Volkswagen-App gehackt: Persönliche Daten von Autobesitzern offengelegt

20. Mai 2025

Ein Sicherheitsforscher entdeckte gravierende Schwachstellen in der App „My Volkswagen“ – betroffen sind potenziell Tausende Fahrzeuge.

Was als gewöhnlicher Gebrauchtwagenkauf begann, entwickelte sich zu einem beunruhigenden Einblick in die Sicherheitslücken moderner Fahrzeugvernetzung. Im Jahr 2024 stellte ein Technikexperte nach dem Kauf eines gebrauchten Volkswagen fest, dass die Konnektivitätsfunktionen seines Fahrzeugs mehr Risiken bargen als erwartet.

Bei der Einrichtung der offiziellen App „My Volkswagen“ (entwickelt von ŠKODA Auto Volkswagen India Pvt Ltd) wurde der Nutzer zur Eingabe der Fahrgestellnummer (VIN) und eines vierstelligen OTP-Codes (Einmalpasswort) aufgefordert. Die Fahrgestellnummer war schnell gefunden – sie steht sichtbar an der Windschutzscheibe. Der Verifizierungscode jedoch wurde an die Telefonnummer des Vorbesitzers gesendet, auf die der neue Besitzer keinen Zugriff hatte.

Versuche, den ehemaligen Fahrzeughalter zu kontaktieren, blieben erfolglos. Doch anstatt die App daran zu hindern, nach mehreren falschen Eingaben fortzufahren, fehlte offenbar ein grundlegender Schutzmechanismus: eine Sperre nach wiederholter Falscheingabe.

Mit Hilfe der Sicherheitssoftware Burp Suite und einem selbst geschriebenen Python-Skript testete der Forscher automatisiert sämtliche 10.000 möglichen Code-Kombinationen. Der Brute-Force-Angriff war erfolgreich – innerhalb kurzer Zeit wurde der gültige OTP-Code gefunden. Die Folge: uneingeschränkter Zugang zum Fahrzeugprofil in der App.

Die Sicherheitslücke ermöglichte nicht nur die Einsicht in persönliche Daten und Wartungshistorien des vorherigen Besitzers, sondern potenziell auch die Steuerung vernetzter Fahrzeugfunktionen – und das lediglich durch Kenntnis der öffentlich zugänglichen Fahrgestellnummer.

Volkswagen wurde über die Schwachstellen informiert, die inzwischen behoben wurden. Dennoch wirft der Fall grundsätzliche Fragen zum Datenschutz und zur IT-Sicherheit in der vernetzten Mobilität auf.

Fazit: Der Fall zeigt eindrucksvoll, wie unzureichend abgesicherte digitale Dienste zur ernsthaften Gefahr für Datenschutz und Fahrzeugsicherheit werden können – und dass ein Gebrauchtwagen in Zeiten der Konnektivität mehr Spuren seines Vorbesitzers preisgeben kann als gedacht.

Sicherheitslücke bei Volkswagen-App: Persönliche Daten allein durch Fahrgestellnummer abrufbar

Nach dem erfolgreichen Zugriff auf die „My Volkswagen“-App stieß der Sicherheitsforscher auf eine Reihe gravierender Schwachstellen in der Schnittstellenkommunikation (API) der Anwendung. Was er entdeckte, wirft ein erschreckendes Licht auf den Umgang mit sensiblen Kundendaten im digitalen Ökosystem moderner Fahrzeuge.

Durch die Analyse des Netzwerkverkehrs zwischen der App und den Servern von Volkswagen identifizierte der Forscher mehrere öffentlich zugängliche Endpunkte. Diese ermöglichten – allein durch Kenntnis der Fahrzeugidentifikationsnummer (FIN) – den Abruf einer Vielzahl personenbezogener Daten. Die FIN ist bei nahezu allen Fahrzeugen von außen sichtbar, meist durch die Windschutzscheibe einsehbar.

Über diese Schnittstellen konnten vollständige Namen, Telefonnummern, E-Mail-Adressen, Wohnadressen sowie detaillierte Informationen zum Fahrzeug und zu durchgeführten Wartungsmaßnahmen eingesehen werden.

Doch die Entdeckungen reichten noch weiter. Besonders alarmierend: Einige Endpunkte lieferten interne Systemanmeldedaten im Klartext, vollständige Serviceverläufe inklusive Kundenrückmeldungen und – in Einzelfällen – hochsensible Informationen wie Führerscheinnummern und Bildungsabschlüsse.

Diese Daten waren nicht etwa durch zusätzliche Authentifizierungsverfahren geschützt – ihre Abfrage war allein mit der öffentlich sichtbaren Fahrzeugnummer möglich.

Sicherheitslücke 1: Interne Anmeldedaten im Klartext offengelegt

Ein API-Endpunkt legte Passwörter, Tokens und Benutzernamen für verschiedene interne Dienste im Klartext offen, darunter interne Anwendungen, Zahlungsabwicklungsdaten und sogar CRM-Tools wie Salesforce.

Sicherheitslücke 2: Persönliche Daten des Eigentümers über die Fahrgestellnummer offengelegt

Ein weiterer API-Endpunkt legte alle jemals für ein Fahrzeug erworbenen Service- und Wartungspakete offen, die nur über die Fahrgestellnummer zugänglich waren.

Jeder Eintrag zu einem Servicepaket enthielt umfangreiche Kundeninformationen, darunter Namen, Telefonnummern, Postanschriften, E-Mail-Adressen, Fahrzeugdaten (Modell, Farbe, Zulassungsnummer, Fahrgestellnummer, Motornummer), aktive Serviceverträge, Kaufdaten und Zahlungsbeträge.

Sicherheitslücke 3: Fahrzeugservicehistorie über die Fahrzeugidentifikationsnummer zugänglich

Ein weiterer Endpunkt legte die Servicehistorie und Details zu allen Arbeiten, die bei allen Besuchen im Servicecenter für ein Fahrzeug durchgeführt wurden, offen, ebenfalls nur über die Fahrgestellnummer zugänglich.

Für jeden Besuch in der Werkstatt gab es einen Eintrag mit Details zu den durchgeführten Arbeiten, den persönlichen Daten des Kunden und sogar den Ergebnissen der Kundenumfrage für jeden dieser Besuche!

Fazit

„Ich habe zwar keine Prämie erhalten, aber etwas, das wohl noch befriedigender ist: die Chance, dazu beizutragen, ein echtes Produkt ein wenig sicherer zu machen.“

Wenn Sie Sicherheitsforscher, neugieriger Entwickler oder einfach nur jemand sind, der gerne Dinge auseinander nimmt (im digitalen Sinne), unterschätzen Sie nicht, was Sie in der Technik, die Sie täglich nutzen, finden könnten. Achten Sie nur darauf, dass Sie Ihre Funde richtig melden – und bringen Sie ein wenig Geduld mit.

Datenschutz unter der Windschutzscheibe

Der Fall zeigt eindrücklich, wie fehlende Zugriffskontrollen und unsachgemäße Implementierung von APIs in vernetzten Fahrzeuganwendungen zum Risiko für Millionen von Nutzern werden können. Was auf den ersten Blick wie ein komfortables Feature erscheint, kann im schlimmsten Fall zu einem Einfallstor für Identitätsdiebstahl oder gezielte Angriffe werden.

Volkswagen wurde laut Angaben des Forschers über die Schwachstellen informiert. Nach Unternehmensangaben seien die Sicherheitslücken mittlerweile geschlossen. Dennoch bleibt der Vorfall ein deutliches Warnsignal: In einer Welt, in der Fahrzeuge zu mobilen Datenspeichern geworden sind, muss IT-Sicherheit von Beginn an mitgedacht werden.

Volkswagen-App: Offenlegung sensibler Zugangsdaten und riskanter Umgang mit Kundendaten

Die aufgedeckten Sicherheitslücken in der „My Volkswagen“-App gehen weit über einfache Datenschutzprobleme hinaus. Laut einem Bericht eines unabhängigen Sicherheitsforschers konnten durch ungesicherte API-Endpunkte nicht nur personenbezogene Daten abgefragt, sondern auch Zugangsdaten zu internen Systemen im Klartext eingesehen werden.

Sensible Zugangsdaten frei zugänglich

Ein besonders kritischer API-Endpunkt offenbarte Benutzernamen, Passwörter und Authentifizierungs-Tokens für verschiedene interne Dienste – unverschlüsselt. Betroffen waren unter anderem Systeme zur Zahlungsabwicklung, interne Verwaltungsplattformen sowie externe CRM-Lösungen wie Salesforce. Diese Informationen hätten potenziell missbraucht werden können, um tiefgreifenden Zugriff auf interne Infrastrukturen zu erlangen.

Diese gravierende Sicherheitslücke stellt eine ernsthafte Bedrohung für die Privatsphäre von Nutzern dar – mit möglichen Folgen wie gezieltem Stalking, maßgeschneiderten Phishing-Angriffen oder sogar Identitätsdiebstahl. Die Kombination aus öffentlich zugänglicher Fahrzeugidentifikationsnummer und unzureichend geschützten Schnittstellen öffnet Tür und Tor für digitale Angriffe.

Reaktion von Volkswagen: transparent, aber langsam

Der Forscher meldete die Schwachstellen am 23. November 2024 über die in der „security.txt“-Datei der Volkswagen-Website angegebene Kontaktadresse. Bereits vier Tage später bestätigte das Sicherheitsteam den Eingang des Berichts und leitete Untersuchungen ein.

Die Behebung der Sicherheitslücken erstreckte sich über einen Zeitraum von rund drei Monaten. Die Kommunikation zwischen dem Forscher und Volkswagen dauerte bis ins Jahr 2025 an. Am 3. April bat Volkswagen den Entdecker der Lücken um die Unterzeichnung einer Vertraulichkeitsvereinbarung (NDA), um tiefergehende technische Details auszutauschen.

Schließlich bestätigte das Unternehmen am 6. Mai 2025 offiziell, dass alle identifizierten Schwachstellen beseitigt worden seien. Die schwerwiegenden Datenschutzrisiken, so Volkswagen, seien nun behoben.

Kein Bug-Bounty – aber ein positiver Beitrag zur Sicherheit

Trotz seiner intensiven Arbeit erhielt der Sicherheitsforscher keine finanzielle Entlohnung für seinen Fund. Dennoch zeigte er sich zufrieden damit, durch seine Initiative einen Beitrag zur Verbesserung der Systemsicherheit für Millionen von Volkswagen-Nutzern geleistet zu haben.

Fazit: Konnektivität braucht Sicherheit

Der Vorfall zeigt in aller Deutlichkeit: Mit der zunehmenden Digitalisierung und Vernetzung von Fahrzeugen müssen auch die Sicherheitsstandards konsequent weiterentwickelt werden. Robuste Authentifizierungsverfahren, verschlüsselte Datenübertragung und sorgfältige Zugriffskontrollen auf APIs sind essenziell, um die Privatsphäre und Sicherheit von Nutzern zu gewährleisten.

Der Fall dient als Mahnung an die gesamte Automobilindustrie: Wer Fahrzeuge ins Internet bringt, trägt Verantwortung für den digitalen Schutz seiner Kunden.

---

Bild/Quelle: https://depositphotos.com/de/home.html