Es ging an Weihnachten nur ganz kurz durch die Medien, bei der Volkswagen AG gab es ein Datenleck: Tagesschau.de.
Betroffen waren ausschließlich Fahrzeuge des Modularen Elektro Baukastens (MEB) und dort auch nur diejenigen, deren Besitzer die Online-Dienste aktiviert hatten. Schwer betroffen waren Fahrzeuge von Seat und VW, deren Positionsdaten GPS genau abgelegt waren, leicht betroffen waren Audi und Skoda, deren Positionsdaten auf 10km aufgerundet gespeichert wurden.
Auf einem Vortrag auf dem Chaos Communication Congress haben ein Hacker den technischen Hintergrund und ein Journalist die Auswirkungen erläutert.
Die Lücke war schon extrem gravierend, daher wundert es mich ein wenig, dass es untergegangen ist. Andererseits waren diese Winterferien auch gespickt mit Nachrichten von Psychopathen, Amokläufern und Flugzeugabstürzen.
Ich würde es begrüßen, wenn ihr das Thema noch mal in der Lage aufgreift, denn aus den Nachrichten (ohne CCC Video) ist mir die Tragweite nicht bewusst geworden und die Lage hat ja mittlerweile schon eine große Reichweite.
Hier eine kurze Zusammenfassung, das Video ist aber nicht lang (30m) und der Datenteil kommt in der zweiten Hälfte mit dem zweiten Vortragenden:
Die Zugangsdaten zu VWs AWS Cloud waren unverschlüsselt in heapdump files.
Die personenbezogenen Daten der Nutzer waren in den Datenbanken nicht verschlüsselt.
Daten (Benutzer, Email, Auto, Geolocations, Batteriestaten) von 800.000 MEB Fahrzeugen konnten von Journalisten heruntergeladen werden.
Anhand der Geo-Daten konnten sehr viele sensible Informationen herausgearbeitet werden:
Wer geht wann und wo einkaufen, oder Fitnessstudio?
Wer arbeitet beim Verfassungsschutz? Wer beim BND?
Welcher Catering Service beliefert das Kanzleramt?
Wer arbeitet bei der ARD? Auch Quellenschutz bedroht, es wurde zum Beispiel ein Fahrzeug von einem VW Mitarbeiter beim ARD auf dem Parkplatz gesichtet.
Welche Leute im Frankfurter Bankenviertel haben die „guten“ Parkplätze? Wo gehen die zum Golfen?
Ich persönlich bin einfach hin- und hergerissen. Natürlich darf sowas nicht passieren. Es handelt sich dabei um sehr sensible Daten. Andererseits weiß ich aus eigener Erfahrung in der Konzern-IT wie unsauber da manchmal in IT-Systemen gearbeitet wird. Nicht aus Boshaftigkeit, sondern aufgrund von Unwissen, fehlender Awareness oder schlichter Überforderung mit zu vielen Themen.
Spätestens wenn Business-IT Teams auf „richtige“ IT-Teams treffen passieren Fehler. Denn Business Teams und KI-Experten haben vielleicht eine Menge Domain-Wissen, aber Netzwerksicherheit, Encryption, Absicherung gegen SQL-Injection, Vulnerabilty Scanning und Co. sind weit weg. Und aus einer solchen Position erscheint IT Sicherheit vor allem als Kostentreiber und Zeitfresser im ohnehin stressigen IT-Alltag.
IT-Sicherheit muss im Konzern eigentlich eine der top Prios sein. Real habe ich den Eindruck, dass IT-Sicherheit dort aber nur Thema ist, kurz nachdem man einen Leak oder einen Beinaheunfall hatte. Und selbst dann sind sehr bald wieder Strategie und Marketing wieder weit wichtiger.
Naja, ich wüsste nicht, was ich dazu schreiben sollte.
Datenlecks, insbesondere dieser Größenordnung, sind natürlich ein immenses Problem. Die Nutzer der „Online-Dienste“ haben vermutlich darin eingewilligt, dass ihre GPS-Daten gespeichert werden (ähnlich wie bei der „Google Timeline“, deren Daten jedoch hoffentlich besser gesichert sind…), rechnen aber natürlich nicht mit diesem Maß an Inkompetenz bei der Speicherung…
Also was soll man dazu mehr sagen, als den typischen Aufruf, die IT-Sicherheit endlich ernst zu nehmen. Dass man solche hoch-sensiblen Daten niemals unverschlüsselt speichern darf sollte eigentlich jedem klar sein. Dass es Vorkehrungen dagegen geben sollte, derart große Datenmengen abzugreifen, ebenfalls - also dass man mal eben so die ganze Datenbank runterladen kann ist natürlich ein absolutes No-Go und technisch zweifelsohne vermeidbar.
Ansonsten ist es eben ein ganz normales Datenleck. Sollte man darüber besonders stark berichten, weil es VW betroffen hat? Oder weil es nur E-Autos betroffen hat? Das wird doch bestimmt auch nur wieder von einigen Ewiggestrigen ausgeschlachtet… Also klar sollte darüber berichtet werden und noch wichtiger: Alle Betroffenen sollten natürlich informiert und entschädigt werden. Aber sonst gibt’s da einfach verhältnismäßig wenig zu diskutieren, was nicht auch für alle anderen Datenlecks gelten würde.
Für mich ist das ein Fehler, der die Sicherheit des Kunden gefährdet und schon während der Produktentwicklung hätte auffallen und abgestellt werden müssen. „Ist halt IT, da kann man nichts machen“ ist keine Ausrede. Gerade Fahrzeughersteller haben zig Nomen und Prozesse, die solche Fehler eigentlich verhindern sollen.
Es ist nicht nur ein Fehler, welcher die Sicherheit des Kunden gefährdet, sondern die nationale Sicherheit. Die Daten, die dort frei verfügbar waren hätten so vielschichtig missbraucht werden können, da kann man nur hoffen, dass die Daten nicht bereits in falschen Händen sind. Da reicht mir die Begründung IT-Sicherheit ist teuer und kompliziert nicht aus.
Es geht ja nicht darum das es nicht schlimm ist, sondern was soll man hier dazu schreiben? Man weiß woran es liegt, man weiß was man dagegen versuchen müsste zu unternehmen. Und es wird immer wieder vorkommen da der Mensch fehlbar ist und eine absolute Sicherheit so lange nicht gegeben ist, so lange die Daten überhaupt gespeichert werden. Das diese Daten hier im speziellen mit Erlaubnis von den Kunden zur Verfügung gestellt wurden, macht ganze sogar etwas weniger schlimm aber zeigt auch warum es erst gar keine Möglichkeit geben sollte, das gewisse Daten überhaupt erhoben werden.
Nun gut, aber VW und Seat haben doch gegen ihre eigene AGB verstoßen und die Koordinaten in voller Auflösung gespeichert, anstatt sie zu kürzen wie in den AGBs zugesichert. Nur bei Škoda und Audi waren die Daten auf 10 km genau abgelegt.
Gerade dem würde ich widersprechen, denn man sieht doch, dass es bei den amerikanischen Techkonzern funktioniert und auch bei deutschen Banken. Ich hab noch nie von einem Kontodaten-Leak bei einer deutschen Bank gehört.
Haben wir diesbezüglich zu lasche Regulierungen? Hätten die bei VW sich mehr Mühe gegeben, wenn Ihnen eine ernsthafte Strafe drohen würde?
Dieser Teil hingegen wird meiner Ansicht nach etwas heißer gekocht als gegessen.
Ich vermute, auch wenn das vielleicht naiv ist, dass der Catering Service des Bundeskanzlers gut kontrolliert wird. Genauso denke ich, dass Manager in exponierten Positionen bei Banken Antennen dafür haben, wenn plötzlich ein neues Gesicht auf dem Golfplatz auftaucht und sich anbiedert.
Ich bin bei dem Thema inzwischen auch abgestumpft. Ich hoffe natürlich immer, dass solche Ereignisse bei den Kunden für ein Umdenken sorgen, aber dafür waren wohl schlimmere Auswirkungen nötig (also z.b. - fiktiv - wenn der Nachbar auf seinem Navi sehen kann wo man selbst zuletzt war).
Solange die Auswirkungen aber so abstrakt sind, wird sich wohl nicht viel ändern.
Man könnte die positionsgenauen Daten mal auswerten im Hinblick darauf wer wann zu schnell gefahren ist. Und dann Strafanzeige gegen eine 4-5 stellige Personenanzahl stellen. Das könnte die Abstumpfung durchbrechen, denke ich.
Aus den Daten, die Autos erfassen können, kann man übrigens noch deutlich mehr Verstöße gegen die StVO herausarbeiten. Parken im Halteverbot/Behindertenparkplatz, Zu geringer Mindestabstand, Überholen im Überholverbort (Spurhalteassisstent) und diverse weitere Dinge.
Sehr geile Idee. Leider hat der CCC die Daten mittlerweile gelöscht.
Ist vielleicht auch besser so, in Anbetracht dessen welch Schabernack man damit treiben kann.
Das betraf nur Name und Kontonummer aber nicht den Kontostand. Außerdem lag das Leck bei einem Dienstleister und nicht bei dem Institut selber.
VW hat aber Namen plus Adressen plus E-Mail-Adressen plus Geburtsdaten plus Telefonnummern plus Geolokation verloren und das alles auch noch so grandios abgelegt, dass man die Daten im Nachhinein einem Fahrzeug zu ordnen konnte.
Hat denn außer dem CCC überhaupt jmd diese Daten abgerufen, dh ist real ein Schaden entstanden? Oder hätte ein Schaden entstehen können?
Die Ablage der Daten in dieser Form (d.h. nicht ausreichend anonymisiert und getrennt) und so ungeschützt ist ein doppelter Fehler, der nach Hinweis allerdings auch umgehend behoben wurde. Bleibt die Frage, warum überhaupt solche Daten gespeichert wurden; was ist der Zweck dahinter? Weil man es kann?
Am Ende ist das aber ein ganz allgemeines Thema: Vernetzte Geräte sind eben potenzielle Einfallstore, wenn es um einen Angriff auf die Privatsphäre geht. Das betrifft neben Smartphones, die so gesehen ein immenses Risiko sind und immer dabei (im Gegensatz zum Auto) eben auch moderne PKW. Bei einer Vielzahl an Herstellern und beteiligten Firmen wird leider immer eine dabei sein, die entweder bewusst gegen Gesetze verstößt oder irgendwo schlampig gearbeitet hat.
Exakt das. Mit solchen Daten können die Identitäten von Geheimdienstmitarbeitern, Whistleblowern und ähnlich vulnerablen Personen automatisiert aufgedeckt werden. Neben der nationalen Sicherheit kann das auch dabei genutzt werden, um den Überwachungsstaat noch stärker auszubauen und damit unsere freiheitlich-demokratische Grundordnung abzuschaffen.
Der Staat darf deswegen keine flächendeckende Vorratsdatenspeicherung betreiben, aber private Firmen dürfen dies und zwar unverschlüsselt und ohne Löschungsfrist?
Darüberhinaus wird das Problem sicherlich nicht nur VW betreffen (hier ist es nur durch das Leck aufgefallen). Wollen wir wirklich, dass Trump (via Elon Musks Teslaflotte) oder Xi Jinping (via chinesische Automarken) all diese Daten einsammeln und beliebig verwenden können? Oder sollten nur solche Hersteller auf dem europäischen Markt zugelassen werden, die eine ausreichend zufriedenstellende Datensicherheit gewährleisten können, sowie grundlegende Verstöße mit hohen strafrechtlichen Sanktionen geahndet werden?
Ferner könnten wir auch mal über Smartphones reden. Und andere smarte Geräte, die online erreichbar sind (statt „nur“ durch ein lokales Netzwerk gesteuert zu werden). Den Deutschen und Europäern ist Bequemlichkeit nun mal deutlich mehr wert als Demokratie und Freiheit.
Gespeichert wurden nur die Geodaten der BEV, um das Batteriemanagement weiterzuentwickeln. Und wie gesagt, eigentlich nur auf 10 km genau, wobei sie bei VW und Seat vergessen haben die Nachkommastellen der Koordinaten wegzuwerfen.