Bei Volkswagen läuft es nicht so gut im aktuellen Skandal wahrscheinlich nicht das Niveau erreichen wird von der Dieselabgasskandal, eine Sicherheitslücke des VW-eigenen Softwareentwicklers Cariad hat Hackern die Standorte von etwa 800.000 Elektrofahrzeugen zugewiesen. Die App-Besitzer griffen auf viele Funktionen ihrer Autos zu, darunter das Vorheizen der Autos und die Überprüfung ihres Ladezustands, ließen die gesammelten Daten Berichten nach weitgehend ungeschützt. Spiegel berichtet.
Die Orte, an die sich die Leute begeben, und die anderen Daten, die möglicherweise dazu verwendet werden könnten, ein detailliertes Profil eines Besitzers und seiner Bewegungen zu erstellen, sollten für Außenstehende nicht zugänglich sein, doch laut Spiegel waren mehrere Terabyte an Besitzerdaten in der Cloud von Amazon gespeichert und für Hacker monatelang zugänglich. Wären die Daten anonym gewesen, wäre das schon schlimm genug gewesen, doch Berichten zufolge konnten sie auch mit den Besitzern und ihren Kontaktdaten verknüpft werden, was die Situation noch schlimmer machte. Die Betroffenen, darunter auch einige Lokalpolitiker, sind nicht glücklich:
Ein Whistleblower machte den Chaos Computer Club und den SPIEGEL auf die gravierende Sicherheitslücke aufmerksam. Nadja Weippert und Markus Grübel erklärten sich bereit, für ihre Recherchen die Datensätze ihrer Autos genauer unter die Lupe zu nehmen.
„Ich bin schockiert“, sagt Weippert, als der SPIEGEL ihr ihre Standortdaten der vergangenen Monate zeigt. Als Landes- und Kommunalpolitikerin sei sie Anfeindungen und Bedrohungen ausgesetzt. „Es kann nicht sein, dass meine Daten unverschlüsselt in der Amazon-Cloud gespeichert und dann noch nicht einmal ausreichend geschützt sind“, sagt sie. „Ich erwarte von VW, dass sie das einstellt, insgesamt weniger Daten sammelt und diese in jedem Fall anonymisiert.“
Auch Grübel findet den Datendiebstahl „ärgerlich und peinlich“ und sagt, er stärke das Vertrauen in die deutsche Autoindustrie nicht gerade. „Gerade im Hinblick auf das autonome Fahren und mögliche manipulative Hackerangriffe darauf besteht bei der IT-Kompetenz der Hersteller offensichtlich noch deutlicher Verbesserungsbedarf.“
Als der Spiegel die Daten überprüfte, konnte er die genauen Standorte von rund 460.000 Fahrzeugen erkennen und die Bewegungen einzelner Personen, darunter Politiker, Geschäftsleute und sogar Mitglieder der Hamburger Polizei, problemlos verfolgen. Möchten Sie sehen, welche Volkswagen-, Seat-, Skoda- und Audi-Besitzer das Artemis-Bordell in Berlin besuchen? Ea kinderleicht. Die gute Nachricht für die verheirateten Kunden des Bordells ist, dass der Spiegel eine Zeitung und kein internationaler Erpresserring ist. Wenn es Journalisten möglich war, an diese Informationen zu gelangen, gibt es gleichzeitig keinen Grund anzunehmen, dass sie nicht auch ausländischen Regierungen, Erpressern oder ausländischen Regierungen, die auf Erpressung aus sind, zur Verfügung standen.
Die gute Nachricht ist: Als Mitglieder des Chaos Computer Clubs Cariad kontaktierten, wurde das Problem Berichten zufolge schnell behoben. Wie Sprecher Linus Neumann dem Spiegel erklärte, „reagierte das technische Team von Cariad schnell, gründlich und verantwortungsbewusst.“ Dennoch ist es ein großes Problem, dass dies überhaupt ein Problem war, insbesondere wenn man bedenkt, wie einfach der Zugriff auf die Daten war:
Einem SPIEGEL-Team aus IT-Experten und Journalisten war es im Vorfeld möglich, die Schwachstelle zu reproduzieren. Weder Geheimdienste n noch spionierende VW-Konkurrenten, Kriminelle oder auch gelangweilte Teenager hätten es vor echte Herausforderungen gestellt, sich Zugriff zu erlangen.
Alles lag offen da, man musste nur wissen, wo man suchen musste. Nichts weiter als ein paar frei verfügbare Computerprogramme, die zu den Standardwerkzeugen krimineller Machenschaften gehören. Hacker und IT-Sicherheitsexperten wurden benötigt.
Vereinfacht ausgedrückt ermöglichten sie es, durch systematisches Raten bestimmte Cariad-Websites und deren Unterseiten zu finden, auch wenn einige davon für normale Benutzer unsichtbar sind. Dadurch wurden Pfade sichtbar, die direkt zu Dateien führten, deren Erweiterungen darauf hinwiesen, dass sie sensible Inhalte enthalten könnten. Einer dieser Pfade führte zu einer Kopie des aktuellen Speicherauszugs einer internen Cariad-Anwendung. eine Datei sollte überhaupt nicht oder zumindest nicht ohne Passwortschutz im offenen Internet verfügbar sein. Moderne Sicherheitsprogramme und Verfahren sollten eigentlich in der Lücke en entdecken können. Weil dies bei Cariad nicht der Fall war, hätten Angreifer den Speicherauszug einfach herunterladen und öffnen können. Er enthielt – leicht auffindbar – die Zugangsdaten zu einem Cloud-Speicher bei Amazon.
Der Cloud-Speicher selbst enthielt die Daten der einzelnen Fahrzeuge, sofort erkennbar an den Bezeichnungen für den Batterieladestand , den Prüfstatus sowie die Kategorien „Motor an“ und „Motor aus“. Letztere enthielten neben der Uhrzeit auch die Längen- und Breitengrade und damit die Position des Autos bei Abschaltung des Elektromotors. Bei den VW-Modellen und Seats waren diese Geodaten auf zehn Zentimeter genau, bei Audis und Skodas auf zehn Kilometer genau und damit unproblematischer.
Weitere Zugangsdaten fanden sich an anderer Stelle, diesmal für einen VW-spezifischen Dienst. Diese er möglicht Autobesitzern über eine App ein persönliches Profil anzulegen und mit ihrem Fahrzeug zu verknüpfen. Über diese Zugangsdaten konnte VW für alle registrierten Nutzer der App die Datenbank abgefragt werden – und mit dem ersten VW-Dienst verknüpft werden. Autodatensatz. Dadurch war es möglich, die detaillierten Bewegungsdaten einzelnen Personen zuzuordnen, inklusive E-Mail-Adressen und teilweise auch Adresse und Handynummer. Linus Neumann vom CCC vergleicht es mit „einem riesigen Schlüsselbund, der unter einer viel zu kleinen Fußmatte liegt.“
Ja, das ist überhaupt nicht gut. Es gibt noch viel mehr zu den Ermittlungen des Spiegels zu sagen, also schauen Sie unbedingt dort vorbei und Lesen Sie den von Google übersetzten Artikel sorgfältig durch. Es sei denn, Sie sprechen Deutsch. In diesem Fall geht es Ihnen besser als den meisten von uns.
H/T: Motor1
Dieser Inhalt wurde maschinell aus dem Originalmaterial übersetzt. Aufgrund der Nuancen der automatisierten Übersetzung können geringfügige Unterschiede bestehen. Für die Originalversion klicken Sie hier