Wir wissen wo dein Auto steht – Volksdaten von Volkswagen

Hallo, hier ist das Politopia Magazin, euer gesellschaftspolitisches Magazin bei Radio X, dem Frankfurter Bürgerradio. Schön, dass ihr dabei seid, schön, dass ihr zuhört. Wir müssen uns heute auch mal wieder über Datenpannen unterhalten.

Der Datenschutz bzw. die Verlässlichkeit der Speicherung von Daten, das ist ja ein großes Thema. Und auch dieses Thema wird nicht weggehen von alleine.

Wir müssen gucken, was passiert mit Daten, die erhoben werden, die gespeichert werden und die unter Umständen vielleicht auch nur aus Versehen frei einsehbar sind, obwohl sie das gar nicht sollten. Wir haben euch einen Vortrag mitgebracht, und zwar vom 38c3, also dem 38. Chaos Communication Congress, der war jetzt zwischen den Jahren in Hamburg gewesen.

Gehalten haben den der Flückge und der Michael Kreil, und zwar mit dem Titel Wir wissen, wo dein Auto steht. Volksdaten von Volkswagen. Dabei geht es darum, dass ein großer Datensatz ungeschützt im Netz stand, bzw.

mit relativ einfachen Mitteln aus einem Netzspeicher extrahiert werden konnte und dort viele Daten von Fahrzeugen gespeichert waren, wie die sich verhalten haben, was die Sensoren so gemessen haben, wo die standen, wo die geparkt waren. Das heißt, aus diesen Daten konnte man viele interessante Informationen herausfinden. Wir lesen einen Artikel, wo wir ein bisschen genauer reingucken können, was passiert war, und zwar ist er auf spiegel.de zu lesen.

Der wurde von Journalisten und auch den Kollegen vom ccc gemeinsam verfasst, die hier zusammenfassen, was dort wirklich passiert ist. Hier also der Artikel, Wir wissen, wo dein Auto steht, vom 27.12. auf spiegel.de. VW hat mit einer neuen Blamage zu kämpfen. Bewegungsdaten von 800.000 E-Autos sowie Kontaktinformationen zu den Besitzern standen ungeschützt im Netz.

Sichtbar war, wer wann zu Hause parkt, beim BND oder vor der Modell. Als Nadja Weifert im vorigen September ihren neuen VW ID.3 in Betrieb nahm, lud sie sofort die Volkswagen-App herunter. Darüber lässt sich das Auto vorheizen, der Ladestand der Batterie ablesen und die aktuelle Reichweite checken.

Man benötigt die App, um den Wagen und seine Annehmlichkeiten voll zu nutzen. Die 41-Jährige schaute auch in die Datenschutzbestimmungen, wohl intensiver als viele andere, denn sie sitzt nicht nur für die Grünen im niedersächsischen Landtag, sie ist auch Sprecherin für Datenschutz ihrer Fraktion. Zudem ist sie Bürgermeisterin von Tostedt, einer Gemeinde zwischen Hamburg und Bremen.

Nach der Einrichtung der App begann ihr Auto offenbar, Daten zu sammeln und an den Hersteller zu übertragen, darunter die genauen GPS-Daten des jeweiligen Abstellorts, jedes Mal, wenn sie den Motor ausmachte. Ein Datensatz entstand, aus dem sich leicht ein detailliertes Bewegungsprofil ihres Alltags erstellen lässt. Der Wagen der Politikerin parkte oft vor dem Rathaus von Tostedt und dem niedersächsischen Landtag, aber auch ihr Sportverein, ihr Lieblingsbäcker und die Praxis ihrer Physiotherapeutin lassen sich daraus ablesen, ebenso wie ihr zweitägiger Ausflug zum Landesparteitag nach Oldenburg.

Ähnlich lief es beim CDU-Bundestagsabgeordneten Markus Grübel aus Esslingen am Neckar. Er trug Kussi als Spitznamen ein, sein Auto parkte bisweilen vor dem Seniorenheim, in dem sein hochbetagter Vater lebt, und mal vor einer Kaserne. Grübel ist Mitglied im Verteidigungsausschuss, bis 2018 war er Staatssekretär im Verteidigungsministerium.

Auch ein Kurzurlaub im Frühling im Allgäu lässt sich aus seinen Autodaten ablesen. All diese Informationen dürften nicht öffentlich einsehbar sein, sie waren es aber doch. Eine mehrere Terabyte umfassende Datenmenge zu rund 800.000 E-Autos war über Monate in einem Amazon-Cloud-Speicher weitgehend ungeschützt zugänglich.

Betroffen sind VW, Seat, Audi und Skoda-Fahrzeuge in Deutschland, Europa und anderen Teilen der Welt und viele ihrer Besitzer. Denn viele der Fahrzeugdaten ließen sich mit Namen und Kontaktdaten der Fahrerinnen, Eigentümer oder Fuhrparkverantwortlichen verknüpfen. Zu 460.000 Fahrzeugen waren präzise Standortdaten einsehbar, die Rückschlüsse auf das Leben der Menschen hinter den Lenkrädern zuließen.

Und das alles, weil die VW-Tochterfirma Cariat, die einst auch aufgebaut wurde, um mit tausenden Softwareentwicklern eine zukunftsträchtige Plattform für alle Elektrofahrzeuge des Konzerns zu entwickeln, im vergangenen Sommer einen Fehler gemacht hatte und ihn selbst nie bemerkte. Betroffen sind den Recherchen zufolge, neben Weibert und Grübel, weitere Politiker, Wirtschaftsbosse und auch die Hamburger Polizei mit ihren rund 35 elektrischen Streifenwagen, sowie movemasterliche Nachrichtendienstmitarbeiter. Die wenigsten von ihnen dürften sich im Klaren darüber gewesen sein, wie gläsern sie in ihren Fahrzeugen sind.

Bei rund der Hälfte der Betroffenen, darunter die Besitzerinnen und Besitzer der VW-Modelle ID.3 und ID.4, sind die Daten besonders detailliert. Aus ihnen ist ersichtlich, wann das jeweilige Auto an- und wann und wo genau es ausgeschaltet wurde. Größtenteils stammen die Daten aus dem Jahr 2024, teils reichen sie weiter zurück.

Kriminelle oder Spione könnten aus diesen Daten detaillierte Bewegungsprofile ableiten. So wäre es für ausländische Geheimdienste möglicherweise interessant zu wissen, wessen Auto täglich zwischen 8 und 17 Uhr im Umfeld von Gebäuden des Bundesnachrichtendienstes parkt oder zum Militärflugplatz der United States Air Force in Rammstein fährt. Die Karyat Daten geben das her.

Man muss gar nicht in Agentenfilmszenarien denken. Betrüger hätten aus den Daten glaubwürdige Phishing-Mails generieren können, indem sie sich beispielsweise als Volkswagen-Zulieferer oder Tochterfirma ausgeben, um Kreditkarten oder andere Zahlungsinformationen abzufragen. Erpresse hätten jene Fahrzeughalter ins Visier nehmen können, die regelmäßig den Parkplatz des Berliner Großbordells Artemis ansteuern, ein Gefängnis oder eine Suchtklinik.

Stalker und eifersüchtige Ex-Partner hätten erkennen können, wo jemand wann übernachtet. Da auch Bewegungen von Fahrzeugen in der Ukraine und Israel nachvollziehbar waren, hätten die Daten sogar militärisch interessant sein können, je nachdem, ob am Steuer eine mögliche Zielperson saß. Soweit ein Auszug aus dem Artikel von spiegel.de vom 27.12.2024. Wir haben jetzt den Vortrag von Flüpke und Michael Kreil mit dem Titel »Wir wissen, wo dein Auto steht.

Volksdaten von Volkswagen.« Wir haben den Vortrag etwas gekürzt. Den ersten Teil, wo es um technische Details geht, haben wir weggelassen. Ihr könnt ihn aber auch im Originalvortrag nachhören.

Wir haben den Link dazu in unseren Shownotes. Jetzt also der Vortrag. Aber schauen wir uns die Daten mal an.

Was wissen wir eigentlich? Die Automobile Vorratssandenspeicherung gliedert sich auf in die drei Säulen. Wir haben da zum einen die User-Data, bestehend aus Name, E-Mail, Telefon, teilweise auch Adressen, bevorzugte HändlerInnen, wo man zur Werkstatt fährt. Enrollment-Data, sprich Daten über die Fahrzeuge, Fahrgestellnummer, welches Modell ist das, in welchem Jahr wurde das publiziert und auch welcher User-ID ist dazu geordnet.

Und zu guter Letzt haben wir EV-Data, Electric Vehicle Data, sprich Kilometerstände, Batterietemperaturen, Batteriestatus, Aufladestatus und auch Warnleuchtendaten, also was so ein Dashboard erscheint. Schauen wir uns das erste Mal an, Enrollment-Data. Wir sehen, oder vielleicht in den hinteren Reihen auch nicht, es sind sehr viele unterschiedliche Modelle von mehreren Marken betroffen.

Das Ganze nochmal ein bisschen übersichtlicher dargestellt. Das sind jetzt die Fahrzeuge, sowohl elektrische als auch nicht elektrische, die in den Daten enthalten sind. Da sehen wir, Volkswagen hat da einen sehr hohen Anteil dran, also VW mit der Kernmarke.

Tauchen wir da mal noch ein bisschen tiefer ein. Wir haben da mal eine Digitalisierungsquote berechnet. Digitalisierungsquote heißt, Leute, die sich dafür entschieden haben, ihren Wagen zu enrollen, sprich die App mit ihrem Fahrzeug zu benutzen.

Wir sehen, für Elektrofahrzeuge ist diese Zahl deutlich höher. Das haben wir auf Basis der vorliegenden Daten. Und zum Zeitpunkt der Datenauswertung hat sich das hier so ergeben.

Es kann aber auch sein, dass wir hier an dieser Stelle Daten falsch interpretiert haben. Schauen wir uns lieber mal weiter das an, was wir ganz sicher wissen, EV-Data. Wir haben in den heapdumps API-Endpoints gefunden und Informationen gefunden, die darauf hindeuten, dass diese Daten, diese EV-Data aus einem größeren Pool kommen.

Dafür spricht, dass die Fahrzeugdaten, die uns vorliegen, immer so um 0 Uhr angelegt wurden, und zwar in einer AWS-Cloud. Das heißt, es sieht so aus, als würden wir aus einem großen Datenpool, einer MongoDB, AtlasDB, hochgeladen in eine AWS-Cloud. Und die Daten beziehen sich dann, wie gesagt, immer auf die letzten 24 Stunden.

Eine Aussage von Volkswagen gegenüber Spiegel bestätigt das. VW sagt, Ladeverhalten und Ladegewohnheiten von Kunden werden genutzt, um Batterien und die dazugehörige Software zu verbessern. Und genau dieser Service, der sich um diese Auswertung kümmert, der ist kaputt gegangen.

Aber woher hat der eigentlich seine Daten und gibt es da noch mehr zu holen? Also haben wir uns mal bei VW umgeschaut. Da ist uns das Fleet-Interface aufgefallen. Das ist ein Angebot für Gewerbekunden.

Es handelt sich dabei um ein Flottenmanagement, um auch Fahrzeugdaten, natürlich nur von der eigenen Flotte, zuzugreifen. Und da werben sie sehr vollmundig damit, dass sie Positionsdaten, Kilometerstand, Tankfüllstand, Reichweite, Warnlampen, Bremsverschleiß, AdBlue-Füllstand, Serviceintervalle und so weiter alles anbieten. Und das ganz ohne Nachrüsten.

Sprich, die Fahrzeuge sammeln die Daten also ohnehin ein. Und was für Fahrzeuge? Na ja, eine ganze Menge. Auch nicht elektrische Fahrzeuge.

Aber was wissen wir jetzt über VWs Feldbeobachtung der Elektrofahrzeuge? Wir haben da eine ganze Menge Datenpunkte. Schauen wir uns mal die Warnleuchten an. Hier haben wir den Druckverlust im Reifen.

Der vorne links auf Fahrerseite, der muss am seltensten dran glauben. Der hinten rechts am häufigsten. Vielleicht könnte VW sich das ja als Feedback so ernst nehmen.

So die räumliche Wahrnehmung ihrer Kunden können sie nicht verbessern, aber kleinere Autos bauen. Oder Ersatzreifen verkaufen. Eine besonders kuriose Warnmeldung war High-Voltage-Battery, Risk of Fire.

Pull over safely ASAP and call emergency services. Diese Warnmeldung sehen wir in dem Datensatz 45 Mal. Aber sie bezieht sich nur auf 14 eindeutige einzelne Fahrzeuge.

Turns out, weiterfahren ist a solution. Also es gab wirklich Leute, da tauchte das über mehrere Tage immer wieder auf. Stellt sich natürlich die Frage, haben die Fahrzeuge wirklich gebrannt? Schauen wir uns die Batterietemperaturen an.

Sehen wir, im Winter ist es kalt und im Sommer ist es warm, aber ansonsten ist da irgendwie nicht viel Aufregendes passiert. So, dann haben wir mal ein bisschen weiter geguckt und da ist uns aufgefallen, dass diese Events immer beim Aufladen passiert sind. Das ergibt auch ein bisschen Sinn.

Beim Aufladen ist der Akku unter dem höchsten Stress. Schauen wir uns mal das Aufladeverhalten an. Turns out, die Deutschen laden ihre Fahrzeuge so, wie sie sie auch am liebsten fahren.

Manuell. Vielleicht kann man ja mit dem Schalthebel ein Diesel-Dieter vielleicht von so einem elektrischen Fahrzeug überzeugen. Dann haben wir noch das Problem mit dem Aufladen.

Wir haben irgendwie so zwei Geschmacksrichtungen fürs Aufladen von Elektrofahrzeugen. Und ob ihr wirklich richtig ladet, seht ihr, wenn der Lichtbogen angeht. In 39... Ja.

Ihr seht, in 39% der Fälle ist sich das Fahrzeug selber noch unschlüssig. To be fair, wir wissen nicht, was jetzt hier Invalid bedeutet. Kommen wir zum Aufladeverhalten.

Hier sehen wir Peaks bei immerhin 10% Schritten, sprich dafür, dass die Leute halt irgendwie ein Ladesetpoint einstellen und 80% großer Knick drinnen, sprich dafür, dass die Leute irgendwie vorsichtig mit ihren Akkus umgehen. Schauen wir noch auf die User-Data zu guter Letzt drauf. Da schauen wir mal so sehr oberflächlich.

Das ist ein sehr, sehr heikles Thema. Top-Mail-Domains. Eigentlich keine großen Überraschungen.

Außer vielleicht, wir haben hier 17% Custom-Mail-Domains. Das spricht ein bisschen dafür, dass Elektroautofahrer sehr technikaffin sind. So, unsere Hackerin, die stand dann vor dem großen Dilemma.

Entweder hält man die Klappe, oder man versucht da irgendwie so ein CVD, so ein Coordinated Vulnerability Disclosure, anzustoßen. Sie hat sich dann dafür entschieden, den CCC anzurufen. Der CCC ist dann zu Volkswagen gegangen, hat gesagt, Abschalten.

Mit Abschalt-Einrichtungen kennt ihr euch ja aus. Ist natürlich Quatsch. Wir haben natürlich ein ordentliches, professionelles Disclosure gemacht.

Genauso professionell, muss man ehrlich sagen, hat die Volkswagen darauf reagiert. Wir sprachen mit Technikern, nicht mit der Rechtsabteilung. Wir hoffen, dass es nach diesem Vortrag noch so bleibt.

Wie kam es seitens VW zu der Fehlkonfiguration? Am Anfang stand der Commit, dann der Push, CICD, und dann hatten wir da schon die offene Feldbeobachtung. Was fehlt? Der Review-Prozess. Immerhin, Sie haben Prozesse und können Postmortem-Changes an der Infrastruktur nachvollziehen.

Ende gut, alles gut? Naja. Erstens, Sie haben viel zu viele Daten eingesammelt. Das ist überhaupt nicht nötig.

Wenn man die Sicherheit und Zuverlässigkeit von den Batterien evaluieren möchte, dann braucht man nicht genaue Positionssachen. Zweitens, Sie haben die Credentials für SEAT rotiert, aber nicht invalidiert. Kleiner Flüchtigkeitsfehler kann mal passieren.

Jetzt ist aber wirklich alles gut. Die haben Sie dann nämlich auch noch invalidiert. Außerdem hat VW gesagt, keine sensiblen Informationen sind betroffen.

Hm, weiß ich nicht, Digga. Hilfe. Schließlich haben wir noch nicht über die Bewegungsdaten gesprochen, die da drin sind.

Fragen wir den Datenjournalisten Michael Krall. Hallo, ich bin hier, um den Spaß zu verderben. Kurze Zusammenfassung.

Also, die folgenden Daten waren unzureichend geschützt und wurden uns zugespielt. Enrollmentdaten, 15 Millionen Fahrgestellnummern, Modell, Baujahr, Land und die Nutzer-ID. Userdaten von 600.000 Personen inklusive Nutzer-ID, Name, E-Mail, teilweise Geburtsdaten, Mobilnummer und Adresse.

Und irgendwelche Eventdaten, 9,5 Terabyte Statusmeldung als JSON inklusive Geokoordinaten. Hier ist mal ein Screenshot zu sehen, so sehen diese JSON-Files aus. Pro Fahrzeug gibt es dann sozusagen bei den letzten 24 Stunden Eintrag.

Man sieht, viele Metadaten enthalten Typinformationen über die Batterien, weil hier versucht wird, das Batteriemanagement zu verbessern. Aber man sieht Klimatisation-Eventdata, also wann wird die Klimaanlage ein- und ausgeschaltet, Charging-Eventdata, wann fängt man an zu laden, Ignition-Eventdata, wann wird der Motor ein- und ausgeschaltet. Aber mit den ganzen Daten, die wir jetzt haben, können wir noch ein paar Analysen zu den Fahrzeugen machen.

Das interessiert die Leute ja, die betroffenen Fahrzeuge mit konkret jetzt den Geokoordinaten sind 800.000, davon Audi, Skoda, die haben das aber, sind also knapp 340.000 Fahrzeuge, wo die Geokoordinaten nach einer Nachkommastelle abgeschnitten sind. Das sind also ungefähr Auflösungen von 10 Kilometern. Bei Volkswagen und Seat sind es insgesamt 470.000 Fahrzeuge auf 10 Zentimetern.

Zum Glück gibt es natürlich die passende AGB dazu von Volkswagen, im Abschnitt 8 Analyse zur Verbesserung von Produkten, gibt es dann auch den Punkt Standortdaten zum Beispiel gekürzte GPS-Daten, schreibt sogar zweimal hin, darüber hinaus kürzen wir auch GPS-Daten. Ihr habt halt vergessen, ja, bei Volkswagen und Seat. Hier sind die Geokorn-Daten mal nach Zeit, bei Seat sammeln sie im Prinzip ab Dezember 2022, bei Volkswagen ab September 2023.

Hier nochmal konkret die Modelle, die jetzt in diesem Datenblick konkret vorkommen, Audi und Skoda, dann Seat oder Cupra Born und VW ID 3457. Gucken wir uns mal die Geokorn-Daten an und da mache ich mal vorweg ein Disclaimer. Wir haben es hier mit sehr vielen Betroffenen zu tun und wir wollen deren Privatsphäre natürlich schützen und deswegen haben wir so ein kleines Verfahren gemacht, wo die Daten sauber anonymisiert werden, mit einem Clustering-Verfahren, Gaussian Mixture Model und im Prinzip werden Cluster nur so weit runtergebrochen, dass mindestens fünf Fahrzeuge da drin sind und die Cluster werden dann mit normal verteilten Zufallspunkten dargestellt und so weiter.

Kurzum, eine Identifikation der einzelnen Fahrzeuge ist ausgeschlossen bei den Screenshots, die wir jetzt zeigen. Und den ersten Screenshot ist, wir zeigen mal das Volkswagen-Werk in Wolfsburg. Das Streifenmuster, das ihr unten seht, sind die Parkplätze für die Mitarbeiter.

Die fahren halt viel diese Fahrzeuge. Das ist ganz Wolfsburg, Hannover, ganz Niedersachsen ist es sehr beliebt, Hamburg, Berlin, Köln, München. London, Oslo, Stockholm, Amsterdam, Brüssel, Kopenhagen.

Wenn man mal alle mal einzeichnet, sieht so die Europakarte aus. 900 Millionen. Da kann man gut sehen, wo die betroffenen Fahrzeuge fahren.

Natürlich Deutschland, aber auch Belgien, Niederlande, Großbritannien, Skandinavien und natürlich vorrangig dann auch in den Städten. Was steckt in den Daten? Jetzt habe ich mal die Chance für einen shameless plug, weil ich nämlich an einem Karten-Framework arbeite. Wir haben einen Fan.

Das haben wir beim SWR-Datalab entwickelt, wird jetzt vom MEZ und NNET weiterentwickelt und das ist super, da kann ich auch meine 900 Millionen Geo-Koordinaten reinwerfen und ich habe hier mal so einen Screenshot gemacht, da zoomt man an den BER-Flughafen ran und dann kann man sich ein Taxi auswählen und dann kann man mal sehen, wie das Taxi so zwischen BER-Flughafen und der Stadt hin und her pendelt und rechts, zu welchen Zeiten es sozusagen, wann, an welchem Standort war. Aus komplett offensichtlichen Gründen muss ich jetzt hier alle privaten Daten unkenntlich machen und man sieht halt nicht viel und das ist sozusagen das Kernproblem, wir können hier euch einfach nicht die Originaldaten zeigen. Gerade die CCC-Hackerethik sagt, private Daten schützen und wir spielen hier mit der Privatsphäre von 800.000 Betroffenen und da haben wir lange gerübelt, wie gehen wir denn damit um und dann ist mir eingefallen, bei Gerichtsverhandlungen darf man auch nicht fotografieren, aber man darf die Leute zeichnen und auf jeden Fall, eine der CCC hat eine Geheimwaffe und zwar Stella und mit Stella haben wir einmal die komplette Show gemacht, wir haben uns alle Details angeguckt, was sagen im Prinzip diese Daten über Betroffene aus und sie hat das im Prinzip gezeichnet, um euch einen Eindruck zu vermitteln, ihr könnt also die Daten sehen durch die Augen von Stella.

Hier ist mal das erste Beispiel, hier ist ein Privatgrundstück mit ein paar roten Punkten, da ist ein Fahrzeug, das parkt dann immer an der gleichen Stelle. Kurzer Hinweis, wenn so ein Fahrzeug seit zwei Jahren Daten sammelt, sind das so eher 700 Punkte auf diesem einen Grundstück und rechts hat Stella mal so angedeutet, so eine Kalenderdarstellung, wann das Fahrzeug denn an diesem Ort ist und das ist natürlich dann immer nachts unter der Woche beziehungsweise das gesamte Wochenende, zwischendurch gibt es einen großen Block, wo das Fahrzeug woanders ist und zwar nämlich am Arbeitsplatz, da arbeiten die Leute so von 8 bis 17 Uhr und man kann gucken, bei welchem Arbeitgeber dieses betroffene Fahrzeug so parkt. Generell sieht die Route von einer Privatperson ungefähr mal so aus, die ist deutlich komplexer, weil die Leute natürlich auch in Urlaub fahren, ihre Freunde besuchen, da gibt es sozusagen sehr komplexe Netzwerke, die daraus entstehen, hier ist mal das vereinfacht dargestellt, aber wir können auch sehen, wo die Person einkaufen geht und wann, unter der Woche machst du dann mal schnell deinen Einkauf fürs Mittagessen oder so und den Wochenendeinkauf, den macht man dann am Samstag.

Übrigens ein Funfact, wir haben ja auch einige Fahrzeuge uns angeschaut von eigentlich Männern in hohen Positionen, die nicht am Mittwoch um 14 Uhr einen Großeinkauf machen und damit war dann relativ schnell klar, dass es nicht ihr Fahrzeug ist, sondern das von ihrer Ehefrau, das können wir noch später nachweisen und die große Frage ist, weiß die Frau, dass ihr Mann sie beobachten kann, wo sie mit dem Fahrzeug unterwegs ist, da kann ich auch die Vorträge von Anne Roth zum Thema digitale Gewalt empfehlen, vielleicht schwägt ja der eine oder andere eifersüchtige Mann seine Frau damit, ohne dass sie es weiß. Wann und wo geht die Person Tennis spielen, so Klassiker Donnerstag Nachmittag oder abends geht man noch zum Golf spielen oder zum Yoga, Schwimmen haben wir gesehen, allerhand. Wann und wo bringen die Personen ihre Kinder in die Schule oder in die Kita? Teilweise konnten wir die Kinder de-anonymisieren, steht in der Lokalpresse, ein Kind mit dem richtigen Nachnamen hat einen Preis gewonnen und wir konnten halt sehen mit dem Fahrzeug, Mama hat es abgeholt und dann in ein bestimmtes Gebäude rüber gefahren, das heißt wir konnten dann auch wissen, sozusagen namentlich nennen, welche Kinder die Betroffenen haben.

Man kann sich dann aber auch mal so ein Bordell anschauen und gucken, wer da so parkt und wo er arbeitet. Das Atem ist in Berlin, da halten die Leute eher mit dem Taxi, man kann aber sehen, wo das Taxi, die er vorher abgeholt hat. Mal so ein Bankenviertel in Frankfurt, Frankfurt am Main, da gab es sehr, sehr viele Punkte, das heißt, da kann man auch relativ gut Personen finden, die vielleicht eine besondere Zugangsberechtigung haben und ich kann ja dann gucken, wo gehen die dann golfen oder so, dann kann man sich mit denen anfreunden, vielleicht noch Informationen rausholen.

Generell sind hier viele Unternehmen betroffen, kleine, mittel- und Großunternehmen, Flottenmanagement, der Stadtwerke oder sonst irgendwas, VW- Vorstände haben wir auch drin gefunden, also auch VW ist sozusagen selber davon betroffen und auch Geschäftsgeheimnisse, ein kleiner Funfact, die kälteste Batterietemperatur, die wir gefunden haben, war in Schweden, irgendwie zwei, drei kleine Häuschen irgendwo im Wald, mitten in der Walachei und da parken ganz viele Testfahrzeuge und das ist das Testlabor von Volkswagen, das öffentlich nicht bekannt ist, in den Datenschutz drin. Wer arbeitet eigentlich bei Redaktionen? Hier mal das ARD-Gelände hier in Hamburg, da kann man halt sehen, die Mitarbeiter, meistens aus dem technischen Bereich, ein Moderator war dabei, aber hier ist natürlich auch der Quellenschutz gefährdet, wenn jetzt zum Beispiel ein Whistleblower von Volkswagen mal eine Redaktion besucht, steht das auch in den Daten drin. Generell Berufsgeheimnisträger, auch zum Beispiel Anwälte, wer besucht einen Scheidungsanwalt etc.

steht alles drin. Botschaften haben wir uns angeguckt, generell Regierungsgebäude in Europa, da gibt es auch eine interessante Geschichte, bei einem Gebäude haben wir einen von der Polizei abgesicherten Parkplatz gefunden und auf dem parkte ein Fahrzeug mehrmals die Woche für längeren Zeitraum und dann guckt man an, was ist das für ein Fahrzeug, wo kommt es her, wo fährt es hin und sieht, dass es im Vorort in einer kleinen Seitengasse immer noch mal kurz vorher hält, bevor es ins Regierungsgebäude kommt und das ist ein Catering-Unternehmen und das heißt, ich kann euch sagen, wo die Schnittchen geschmiert werden, die dann zwei Stunden später von hohen Regierungsbampen gegessen werden, steht in diesen Daten drin. Wer arbeitet beim Schloss Bellevue beim Bundespräsidenten, da sieht man einen Referatsleiter, wie gesagt Abgeordnete haben wir überall, wer setzt eigentlich noch gerne Fahrzeuge ein, richtig die Polizei Hamburg beispielsweise über 30 Fahrzeuge, da kann man sich so ein einzelnes Fahrzeug rauspicken und sehen, wann es zu welchem Zeitpunkt zu einem bestimmten Einsatzort fährt und wieder zurück.

Es hat uns auf die Idee gebracht, eigentlich können wir mal die ganzen E-Mail-Domains durchgehen, welche Polizei in Europa noch so Fahrzeuge von Volkswagen einsetzen, also eine Menge und was dabei sind, welche Fahrzeuge sind eigentlich auf Domains angemeldet, die auf gov.uk enden, also auch die britischen Behörden sind davon betroffen. Wer arbeitet eigentlich beim militärischen Abschirmdienst? Auch Militärbasis im Rammstein ist davon betroffen. Wer arbeitet denn beim BND? Das ist vielleicht was auch ausländische Geheimdienste, wie zum Beispiel den russischen interessieren könnte und wer arbeitet beim Verfassungsschutz in Köln? Da haben wir eine zweistellige Personenzahl gefunden und es ist wirklich schwierig, das in Worte zu fassen.

Ich versuche es mal zu probieren. Wir haben die letzten 50 Jahre darüber diskutiert, dass Sicherheitsbehörden nicht so viele Daten über ihre Bevölkerung sammeln dürfen. Jetzt haben wir, dass die Wirtschaft so viele Daten über Sicherheitsbehörden sammelt und ich kann nicht verstehen, wie man bei Volkswagen auf die Idee kommt, dass es eine gute Idee ist, so viele Geokoordinaten unverschüsselt in irgendwelchen Datenbanken rumfliegen zu lassen.

Natürlich haben wir Volkswagen informiert, wir haben die Sicherheitsbehörden informiert, so viele wie es ging, waren ja auch irgendwie alle betroffen. Wir haben alle uns vorliegenden Daten gelöscht, liebe Rechtsabteilungen von des größten EU-Konzerns. Das heißt, wir können auch gar keine Fragen mehr beantworten.

Wir wissen jetzt nicht mehr, wo das Auto steht. Wir wussten mal, wo euer Auto steht, aber falls ihr Fragen habt, Volkswagen weiß es. Hat das eigentlich irgendwelche juristischen Konsequenzen für VW? Das wird interessant.

Also zum einen hat VW vermutlich gegen die eigenen AGBs verstoßen, indem sie die Geokoordinaten nicht gekürzt haben. Spannend fand ich den Artikel 9 der Datenschutz-Grundverordnung, dass man besondere Personenzunge-Daten gar nicht speichern darf, wie politische Meinung. Ich kann euch sagen, wer bei einem Parteitag war, religiöse, weltanschauliche Überzeugung.

Ich kann euch sagen, wer regelmäßig Kirchen, Museen, Synagogen aufsuchen, Gewerkschaftszugehörigkeit, auch einfach Gesundheitsdaten, wer besucht eine Krebsklinik, Sexualleben und sexuelle Orientierung. Natürlich haben wir auch schon die Bordelle drin gesehen, also solche Standortdaten, gerade in solchen Massen über so einen langen Zeitraum sind personenbezogene Daten, die in ganz vielen Bereichen reingehen. Paragraf 32 spricht explizit auch, dass personenbezogene Daten verschüsselt werden sollten.

Das ist jetzt aber ein Fall, mit dem sich der Landesbeauftragte für Datenschutz Niedersachsen auseinandersetzen muss. Ich habe natürlich eine EFG-Anfrage gestellt. Antwort ist, Niedersachsen hat kein EFG.

Das ist mit Bayern sind das die letzten beiden Bundesländer. Also es wird jetzt interessant, ob man den Fall weiter beobachten kann, aber ich gehe davon aus, dass die gesamte EU sich für dieses Verfahren interessieren wird, ob der niedersächsische Landesbeauftragte da wirklich neutral drauf schaut, weil wie gesagt, die ganze EU ist davon betroffen. Volkswagen hat hier geschlampt.

Sie haben vergessen, das Actuator-Hiebdamm zu deaktivieren. Sie haben vergessen, Geokoordinaten zu kürzen und nach dem Responsible Disclosure haben wir dann auch festgestellt, dass sie vergessen haben, eines der kompromittierten Passwörter zu deaktivieren. Das zeigt ja, dass es offensichtlich ein strukturelles Problem gibt bei Volkswagen.

Vielleicht ist dort Geschwindigkeit wichtiger als Gründlichkeit und mir macht es Sorgen, wenn dort Standortdaten von 15 Millionen Fahrzeugen gesammelt werden. Was wir brauchen, ist Privacy by Design, zum Beispiel alle privaten Daten zu verschüsseln. Also wenn dort selbst der Verfassungsschutz in den Daten drin steckt, dann möchte selbst Volkswagen nicht auf diese Daten zugreifen können.

Vertrauen ist gut, Kontrolle ist besser. Wir würden es ja gerne kontrollieren, aber leider gibt es für Kontrolle bis zu zwei Jahren Freiheitsstrafe. Der Hackerparagraph bedroht halt weiterhin IT-Sicherheit und Presse.

Ich kann das als Journalist sagen, wir hatten in den Redaktionen auch Geschichten anrecherchieren wollen, ob zum Beispiel Apps sicher sind, was sie für Daten sammeln und wir durften es nicht recherchieren, weil der Hackerparagraph uns bedroht. Für den Einzigen, der dieser Hackerparagraph gerade nützlich ist, ist Volkswagen, weil sie sozusagen das jetzt gegen die IT-Sicherheitsforschung ansetzen können. Niemand kann etwas gegen besseren Datenschutz haben, auch nicht Sicherheitsbehörden, auch nicht VW-Vorstände sind nämlich auch betroffen.

Dankeschön. Das war der Vortrag, wir wissen, wo dein Auto steht. Volksdaten von Volkswagen, von Flüppke und Michael Kreil.

Den haben sie gehalten beim 38c3, also beim 38. Chaos Communication Congress, der Ende letzten Jahres in Hamburg stattgefunden hat. Diese Sendung könnt ihr natürlich nachhören auf unserer Webseite politopiamagazin.de. Dort haben wir in den Shownotes, also in den Sendungsnotizen, auch weitere Links versammelt.

Unter anderem findet ihr auch den Link zu dem Artikel, aus dem wir vorgelesen haben und den Link zum Originalvortrag, den Flüppke und Michael Kreil gehalten haben. Wir freuen uns, dass ihr dabei wart und zugehört habt. Ihr hört das politopiamagazin jeden Mittwoch 16 Uhr bei Radio X. Wir hören uns also wieder nächste Woche.

Bis dann.