Hunderttausende Autos, auf den Meter genau geortet: Über ein Leck hatte der freie Datenjournalist Michael Kreil Zugriff auf Daten, von denen selbst Geheimdienste nur träumen können. Wie geht man damit verantwortungsvoll um? Dieser Beitrag ist im „medium magazin“ 01/2025  erschienen.

Interview: Sebastian Meineck

---

Autohersteller rücken ihren Kundinnen und Kunden sehr eng auf die Pelle. Das zeigte Ende 2024 eine Sicherheitslücke beim VW-Konzern, die der „Spiegel“ aufdeckte. In ganz Europa wurden Menschen von ihren Elektroautos minutiös getrackt. Solche Recherchen über IT-Sicherheitslücken bringen selbst erfahrene Kolleginnen und Kollegen ins Schwitzen – denn sie geschehen in einem Graubereich, wie Michael Kreil im Interview erklärt.

Michael, alles begann mit dem Hinweis, dass Daten von VW-Kundinnen und -Kunden ungeschützt in einer Amazon-Cloud herumliegen. Woher bekommt man solche Hinweise?

Michael Kreil: Auf unsere Quelle kann ich nicht näher eingehen. Aber üblicherweise läuft das so: Menschen, die sich mit IT-Sicherheit auskennen, surfen im Internet und bemerken etwas Seltsames, das sie sich genauer anschauen. Dabei geht es um Hilfsbereitschaft. Stell dir vor, du würdest auf der Straße ein gestrandetes Auto mit offenen Türen sehen. Dann würdest du auch mal schauen, was da los ist und ob es dem Fahrer gut geht.

Um die Lücke zu finden, kamen laut „Spiegel“ Werkzeuge zum Einsatz, die sowohl IT-Sicherheitsfachleute nutzen als auch kriminelle Hacker. Was muss ich mir darunter vorstellen?

Das sind offen verfügbare Werkzeuge, mit denen man zum Beispiel automatisch Subdomains auf einer Website finden oder Pfade auf einem Server durchprobieren kann.

Der Hinweis ging zuerst an den Chaos Computer Club (CCC). Wie wurde daraus eine „Spiegel“-Recherche?

Viele wenden sich zuerst an den CCC, wenn sie eine solche Lücke finden. Das liegt daran, dass Unternehmen gerne IT-Sicherheitsforschende verklagen – statt ihre Hinweise dankend anzunehmen. Der CCC hat Routine im Melden solcher Lücken. Das Verfahren heißt Respon­sible Disclosure. In diesem Fall hat sich der CCC auch an mich gewandt, weil bekannt ist, dass ich mich mit solchen Datensätzen gut auskenne. Wir merkten, der eigentliche Skandal ist nicht die Lücke selbst, sondern dass einer der größten Autokonzerne der Welt so viele Daten erfasst. Das ist von großem öffentlichen Interesse. Deshalb haben wir auch den „Spiegel“ an Bord geholt.

Was für Daten waren das genau?

Da war zunächst eine Liste mit rund 15 Millionen Fahrzeugen von VW-Marken, vor allem aus Europa. Zu jedem Fahrzeug gab es eine einzigartige User-ID. Auffindbar war auch der Zugang zu einer Datenbank, die verrät, wer hinter einer User-ID steckt, also: Vorname, Nachname, Adresse, Telefonnummer. Außerdem gab es 9,5 Terabyte technische Statusmeldungen der Autos. Die spannendsten waren GPS-Koordinaten mit einer Genauigkeit von unter einem Meter. Auf diese Weise konnten wir den Alltag von Menschen rekon­struieren: Wohnort, Arbeitsplatz, Schule, Golfclub. Betroffen davon waren rund 470.000 Elektroautos von VW und Skoda.

Warum erfassen die Elektroautos so genaue Standortdaten?

Volkswagen bietet digitale Dienste an, zum Beispiel können Kunden ihr Auto per App orten. In diesem Fall aber wollte die VW-Tochter Cariad mit den Statusmeldungen die Leistung der Batterien überwachen und verbessern. Warum dafür auch so hochgenaue Standortdaten benötigt werden, ist uns nicht klar. Vermutlich handelt es sich um einen Fehler in den internen Entscheidungswegen.

Laut „Spiegel“ legt Cariad Wert auf die Feststellung, dass die Daten innerhalb des Konzerns niemals so zusammengeführt werden, „dass ein Rückschluss auf einzelne Personen möglich ist oder Bewegungsprofile erstellt werden“. Für eure Recherche habt ihr aber genau das gemacht?

Ich hoffe, dass VW die Daten nicht so auswertet, wie wir das gemacht haben. Aber so was ist nun mal genau die Gefahr, wenn Externe Zugriff darauf haben. Für unsere Recherche brauchte ich ein Setup, das so viele Daten ohne lange Wartezeiten verarbeiten kann. Das habe ich lokal mit einem Mac mini gemacht. Als Interface habe ich VersaTiles genutzt. Das ist ein quelloffenes Werkzeug für interaktive Karten, das ich mitentwickelt habe. Damit konnte ich mir pro Fahrzeug übersichtlich anzeigen lassen, wo genau es wann geortet wurde.

Wonach hast du zuerst gesucht?

Ich habe mir viele Bewegungsprofile von Autos angeschaut, die bei Unternehmen, Behörden oder auch Geheimdiensten parken. Schnell war klar, dass auch viele sicherheitsrelevante Personen betroffen sind. Auch über die E-Mail-Adressen der Fahrzeug-Halter:innen konnte ich viele Fälle finden. Es gab Autos, die mit einer E-Mail-Adresse @bundestag.de registriert wurden. Wir haben schließlich zwei Abgeordnete als Beispiel-Fälle ausgewählt und kontaktiert – weil das die Menschen sind, die selbst per Gesetzgebung etwas verändern könnten. Beide waren bereit, für den Artikel mit dem „Spiegel“ zu sprechen: Markus Grübel (CDU) aus dem Bundestag und Nadja Weippert (Grüne) aus dem niedersächsischen Landtag.

Mit Blick auf den Pressekodex musstet ihr VW konfrontieren; mit Blick auf die Hacker-Ethik die Lücke melden. In welcher Reihenfolge macht man das?

Darüber haben wir uns lange den Kopf zerbrochen. Priorität für uns hatte zuerst, VW die Lücke offenzulegen, damit die Daten möglichst schnell geschützt sind. Deshalb gab es zuerst die Responsible Disclosure, während unsere laufenden Recherchen noch nicht bekannt waren. In einem nächsten Schritt kam dann die Konfrontation.

Wie hat VW reagiert? Cariad spricht laut „Spiegel“ lieber von einer „Fehlkonfiguration“ statt von einer Sicherheitslücke.

Es gibt Geschichten von Unternehmen, die in einer solchen Situation die Forscher verklagen. Im Vergleich dazu war die Reaktion vorbildlich. VW und seine Tochterfirma haben sich bemüht, die Lücke schnell zu schließen.

Was hat die Recherche für dich bedeutet?

Sie hat mir genau vor Augen geführt, wovor ich seit vielen Jahren warne, nämlich, wie gefährlich solche Datensammlungen sind. Ich konnte sogar Autos von VW-Vorständen verfolgen; sehen, wo Menschen ihre Kinder zur Kita bringen. Das Missbrauchspotenzial ist enorm, auch für Spionage. Die Wirkung der Recherche war aber nicht ganz wie erhofft. Mein Eindruck war, dass die Leute denken: Eine Sicherheitslücke kann doch jedem mal passieren. Das Problem geht aber über die Lücke und auch über VW hinaus: Autohersteller sammeln viel zu viele Daten und schützen sie nicht ausreichend! Ich hoffe, die juristische Aufarbeitung verläuft sauber. Zuständig sind nämlich die Behörden in Niedersachsen – also einem Bundesland, das selbst besonders von VW profitiert.

Braucht es mehr solcher Recherchen zu Sicherheitslücken?

Es ist schwer, solche Recherchen zu empfehlen, weil sie in Deutschland in einer rechtlichen Grauzone geschehen. Das war für mich auch ein merkwürdiges Gefühl. Ich lief ohne Rechtssicherheit mit einem verschlüsselten Laptop herum, auf dem auch private Standortdaten von Verfassungsschützer:innen herumlagen. Ich wünsche mir, dass der Gesetzgeber den Hackerparagrafen anpasst, um IT-Sicherheitsforschende zu schützen. Viele Redaktionen trauen sich gar nicht mehr an solche Recherchen, weil sie befürchten, sich strafbar zu machen. Der Hackerparagraf schränkt damit auch die Pressefreiheit ein. Wir haben eine Stiftung Warentest – nach ähnlichem Vorbild bräuchte es Redaktionen, die im öffentlichen Inter­esse IT-Sicherheit prüfen können.

Sebastian Meineck ist Tech-Journalist in Berlin. Beim „medium magazin“ schreibt er regelmäßig über die spannendsten Werkzeuge für die Onlinerecherche.

---

Um das „Megathema Zukunft“ geht es übrigens auch in der neuen „Journalisten-Werkstatt“ von Barbara Maas. Die „Werkstatt“ liegt im „medium magazin“-Abonnement gratis bei. Einzeln ist sie zudem im Shop erhältlich.