Die Frage der Datenhoheit, die sich aus der Erfassung und Nutzung von Daten durch Fahrzeuge ergibt, ist Gegenstand kontroverser Diskussionen. Fahrzeughersteller vertreten die Auffassung, dass diese Daten als ihr Eigentum zu betrachten sind, während Halter von Fahrzeugen der Meinung sind, dass es sich um personenbezogene Daten handelt, was die Anwendung der DSGVO impliziert.
Der ADAC hat bereits 2016 festgestellt, dass sich aus Daten der Autosensoren und der Bewegungsdaten Rückschlüsse auf das Nutzungsprofil ziehen lassen. Im Januar 2024 wies der ADAC erneut darauf hin, dass unsere Autos mittlerweile sehr viele Daten sammeln.
Das ungewollte Offenlegen der Bewegungsdaten von Elektrofahrzeugen des Volkswagen-Konzerns kann als eine natürliche „Fruchtfolge“ von Erhebung, Verwendung und Datenpanne betrachtet werden.
Wie bereits von den Vortragenden auf dem 38C3 treffend angemerkt, lag der eigentliche Fehler darin begründet, dass die Daten überhaupt erhoben wurden.
Doch was ist passiert? Die VW-Tochter Cariad, die für die Entwicklung der betroffenen Software des Autokonzerns verantwortlich ist, betreibt eine Spring-basierte Webanwendung, die aus dem Internet erreichbar ist. Über diese Webanwendung waren mehrere API-Endpunkte ohne Passwortschutz erreichbar. Darunter auch der Spring Boot Actuator mit seinem Endpunkt Heapdump.
https://docs.spring.io/spring-boot/api/rest/actuator/heapdump.html
Ein Heapdump ist eine Momentaufnahme des Speichers (Heap) einer laufenden Java-Anwendung. Er enthält Informationen über alle Objekte, die sich zu einem bestimmten Zeitpunkt im Speicher befinden, einschließlich ihrer Referenzen untereinander.
https://www.codecentric.de/wissens-hub/blog/java-heapdumps-erzeugen-und-verstehen-4-akt
Heapdumps werden häufig zur Analyse von Speicherproblemen wie OutOfMemoryError verwendet.
https://www.baeldung.com/java-heap-thread-core-dumps
Es können aber auch gespeicherte Geheimnisse wie z. B. (API-)Schlüssel enthalten sein, welche sich mit einfachen Analysewerkzeugen extrahieren lassen. Genau dies war bei VW der Fall. Mit diesen Geheimnissen konnte dann auf einen eigentlich zugriffsgeschützten Cloud-Speicher zugegriffen werden. Und auf diesem befand sich eine sehr umfangreiche Datensammlung.
Da VW die Positionsdaten mit einer höheren Genauigkeit speicherte (10 cm) als in den AGB vorgesehen (diese spricht von „gekürzten GPS-Daten“), waren sehr genaue Auswertungen der Fahrzeughalter möglich. Böswillige Organisationen hätten mit diesen Daten den Aufenthaltsort und ggf. das Verhalten u. a. auch von Mitarbeitern sicherheitsrelevanter Behörden ermitteln können – wo geht wer zu welchen Sportaktivitäten, welcher Arzt wird wann aufgesucht, wo wird einkauft, …
Fazit: Daten, die nicht erhoben werden, können auch nicht ungewollt offengelegt werden. Datensparsamkeit darf keine leere Phrase sein.
https://vinqo.de/vw-datenskandal-betroffene-schliessen-sich-fur-mogliche-sammelklage-zusammen/
