Die zweite große Cybersicherheitslücke im Fall VW ist innerhalb kurzer Zeit aufgedeckt worden. Es wurde berichtet, dass in mehr als 1 Million Pkw Schwachstellen gefunden wurden, die es Hackern ermöglichen könnten, die Fahrgäste abzuhören. Jetzt berichten wir, dass bei 800.000 Fahrzeugen hochsensible Informationen ins Internet gelangt sein könnten.

Der Vorfall wurde dem Spiegel zuerst von einem anonymen Informanten gemeldet, der sich auch an die Hacker-Gruppe Chaos Computer Club, die größte ihrer Art in Europa, wandte. Hier begannen die ernsthafteren Ermittlungen der Behörden. Die vollständigen Details des Falls sind noch nicht bekannt, aber es scheint, dass die Quelle des Problems bei Cariad lag, wo eine unsachgemäße Nutzung der Cloud-Speichereinrichtungen von Amazon dazu geführt haben könnte, dass eine schwindelerregende Menge an sensiblen Informationen online verfügbar gemacht wurde.

Cariad ist die 2020 gegründete, konzerneigene Software-Tochter des VW-Konzerns. Dies war notwendig, damit das Unternehmen in einem wettbewerbsintensiveren Softwaremarkt, in dem es stark zurücklag, besser konkurrieren kann. Cariad hat eine große Verantwortung für die Entwicklung, und es scheint, dass der Unterauftragnehmer bei seiner Arbeit Fehler macht. Dies könnte das Unternehmen nun einen erheblichen Vertrauensverlust kosten, und es kann von Glück reden, wenn sich nicht herausstellt, dass die über den Cloud-Speicherdienst von Amazon verfügbaren Informationen missbraucht wurden.

Da nur Elektroautos von dem Leck betroffen waren, geht man davon aus, dass sich ein Fehler in einer Softwareentwicklung eingeschlichen hat, der nur reine Elektrofahrzeuge betrifft. Die Daten wurden verwendet, um auf einfache Weise Kontaktinformationen, Namen, Telefonnummern und E-Mail-Adressen mit dem genauen Standort der Nutzer auf der Grundlage von Standortdaten zu verknüpfen. Schließlich war es möglich, zu sehen, wo sie anhielten und wo sie mit ihren Fahrzeugen regelmäßig abfuhren.

Die durchgesickerten Standortdaten waren teilweise extrem genau. Die Modelle von Volkswagen und Seat waren bis auf 10 Zentimeter genau, die von Audi und Skoda bis auf einen Kilometer genau. Von den 800.000 betroffenen Fahrzeugen wiesen etwa 460.000 Modelle sehr genaue Standortdaten auf.

Cariad teilte mit, das Problem sei inzwischen behoben worden und man habe versucht, die Situation in ein besseres Licht zu rücken, indem man hinzufügte, dass "sensible Informationen wie Passwörter oder Zahlungsdaten nicht verfügbar waren und von dem Fall nicht betroffen sind". Sie wiesen auch darauf hin, dass die Nutzer ohne ihr Zutun nichts tun können, um in Zukunft eine angemessene Sicherheit zu gewährleisten. Volkswagen und Cariad haben auf Anfrage der Presse keine Einzelheiten mitgeteilt.

Fahrzeughersteller werden regelmäßig dafür kritisiert, dass sie eine ungerechtfertigte Menge an Daten sammeln und nicht genügend Cybersicherheit bieten. Es ist nicht das erste Mal, dass solche Daten ohne angemessenen Schutz im Internet auftauchen, und es wird sicher nicht das letzte Mal sein. Das liegt zum Teil an dem rasanten Tempo, mit dem die Unternehmen versuchen, den jahrelangen Rückstand bei der Softwareentwicklung aufzuholen. Zuvor hatte die Mozilla Foundation eine umfassende Studie veröffentlicht, aus der hervorging, dass 25 von 25 Marken bei ihren Datenschutztests durchgefallen waren. Die Ergebnisse wurden von Experten als Albtraum bezeichnet.