38C3 - Wir wissen wo dein Auto steht - Volksdaten von Volkswagen

[Musik] [Musik] den flüpke hier der vordere ne den muss man sich so vorstellen wie so eine wandelnde Migräneattacke wenn du wenn Leute eine Lösung haben dann verwandelt er die in ein Problem ja und bei Michael ist das in etwa so der ist halt so Daten Daten Daten Analyse Daten Daten Daten hat früher so Datenjournalismus gemacht und je größer die Daten desto besser desto mehr und eigentlich ist erer sozusagen der Analyst auf dieser Daten darum ich bin mal gespannt was dieses duoinnale jetzt uns hier präsentieren wird einen dicken großen riesen Applaus ja vielen Dank der Titel ihr seht es wir wissen wo dein Auto steht ja wo parken Autos na auf Parkplätzen will man will man hoffen denn sonst gibt's Anzeige ja in der Presse ist noch so ein bisschen unklar worum es hier in diesem Vortrag geht hier tonlein hat irgendwie getitelt wv es geht deswegen dachte ich mir klären wir erstmal um wen es hier eigentlich geht es geht um die Volkswagen AG und auch um VW VW ist die Kern Marke der Volkswagen AG wir haben hier allerdings auch noch weitere Marken erstmal ganz grundsätzlich der Volkswagen AG die gehört zu 3% nach Stimmrecht in der Porsche Holding zu 20% Niedersachsen 17 % Qatar und 10% sind Streubesitz wir haben hier mehrere Marken es gibt auch noch mehr Marken hinter der Volkswagen AG hier dargestellt sind nur die Betroffenen um die es jetzt hier heute in diesem Vortrag geht warum sind gleiche mehrere Marken betroffen ganz einfach diese Marken die teilen sich Fahrzeugplattform Fahrzeugplattform ich weiß viele von euch kennen sich vielleicht noch nicht so mit Autos aus ich kannte mich daaver auch noch nicht so mit aus Fahrzeugplattformen sind im Grunde genommen ist im Grunde genommen die gesamte Elektrik die in soem Karren drin steckt und das Entwickeln das ist ganz schön teuer und deswegen Teil wird das halt einmal gemacht und dann gibt's halt von den unterschiedlichen Marken ähm entsprechend unterschiedliche Modelle die aber im Grunde genommen auf dem gleichen Prinzip auf der auf der gleichen Fahrzeugplattform basieren hier in dem Vortrag geht es um den modularen elektroantriebsbaukasten früher auch modularer elektrifizierungsbaukasten genannt oder in einfach der modulare elektrobastelkasten hier mal durch ein Kosmos Experimentierkasten dargestellt zu dieser Plattform gehört die idsie also ID3 id5 id7 der Skoda enjak Audi q4ron der Cupra born Cupra eine Marke der Seat ja wir sprechen also über Elektrofahrzeuge Elektrofahrzeuge impliziert Software Software was kann da schon schief gehen hier habe ich mal ein Feldversuch durchgeführt mit einem dieser Fahrzeuge im Winter leider so gut gelaufen brauchten leider einen Abschlepper einer war leider nicht genug muss der Abschlepper brauchte dann leider noch ein Abschlepper so als wenn Software nicht schon schwierig genug wäre erhöhen wir das Schwierigkeitslevel wir gehen online oder wie Politiker sagen würde wir gehen auf die Datenautobahn wie jede moderne Fahrzeugserie ist auch der modulare elektrobastel Kasten online ähm spätestens seit 2018 sind Autos ohnehin online always online aufgrund der eCall EU-Richtlinie eCall ein Notrufsystem was im Falle eines Crashs automatisch Hilfe holt liest man sich den Wikipedia Artikel zu eCall durch Ziehen in der Sektion Datenschutz ein paar Wolken auf dort wird die Befürchtung geäußert dass durch Zusatzdienste von den Fahrerinnen unnötig viele Daten erhoben werden könnten und dass die Karen basically so eine pay to win Geschichte werden und genau darum geht es hier auch in dem Vortrag also nicht um eCall sondern um die connectivity Dienste genauer die Backends unsere Quelle eine Hackerin hat sich die mal genauer angeschaut um nachzuvollziehen wie sich das Ganze wahrscheinlich bei unserer Quelle zugetragen haben muss begen wir begeben wir uns mal auf eine datenreise bevor wir losfahren können müssen brauchen wir natürlich eine Navigation heute setzen wir dazu mal subfinder ein ein ganz einfaches standardtool womit man zu einer Toplevel zu einer Domain halt irgendwie so Subdomains finden kann hier mal einfach dargestellt an cccde so ein 0815 Tool bedient sich an Datenbanken so certificate transparency z. B das heißt immer wenn ihr irgendwie einen Zertifikat bestellt oder ein Zertifikat von letzenpt bezieht dann landet das auch automatisch immer in dieser Datenbank drinne und damit auch in diesem Werkzeug hier also erstes learning aus dem Vortrag alles was ins DNS reinschreibt ist nicht geheim zumindest wenn ihr da irgendwie eine ein Zertifikat für haben wollt in der Regel ja auf jeden Fall haben wir jetzt navigiert sind an unserem Zielort angekommen und da machen wir es mal eine ortskontrollfahrt im internetjargon da nennen wir das ganze dann einfach eine Directory Enumeration denn unser Server sagt uns jetzt nicht bereitwillig irgendwie welche Verzeichnisse welche Dateien ist da gibt sowas ist häufig auch schon eine Schwachstelle in sich hier nicht der Fall deswegen hier einfach mal an der CCC Domain dargestellt mit gobuster dann nehmen wir im Grunde genommen einfach ein Wörterbuch und probieren durch was für Pade es gibt da springt uns dann etwas ins Gesicht spring spring ist ein Open Source Java Framework um web applications zu entwickeln wird entwickelt von VMware bekannt für die gleichnamige Virtualisierungslösung Spring Framework das ist in der Java Enterprise Hölle absolut Industrie üblich heißt aber nicht dass es gut [Applaus] ist wie vi Java Projekte üblich gibt es D eine ganze Menge designpatterns fast eine Millionen Zeilen Code und auch die ein oder andere Problem factory und von der ist leider auch aufgrund einer falschen Konfiguration man muss es nämlich ausschalten auch Volkswagen betroffen konkret der actuator ja das ist ein API endpoint also alles unter Slash actuator der ist einfach so auch im Browser per HTTP abrufbar bei VW auch ohne Passwort und eigentlich dient er dazu introspection und Management eurer Webanwendung bereitzustellen introspection bedeutet Monitoring sprich Performance Metriken Konfiguration aber eben auch hipdumps hier in diesem Fall hebbdums was sind das wie muss man sich das vorstellen hipdums kehren zu unserer zum autobeispiel zurück muss man sich so vorstellen wie so ein großen Schrotthaufen wir sind also sind dies im Schrotthaufen und das ist irgendwie da ist irgendwie sehr viel Müll viel Zeug was man nicht mehr gebrauchen kann aber manches davon ist doch noch nützlich weil wir uns jetzt hier im cyberraum bewegen können wir leider nicht die Ludolfs fragen ob sie uns da irgendwie was raussuchen können sondern wir benutzen hier visual VM weil in so einem hedum metinformation drin stehen ist eine solche erte Darstellung möglich also es ist klar was das für ein Objekttyp ist und da springen uns dann auf einmal so AWS credentials entgegen bin ich da schon drin oder [Applaus] was ja kurze Rekapitulation wir haben so ein paar 0815 scriptk Tools benutzt haben uns damit auf eine datenreise begeben haben bei einer okf so ein Schrotthaufen gefunden und in dem Schrotthaufen waren irendwie noch Schlüssel drinne ja und irgendwie ist uns unterwegs so ein krasser Geisterfahrer entgegengekommen auf der Datenautobahn und was hat dieser Geisterfahrer Volkswagen zu seiner Verteidigung vorzubringen der Zugriff auf die Daten erfolgte in einem sehr komplexen mehrstufigen [Applaus] Verfahren aber vielleicht mein VW da auch was ganz anderes erhöhen wir den Schwierigkeitsgrad fahren wir die schweren Geschütze auf Strings ist nicht nur ein hervorragendes binäranalysewerkzeug sondern auch ein fantastisches Hackertool das sind diese verbotenen kriminellen Hackertools das spuckt uns ask prable verter aus die in so ein binären Datenstream wie z. B ein hebpdump enthalten sind und da finden wir noch was client id und cinent secret komisch client id und cin secret kennt man aus dem aus aus von aus Webtechnologien z.

B von OTH VW betreibt auch seinen eigenen identity Provider dieser identity Provider verwaltet Benutzerdaten und erlaubt den Benutzerin sich beispielsweise in der App anzumelden oder in anderen Services anzumelden ist aber komisch denn dieses Backend das ist für BenutzerInnen überhaupt nicht zugänglich stattdessen wird das für ein Token Exchange benutzt wie sich herausstellte konnte man für eine beliebige UserID vom IDP mit diesem Kid K secret ein JWT abrufen sprich ein authentifizierungstoken ohne Passwort das natürlich praktisch wenn man dem einfach so eine UserID geben kann und plötzlich sind wir dieser User Autos fernsteuern können wir damit jetzt leider nicht oder zum Glück aber wir können uns damit an einer API vom identity Provider authentifizieren und dort auf die Benutzerin Daten zugreifen D können i nämlich fragen wer sind wir oder um es wie der CEO von Volkswagen Financial Services zu sagen wir wissen dann alles über das Auto und einiges über die Kunden das hat Christian Dahlheim gegenüber der Automobil Woche so geäußert als er sich zu einem neuen Geschäftsmodell äußert aber schauen wir uns die Daten mal an was wissen wir eigentlich die automobile vorratsatenspeicherung gliedert sich auf in die drei Säulen wir haben da zum einen die User datata besteht aus Name E-Mail Telefon teilweise teilweise auch Adressen bevorzugte Händler innen wo man so zur wkstad fährt enrollment data sprich Daten über die Fahrzeuge Fahrgestellnummer welches Modell ist das in welchem Jahr wird das publiziert und auch welcher UserID ist das zugeordnet und zu guter Letzt haben wir eV data electric vehicle data sprich Kilometerstände batterietemperaturen Batteriestatus aufladestatus und auch Warnleuchten Daten also was du so im Dashboard ersche schauen wir uns das erste Mal an enrollment data wir sehen oder vielleicht in den hinteren Reihen auch nicht es sind sehr viele unterschiedliche Modelle von mehreren Marken betroffen das ganze noch mal ein bisschen übersichtlicher dargestellt das sind jetzt die Fahrzeuge sowohl elektrische als auch nicht elektrische die in den Daten enthalten sind da sehen wir volkswag hat ein sehr hohen Anteil dran also VW mit der Kernmarke tauchen wir da mal noch ein bisschen tiefer ein wir haben da mal eine digitalisierungsquote berechnet digitalisierungsquote heißt Leute die sich dafür entschieden haben in Wagen zu enrollen spricht die App mit ihrem Fahrzeug zu benutzen wir sehen für Elektrofahrzeuge ist diese Zahl deutlich höher das haben wir auf Basis der vorliegenden Daten und zum Zeitpunkt der Datenauswertung hat sich das hier so ergeben es kann aber auch sein dass wir hier an dieser Stelle Daten falsch interpretiert haben also don't schauen wir uns lieber mal weiter das an was wir ganz sicher wissen EVD wir haben in den hebpdums API endpoints gefunden und Informationen gefunden die darauf hindeuten dass diese Daten diese eV datata aus einem größeren Pool kommen dafür spricht dass die Fahrzeugdaten die uns vorliegen immer so um 0 Uhr angelegt wurden und zwar in einer AWS Cloud das heißt sieht so aus es W aus dem großen Datenpool einer MongoDB atlasdb hochgeladen in ein AW Cloud und die Daten beziehen sich dann wie gesagt immer auf die letzten 24 Stunden eine Aussage von Volkswagen gegenüber SPIEGEL bestätigt das vW sagt Ladeverhalten und ladegewohnheiten von Kunden werden genutzt um Batterien und die dazugehörige Software zu verbessern ja und genau dieser Service die sich um diese Auswertung kümmert der ist kaputt gegangen aber woher hat er eigentlich seine Daten und gibt's dann noch mehr zu holen also haben wir uns mal bei VW umgeschaut da ist uns das Fleet Interface aufgefallen das ein Angebot für Gewerbekunden es handelt sich da beiim Flottenmanagement um auf Fahrzeugdaten natürlich nur von der eigenen Flotte zuzugreifen und da werben sie sehr vollmundig damit dass sie Positionsdaten Kilometerstand Tankfüllstand Reichweite Warnlampen bremsverschlei blue Füllstand serviceinterval und so weiter alles anbieten und das ganz ohne nachrü sprich die Fahrzeuge sammeln die Daten also ohnehin ein und was für Fahrzeuge na eine ganze Menge auch nicht elektrische Fahrzeuge aber was müssen wir jetzt über VWs feldbeobachtung der Elektrofahrzeuge wir haben da eine ganze Menge Datenpunkte schauen wir uns mal die Warnleuchten an hier haben wir den Drckverlust im Reifen der vorne links auf Fahrerseite der muss am seltensten dran glauben der hinten rechts am häufigsten vielleicht könnte VW sich das ja als Feedback so ernst nehmen so die räumliche Wahrnehmung ihrer Kunden können sie nicht verbessern aber kleinere Autos bauen oder Ersatzreifen [Applaus] verkaufen eine besonders kuriose Warnmeldung war high voltage battery risk of fire Pullover safely asab and call emergency services diese wnmeldung sehen wir in dem Datensatz 45 mal aber sie bezieht sich nur auf 14 eindeutige einzelne Fahrzeuge turns out weiterfahren ist es solution also es gab wirklich Leute da tauchte das über mehrere Tage immer wieder auf so stellt sich natürlich die Frage haben die die Fahrzeuge wirklich gebrannt schauen wir uns die batterietemperaturen an sehen wir im Winter ist es kalt und im Sommer ist es warm aber ansonsten ist da irgendwie nicht viel Aufregendes passiert so dann haben wir mal ein bisschen weiter geguckt und da ist uns aufgefallen dass diese Events immer beim Aufladen passiert sind so es gibt auch irgendwie ein bisschen Sinn beim Aufladen ist der Akku unter dem höchsten Stress schauen wir uns mal das aufladeverhalten an turnsout die deutschen laden ihre f so wie sie sie auch am liebsten fahren manuell vielleicht kann man ja mit dem Schalthebel dieselita vielleicht so von soem elektrischen Fahrzeug überzeugen da haben wir noch das Problem mit dem Aufladen so wir haben irgendwie so zwei Geschmacksrichtung fürs Aufladen von Elektrofahrzeugen und ob ihr wirklich richtig ladet seht ihr wenn der Lichtbogen angeht [Applaus] 3 ja ihr seht in 39% der Fälle ist sich das Fahrzeug selber noch unschlüssig to be fair wir wissen nicht was jetzt hier invalid bedeutet kommen wir zum aufladeverhalten hier sehen wir Peaks bei immer in 10% Schritten spricht dafür dass die Leute halt irgendwie ein ladetpoint einstellen und 80% großer Knick drinne spricht für dafür dass die Leute irgendwie vorsichtig mit denen Akkus umgehen schauen wir noch auf die User datata zu guter Letzt drauf da schauen wir mal sehr oberflächlich ein sehr sehr heikles Thema top Mail Domains eigentlich keine großen Überraschungen so außer vielleicht wir haben hier 17% custom Mail Domains das spricht ein bisschen dafür das Elektroautofahrer se technikerf so unsere Hackerin die stand dann vor dem großen Dilemma so entweder hält man die Klappe oder man versucht da irgendwie so ein cv so coordinability discloser anzustoßen sie hat sich dann dafür entschieden den CCC [Applaus] anzurufen der CCC ist dann zur volksang gegangen hat gesagt abschalten mit abschaltinrichtung kennt ihr euch ja aus [Applaus] ist natürlich Quatsch haben natürlich ein ordentliches professionelles disclosure gemacht genauso professionell muss man ehrlich sagen hat die Volkswagen da drauf reagiert wir sprachen mit Technikern nicht mit der Rechtsabteilung wir hoffen dass es nach diesem Vortrag noch so bleibt wie kam [Applaus] wie kam es seitens VW zu der Fehlkonfiguration ja am Anfang stand der commit dann der Push cicd und dann haben hatten wir da schon die offene feldbeobachtung was fehlt der reviewpzess immerhin sie haben Prozess und können postmortem changes an der Infrastruktur nachvollziehen ende gut alles gut na ja erstens sie haben viel zu viele Daten eingesammelt das ist überhaupt nicht nötig so wen man die Sicherheit und Zuverlässigkeit von den batteries von den Batterien evaluieren möchte dann braucht man nicht genaue positionsaten zweitens sie haben die Credentials für Seat rotiert aber nicht invalidiert kleiner flüchtigkeitszähler kann man passieren ja jetzt ist aber wirklich alles gut die haben sie dann nämlich auch noch invalidiert so und außerdem hat VW gesagt keine sensiblen information sind betroffen weiß ich nicht diger Hilfe schließlich haben wir noch nicht über die Bewegungsdaten gesprochen die da drinne sind fragen wir den datenjournalisten Michael [Applaus] Kreil hallo ich bin hier den Spaß zu verderben kurze Zusammenfassung also die folgenden Daten waren unzureichend geschützt und wurden un zugespielt enrollment Daten 15 Millionen Fahrgestellnummern Modell Baujahr Land und die nutzerid Userdaten von 600. 000 Personen inklusive nutzerid Name E-Mail teilweise gebotsdatum Mobilnummer und Adresse und irgendwelche eventdaten 9,5 TB Statusmeldung als Jason inklusive Geokoordinaten hier ist mal ein Screenshot zu sehen so sehen diese Jason Files aus pro Fahrzeug gibt's dann sozusagen für die letzten 24 Stunden Eintrag man sieht viele Metadaten enthalten typinformation über die Batterien weil hier versucht wird das Batteriemanagement zu verbessern aber man sieht klimatisation Event data also wann wird die Klimaanlage ein und ausgeschaltet charging Event data ne wann fängt man an zu laden ignition Event data wan wird der Motor ein ausgeschaltet aber mit den ganzen Daten die wir jetzt haben können wir noch ein paar Analysen zu den Fahrzeugen machen das interessiert die Leute ja die betroffenen Fahrzeuge mit konkret jetzt den Geokoordinaten sind 800. 000 davon Audi Skoda mm die haben das aber sind also knapp 340.

000 Fahrzeuge wo die geokordinaten nach einer nachkommerstelle abgeschnitten sind das sind also ungefähr Auflösung von 10 km bei Volkswagen und Seat sind insgesamt 470 Fahrzeuge auf 10 [Applaus] cm zum Glück gibt's natürlich die passende AGB dazu von Volkswagen im Abschnitt 8 Analyse zur Verbesserung von Produkten gibt's dann auch den Punkt Standortdaten z. B gekürzte GPS-Daten schreibben sogar zweimal hin darüber hinaus kürzen wir auch GPS-Daten ihr habt halt vergessen ja bei Volkswagen und Seat hier sind die geokord mal nach Zeit bei Seat sammeln sie im Prinzip ab dezember 2022 bei Volkswagen ab September 2023 hier noch mal konkret die Modelle die jetzt in diesem datenliag konkret vorkommen Audi und Skoda dann Seat oder Cupra Born und VW ID 3457 gucken wir uns mal die Geokoordinaten an und da ma ich mal vorweg ein Disclaimer ja wir haben sie mit ser viel Betroffenen zu tun und wir wollen deren Privatsphäre natürlich schützen und deswegen haben wir so ein kleines Verfahren gemacht wo die Daten sauber anymisiert werden mit einem clustering Verfahren Gaus mict Model und im Prinzip werden Cluster nur so weit runtergebrochen dass mindestens fünf Fahrzeuge drin sind und die Klaster werden D mit normal verteilten zufallspunkten dargestellt und so weiter kurz um eine Identifikation der einzelnen Fahrzeuge ist ausgeschlossen bei den Screenshots den wir jetzt zeigen und den ersten Screenshot ist wir zeigen mal mal das Volkswagenwerk in Wolfsburg das Streifenmuster das hier unten seht sind die Parkplätze für die Mitarbeiter die fahren halt viel diese Fahrzeuge das ist ganz Wolfsburg Hannover ganz Niedersachsen ist es sehr beliebt Hamburg Berlin Köln München London Oslo Stockholm Amsterdam Brüssel Kopenhagen wenn man mal alle mal einzeichnet sieht so die Europakarte aus 900 [Applaus] Millionen da kann man gut sehen wo die betroffenen Fahrzeuge fahren natürlich Deutschland aber auch Belgien Niederlande Großbritannien Skandinavien und natürlich vorrangig dann auch in den in den Städten was steckt in den Daten jetzt habe ich mal die Chance für einen shameless Plug weil ich nämlich an dem kartenframework arbeite wir haben ein Fan haben wir beim S datalab entwickelt wird jetzt vom miiz und nnet weiterentwickelt und das ist super da kann ich auch meine 900 Millionen Geokoordinaten reinwerfen und ich habe hier mal so ein Screenshot gemacht da sut man an den BR Flughafen ran und dann kann man sich so ein Taxi auswählen und dann kann man mal sehen wie das Taxi so zum zwischen BR Flughafen und der Stadt hin und her pegelt pendelt und rechts äh zu welchen Zeiten es sozusagen wann an welchem Standort war aus komplett offensichtlichen Gründen muss ich jetzt hier alle privaten Daten unkennlich machen und man sieht halt nicht viel und das ist sozusagen das Kernproblem wir können ja euch einfach nicht die Originaldaten zeigen ja gerade die CCC Hackerethik sagt private Daten schützen und wir spielen h mit der Privatsphäre von 800. 000 Betroffenen und haben wir langeübel wie gehen wir denn damit um und dann ist mir eingefallen bei Gerichtsverhandlung darf man auch nicht fotografieren aber man darf die Leute zeichnen und da fel ein der CCC hat eine Geheimwaffe und zwar Stella und mit Stella ja sind wir mit Stella haben wir einmal die komplette Show gemacht wir haben uns alle Details angeguckt was sagen im Prinzip diese Daten über Betroffene aus und sie hat das im Prinzip gezeichnet um euch ein Eindruck zu vermitteln ihr könnt also die Daten sehen durch die Augen von Steller hier ist mal das erste Beispiel hier ist ein Privatgrundstück mit ein paar roten Punkten da ist ein Fahrzeug das parkt dann immer an der gleichen Stelle kurzer Hinweis wenn so ein Fahrzeug seit zwe Jahren datenammelt sind das so eher 700 Punkte auf diesem einen Grundstück und rechts hat seller mal so angedeutet so eine Kalenderdarstellung wann das Fahrzeug denn an diesem Ort ist und das ist natürlich dann immer nachts unter der Woche bzw das gesamte Wochenende zwischendurch gibt's dann mal ein großen Block wo das Fahrzeug woanders ist und zwar nämlich am Arbeitsplatz da arbeiten die Leute so von 8 bis 17 Uhr kan man gucken bei welchem Arbeitgeber dieses Betroffene Fahrzeug so parkt generell sieht die Route von einer Privatperson ungefähr mal so aus die ist deutlich komplexer weil die Leute natürlich auch in Urlaub fahren ihre Freunde besuchen da gibt sozusagen sehr komplexe Netzwerke die daraus entstehen istm das vereinfacht dargestellt aber wir können auch sehen wo die Person einkaufen geht und wann und der Woche machst du dann mal schnell deinen Einkauf für fürs Mittagessen oder so und den Wochenende Kauf den macht man dann am Samstag übrigens ein fun fact wir haben ja auch einige Fahrzeuge uns angeschaut von eigentlich Männern in hohen Position die nicht am Mittwoch um 14 Uhr ein Großeinkauf machen und damit war dann relativ schnell klar dass es nicht ihr Fahrzeug ist sondern das von ihrer Ehefrau das konnen wir auch später nachweisen und die große Frage ist weiß die Frau dass ihr Mann sie beobachten kann wo sie mit dem Fahrzeug unterwegs ist da kann ich auch die Vorträge von Anne rot zum Thema digitale Gewalt äh empfehlen vielleicht schckt dir der eine oder andere eifersichtig jemand seine Frau damit ohne dass sie es [Applaus] weiß wann und wo geht die Person Tennis spielen so Klassiker Donnerstag Nachmittag oder abends geht man noch zum Golf spielen oder zum Yoga schwimmen haben wir gesehen allerh wann und wo bringen die Personen ihre Kinder in die Schule oder in die Kita teilweise konnen wir die Kinder deanonymisieren steht in der Lokalpresse ein Kind mit dem richtigen Nachnamen hat Preis gewonnen und wir konnten halt sehen mit dem Fahrzeug Mama hat es abgeholt und dann in ein bestimmtes Gebäude rüber gefahren das heißt wir konnten dann auch wissen sozusagen namentlich nennen welche Kinder die Betroffenen haben man kann sich dann aber auch mal so ein Bordell anschauen und gucken wer da so parkt und wo er arbeitet das Artemis in Berlin da halten die Leute eher mit dem Taxi man kann aber sehen wo das Taxi die ja vorher abgeholt [Applaus] hat mal so ein Bankenviertel in Frankfurt Frankfurt am Main da gab's sehr sehr viele Punkte das heißt da kann man auch relativ gute Personen finden die vielleicht eine besondere Zugangsberechtigung haben ne und ich kann ja dann gucken wo gehen die dann Golfen oder so ne dann kann man sich mit den anfreunden vielleicht noch ir Information rausholen generell sind hier viele Unternehmen betroffen kleine Mittel und Großunternehmen fl Management der Stadtwerke oder sonst irgendwas VW Vorstände haben wir auch drinne gefunden also auch VW ist sozusagen selber davon betroffen und auch Geschäftsgeheimnisse ein kleiner funf die kälteste Batterietemperatur die wir gefunden haben war in Schweden irgendwie zwei drei kleine Häuschen irgendwo im Wald mitten in der wallerei und da parken ganz viele Testfahrzeuge und das ist das Testlabor von Volkswagen das öffentlich nicht bekannt ist in den datenschüz drin [Applaus] wer arbeitet eigentlich bei Redaktion hier mal das ARD Gelände hier in Hamburg da kann man halt sehen die Mitarbeiter meistens aus dem technischen Bereich ein Moderator war dabei aber hier ist natürlich auch der Quellenschutz gefährdet ne wenn jetzt z.

B ein wisselblauer von Volkswagen man eine Redaktion besucht steht das auch in den Daten drin generell berufsgeheimnisräger auch z. B be Anwälte ne wer besucht Scheidungsanwalt etc steht alles drin Botschaften haben wir uns angeguckt generell Regierungsgebäude in Europa ja da gibt's auch eine interessante Geschichte bei einem Gebäude haben wir einen von der Polizei abgesicherten Parkplatz gefunden und auf dem Park den ein Fahrzeug mehrmals die Woche für längeren Zeitraum und dann guckt mal an was ist das für ein Fahrzeug wo kommt das her wo fährt es hin und sieht dass es im Vorort in einer kleinen Seitengasse immer noch mal kurz vorher hält bevor ins Regierungsgebäude kommt und das ist ein Catering Unternehmen und das heißt ich kann euch sagen wo die Schnittchen geschmiert werden die dann zwei Stunden später von hohen regierungsbampen gegessen werden steht in diesen Daten [Applaus] drin wer arbeitet beim Schloss belvü beim Bundespräsidenten sieht man dann Referatsleiter wie gesagt abgeordnet haben wir überall wer setzt eigentlich noch gerne Fahrzeuge ein richtig ich die Polizei Hamburg beispielsweise über 30 Fahrzeuge da kann man sich so ein einzelnes Fahrzeug rauspicken und sehen wann es zu welchem Zeitpunkt zu einem bestimmten Einsatzort fährt und wieder zurück ne es hat uns auf die Idee gebracht eigentlich können wir mal die ganzen E-Mail Domains durchgehen welche Polizeien in Europa noch so Fahrzeuge von Volkswagen einsetzen eine Menge und was dabei sind welche Fahrzeuge sind den eigentlich auf Domains angemeldet die auf goof. uk enden ne also auch die britischen Behörden sind davon betroffen wer arbeitet eigentlich beim militärischen abstirmdienst ja auch Militärbasis im Ramstein ist davon betroffen wer arbeitet beim BND das ist vielleicht was auch ausländische Geheimdienste wie z.

B den russischen interessieren könnte und wir arbeitet beim Verfassungsschutz in Köln da haben wir zweistellige Personenzahl gefunden und es ist wirklich schwierig das in Wort zu fassen ich versuch es mal zu probieren wir haben die letzten 50 Jahre darüber diskutiert dass Sicherheitsbehörden nicht zu viele Daten über ihre Bevölkerung sammeln dürfen jetzt haben wir dass die Wirtschaft so viele Daten über Sicherheitsbehörden [Applaus] sammelt und ich kann nicht verehen man bei Volkswagen auf die Idee kommt dass es eine gute Idee ist so viele Geokoordinaten unverschüsselt in irgendwelchen Datenbanken rumfliegen zu [Applaus] lassen natürlich haben wir Volkswagen informiert wir haben die Sicherheitsbehörden informiert so viele wie es ging waren ja auch irgendwie alle betroffen wir haben alle uns liegen Daten gelöscht Liebe Rechtsabteilung von des größten EU Konzerns das heißt wir können auch gar keine Fragen mehr beantworten wir wissen jetzt nicht mehr wo das Auto steht wir wussten mal wo euer Auto steht aber falls ihr Fragen habt ja Volkswagen weiß es hat das eigentlich irgendwelche juristischen Konsequenzen für VW das wird interessant also zum einen VW hat vermutlich gegen die eigenen AGBs verstoßen indem sie die Geokoordinaten nicht gekürzt haben spannend fand ich den Artikel 9 der datenschutzgrundverordnung dass man besondere Personen zungeedaten gar nicht speichern darf wie politische Meinung ich kann euch sagen wer bei Parteitag war ja religiöse weltanschauliche Überzeugung ich kann euch sagen wer regelmäßig Kirchen Kirchen Museen Synagogen aufsuchen Gewerkschaftszugehörigkeit auch einfach Gesundheitsdaten wer besucht eine Krebsklinik Sexualleben und sexuelle Orientierung na natürlich haben wir auch schon die Bordelle drinne gesehen also solche Standortdaten gerade in solchen Massen über so ein langen Zeit Raum sind bezogen personenbezogene Daten die in ganz vielen Bereichen reingehen Paragraph 32 spricht ja explizit auch dass personenbezogene Daten verschlüsselt werden sollten das ist jetzt aber ein Fall mit dem sich der Landesbeauftragte für Datenschutz Niedersachsen auseinandersetzen muss ich habe natürlich eine IFG Anfrage gestellt Antwort ist Niedersachsen hat kein IFG das ist mit Bayern sind das die letzten beiden Bundesländer also es wird jetzt interessant äh ob man den Fall weiter beobachten kann aber ich gehe davon aus dass die gesamte EU sich für dieses Verfahren interessieren wird ob da der niedersächsische Landesbeauftragte da wirklich neutral drauf schaut weil wie gesagt die ganze EU ist davon betroffen volkswagen hat die geschlammt sie haben vergessen das actuator hepdump zu deaktivieren sie haben vergessen Geokoordinaten zu kürzen und nach dem responsible disclosers haben wir dann noch festgestellt dass Sie vergessen haben eines der kompromier kompromittierten Passwörter zu deaktivieren das zeigt dir dass es offensichtlich ein strukturelles problemit gibt bei Volkswagen vielleicht ist dort Geschwindigkeit wichtiger als Gründlichkeit und mir macht es Sorgen wenn D Standortdaten von 50 Millionen Fahrzeugen gesammelt [Musik] werden was wir brauchen ist privacy bei Design z alle privaten Daten verschüsseln ja also wenn D selbst der Verfassungsschutz in den Daten drin steckt dann möchte selbst Volkswagen nicht auf diese Daten zugreifen können ja vertrauen ist gut Kontrolle ist besser wir würden es ja gerne kontrollieren aber leider gibt's für Kontrolle bis zu zi Jahren Freiheitsstrafe der Hacker Paragraph bedroht halt weiterhin it Sicherheit und presse ich kann das als Journalist sagen wir hatten in den Redaktionen auch Geschichten anrecherchieren wollen ob z.