzahl von vernetzten Fahrzeugen (connected cars). Aufgrund der Menge und Sensibilität der Daten, die moderne Fahrzeuge generieren, steht die Industrie vor großen Herausforderungen, diese Daten zu schützen.
| Frage | Details |
|---|---|
| Datensicherheit in Fahrzeugen | Aufgrund von Standort-, Identitäts- und Fahrdaten besteht ein ernsthaftes Risiko der Datenmissbrauch durch böswillige Akteure. |
| Rechtlicher Rahmen | Mit der Einführung des EU-Datenakts wird eine größere Transparenz in Bezug auf die gesammelten Fahrzeugdaten geschaffen, die den Nutzern mehr Kontrolle gibt. |
| Echtzeit-Fahrzeugdaten | Moderne Autos nutzen häufig Echtzeitdaten zur Optimierung der Fahrzeugleistung, doch diese Daten sind oft nicht ausreichend geschützt, was zu Risiken führt. |
7. Zukünftige Schutzmaßnahmen
In Zukunft wird erwartet, dass Fahrzeughersteller stärkere Sicherheitsmaßnahmen ergreifen, um Nutzerdaten und Fahrzeugdaten zu schützen:
| Schutzmaßnahme | Erklärung |
|---|---|
| End-to-End-Verschlüsselung | Daten sollten von der Erfassung bis zum Zugriff verschlüsselt werden, um unbefugten Zugriff zu erschweren. |
| Sicherheitsprotokolle für den Zugang | Einführung von Zwei-Faktor-Authentifizierung und strengeren Zugriffsrechten für Daten in den Systemen. |
| Rechtliche Einhaltung | Erhöhung der Transparenz und Kontrolle der Nutzerdaten durch Gesetze wie den EU-Datenakt. |
Fazit
Dieser Vorfall ist eine ernsthafte Erinnerung daran, wie sensibel die Daten von Fahrzeugen sind und wie wichtig es ist, dass Fahrzeughersteller in die Datensicherheit investieren. Die Ausweitung der Gesetzgebung zum Thema Datenschutz, wie der EU-Datenakt, kann dazu beitragen, die Sicherheit für Nutzer zu erhöhen, aber auch die Hersteller müssen ihre Sicherheitsprotokolle kontinuierlich verbessern, um ähnliche Vorfälle in der Zukunft zu verhindern.
