Software in Autos sorgt nicht nur dafür, dass Fahrer:innen den Ladestand ihres E-Autos abrufen, den Innenraum vorheizen oder persönliche Einstellungen vornehmen können. Längst werden beispielsweise auch präzise Standortdaten erhoben und gespeichert, dazu persönliche Informationen der Besitzer:innen hinterlegt. Eindeutig sensible Daten, die viel Aufschluss über das Leben der Fahrer:innen geben können – und die keinesfalls öffentlich zugänglich sein sollten.

Wie der Chaos Computer Club (CCC) und der Spiegel berichten, war genau das jedoch über Monate hinweg der Fall. Mehrere Terabyte Daten zu rund 800.000 Fahrzeugen von Audi, Seat, Skoda und VW lagen frei einsehbar in einem Amazon-Cloudspeicher. In ungefähr 460.000 Fällen konnten genau Standortdaten eingesehen und Verbindungen zu den Fahrer:innen hergestellt werden; darunter auch Politiker:innen, Wirtschaftsbosse und die Hamburger Polizei.

Größtenteils stammen die Daten aus dem Jahr 2024, teilweise auch aus früheren Jahren. Bei den VW-Modellen ID 3 und ID 4 liegen besonders detaillierte Informationen vor, die beispielsweise genau zeigen, wann und wo ein Fahrzeug gestartet und wo die Fahrt beendet wurde.

Ursächlich dafür war ein Fehler des Softwareherstellers Cariad, der zu VW gehört. Dort war man nicht selbst auf das Datenleck aufmerksam geworden; vielmehr hatte sich ein:e anonyme:e Hinweisgeber:in an CCC und Spiegel gewandt. Nachdem der Sachverhalt als richtig bestätigt werden konnte, wandte sich der CCC an Cariad – und wurde positiv überrascht.

Innerhalb weniger Stunden reagierte der Softwarehersteller, bat um weitere Details und behob den Fehler schließlich. Für Kund:innen bestehe „kein Handlungsbedarf“, betont man bei Cariad und ergänzt: „ach aktuellem Kenntnisstand hat außer dem CCC niemand auf die Systeme zugegriffen und wir haben keine Hinweise auf eine missbräuchliche Nutzung von Daten durch Dritte.“