Chaos Computer Club deckt Schwachstelle bei VW-Tochter Cariad auf

DOW JONES--Der Chaos Computer Club (CCC) hat die Volkswagen-Softwaretochter Cariad auf eine Schwachstelle in ihrer IT hingewiesen. Aufgrund einer Fehlkonfiguration in zwei IT-Anwendungen habe der ethisch agierende Hacker-Club auf Daten dieser Anwendungen zugreifen können, teilte Cariad mit und bestätigte damit einen Bericht des Nachrichtenmagazins Spiegel. Dem Magazin zufolge waren Standortdaten von rund 800.000 Elektroautos der Marken Volkswagen, Audi, Seat und Skoda ohne Passwortschutz im Internet abrufbar.

Cariad teilte weiter mit, es seien ausschließlich Daten bestimmter Fahrzeuge betroffen gewesen, die für Online-Dienste registriert waren und über eine Online-Konnektivität verfügten. Die entsprechende Zugriffsmöglichkeit seien noch am selben Tag geschlossen worden und die fehlerhafte Konfiguration besteht nicht mehr. Auch alle relevanten nationalen und internationalen Behörden seien informiert worden.

Wie der Spiegel weiter berichtete, ließen sich die Fahrzeugdaten in vielen Fällen mit Namen und Kontaktdaten ihrer Besitzerinnen und Besitzer kombinieren. Auf diese Weise hätten Angreifer Bewegungsprofile von Privatpersonen, aber auch Politikerinnen, Polizeifahrzeugen und mutmaßlichen Nachrichtendienstmitarbeitern erstellen können.

Dazu erklärte Cariad, für Kunden bestehe "keinerlei Handlungsbedarf, da keine sensiblen Informationen wie Passwörter oder Zahlungsdaten betroffen" seien. Die Hacker des CCC hätten "auf pseudonymisierte Fahrzeugdaten zugreifen können, die keine Rückschlüsse auf einzelne Personen zulassen. Nur durch die Umgehung mehrerer Sicherheitsmechanismen, die ein hohes Maß an Fachwissen und einen erheblichen Zeitaufwand erforderten, sowie durch die Kombination verschiedener Datensätzen war es dem CCC möglich, Rückschlüsse auf einzelne Kundendaten von bestimmten Nutzern zu ziehen."

Nach aktuellem Kenntnisstand des Unternehmens habe außer dem CCC niemand auf die Systeme zugegriffen und es gebe keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte. Der CCC habe zu keinem Zeitpunkt Zugriff auf Fahrzeuge gehabt.

Volkswagen nutzt die Daten nach Angaben von Cariad dazu, um Batterien und die dazugehörige Software zu verbessern. Das Unternehmen betonte, dass die Daten innerhalb des Konzerns niemals so zusammengeführt werden, "dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden".

Kontakt zum Autor: unternehmen.de@dowjones.com

DJG/DJN/sha/hab

Copyright (c) 2024 Dow Jones & Company, Inc.