E-Auto, Ladestation und Datenschutz: Status quo in der E-Mobilität

Autos sind heute mit ausgeklügelter Elektronik ausgestattet und das lässt sie wie Computer auf vier Rädern aussehen. Diese Entwicklung macht sie aber auch anfälliger für Datenlecks, Hackerangriffe und den Missbrauch von Daten. Das ist ein wachsendes Problem für Autofahrerinnen und Autofahrer, aber auch für die Automobilindustrie. Welche besonderen Gefahren ergeben sich hierbei für Fahrerinnen und Fahrer von Elektroautos? 

Die Autos von heute sind vernetzt. Sie verfügen über Multimedia-Bildschirme, die über das Internet ständig aktualisierte, verkehrsabhängigen Routen visualisieren können und jede Bewegung des Fahrzeugs tracken. Sie bieten eine Sprachsteuerung und Einparkhilfen samt Kameras, die das Fahren noch sicherer machen. Die Vernetzung und die damit verbundenen technologischen Weiterentwicklungen haben aber auch dazu geführt, dass Besitzer und Besitzerinnen von Autos neuen Gefahren ausgesetzt sind: Verletzung der Privatsphäre und Verletzung des Schutzes personenbezogener Daten. 

Elektronik: Die neue Schwachstelle von Elektroautos 

Die neuesten Autos starten mittlerweile ohne Zündschlüssel und durch einfaches Betätigen der Start-Taste im Fahrzeuginneren. Die organisierte Kriminalität hat hier allerdings eine Möglichkeit gefunden, den Schutzmechanismus des Fahrzeugs zu umgehen und es aus der Ferne zu entsperren. Es handelt sich quasi um einen Diebstahl ohne Einbruch. 

Eine erste erkannte Schwachstelle ist der OBD-Stecker (On-Board Diagnostics) oder Diagnosestecker, der Daten von verschiedenen Sensoren und dem Motormanagement ausliest und die Diagnose eines Autos ermöglicht. Mithilfe einer drahtlosen Box erhalten Kriminelle Zugriff und können die Wegfahrsperre deaktivieren sowie Informationen des Autos manipulieren.   

Die Automobilindustrie steckt mittlerweile viele Ressourcen in den Ausbau der IT-Sicherheit, denn die Fernsteuerung eines Fahrzeugs kann verheerende Folgen haben.  

Weitaus geläufigere Probleme bleiben aber weiterhin der Fahrzeugdiebstahl und die Nicht-Konformität bis hin zur Fahrlässigkeit beim Umgang mit sensiblen Daten. 

Datenschutz und Schutz der Privatsphäre: Eine neue Herausforderung für Autohersteller und ihre IT-Sicherheit 

Vor kurzem sorgten ehemalige Tesla-Mitarbeitende für einen Skandal, als bekannt wurde, dass sie private Bilder und Videos, die von Bordkameras aufgenommen wurden, weitergaben. Diese zeigten Menschen in peinlichen Situationen oder waren Aufnahmen von Unfällen. Wegen Unsicherheit über den Umgang mit Daten und auch aus Angst vor Spionage hat China alle Fahrzeuge von Tesla aus ihren militärischen Einrichtungen verbannt. 

Das Unternehmen von Elon Musk, das in den nächsten Jahrzehnten das autonome Fahren flächendeckend einführen will, benötigt Millionen von Videos und Bildern, um den Algorithmus zu füttern und die Technologie serienreif zu machen. Jedoch scheint es, dass die verwendeten Verfahren für den Datenschutz und zum Schutz der Privatsphäre nicht ausreichend waren.

Der Schutz personenbezogener Daten sind in der Europäischen Union viel stärker geregelt und Vorfälle wie bei Tesla sind hierzulande weniger denkbar. Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass personenbezogene Daten zu einem bestimmten Zweck mit Zustimmung der betroffenen Person und für eine bestimmte Zeit gesammelt und verwendet werden dürfen. Die Daten sollen außerdem nur für einen begrenzten Personenkreis zugänglich sein, wobei der Zugriff nachverfolgbar sein muss. 

Datenschutz und rechtliche Grundlagen 

Die Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz und den Schutz personenbezogener Daten in der Europäischen Union. Das deutsche Bundesdatenschutzgesetz (BDSG) setzt die DSGVO in nationales Recht um. 

Der Europäische Datenschutzausschuss (EDSA) hat im Zuge der DSGVO der Europäischen Union die Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzen Fahrzeugen und mobilitätsbezogenen Anwendungen ausgearbeitet. Diese Leitlinien regeln, wie mit Daten, die durch Sensoren, vernetzte Boxen, mobile Apps und bei der Verbindung mit einer Ladestation erfasst werde, umgegangen werden muss.

Diese Daten sind zwar anonymisiert, aber statisch, da sie in Verbindung zu einem bestimmten Fahrzeug stehen und müssen daher wie alle personenbezogene Daten geschützt werden. 

Speziell das Laden von E-Autos macht das Erfassen von Daten notwendig. Nur so können die Identifikation und Zahlung an der Ladesäule durchgeführt werden. Datenschutz und der Schutz personenbezogener Daten wird dann insbesondere wichtig, da durch das Abspeichern von Daten zu Ladevorgängen ein Bewegungsprofil für ein Fahrzeug erstellt werden kann und dies eine Verletzung von Persönlichkeitsrecht darstellt.

Die Verbindung zwischen der Ladestation und dem Fahrzeug muss sicher sein, um eine Verletzung von persönlichen Daten zu verhindern. Die Plug and Charge-Technologie nach ISO 15118, die eine direkte Kommunikation zwischen Fahrzeug und Ladestation für eine sofortige Authentifizierung ermöglicht, erfordert die durchgehende Sicherheit aller Informationen. 

Virta und Datenschutz 

Zertifizierungen 

Virta hat ein umfassendes Informationssicherheits-Managementsystem (ISMS) implementiert, das nach ISO 27001 (Standard für Informationssicherheit) zertifiziert ist. Diese Zertifizierung bescheinigt, dass strenge Sicherheitskontrollen durchgeführt werden und die Daten von Kundinnen und Kunden und der Vertrieb von Produkten und Dienstleistungen jederzeit sicher sind. 

Darüber hinaus hat Virta eine SOC 2 (Service Organizations Controls) Typ 2 Zertifizierung erhalten, die vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Durch externe Audits wird sichergestellt, dass alle Kontrollen und Prozesse, die bei der Speicherung, Verarbeitung und Übertragung von Daten beteiligt sind, den hohen Ansprüchen des Standards gerecht werden. 

Datenspeicherung 

Öffentlich zugängliche Virta-Anwendungen und Schnittstellen werden in Amazon AWS gehostet und der Zugriff auf diese Systeme ist strengstens auf einen definierten Personenkreis limitiert. Die Daten von Kundinnen und Kunden sowie Nutzenden werden in der EU gespeichert. 

Alle sensiblen Informationen (Schlüssel, Passwörter und ähnliche Informationen) werden in verschlüsselter Form nach Industriestandards gespeichert. 

Virta sammelt nur personenbezogene Informationen PII (Personally Identifiable Information), die für die Bereitstellung der Dienstleistungen notwendig sind. Weitere Details finden Sie in der Datenschutzerklärung von Virta. 

Maßnahmen, die Virta durchgehend ergreift :

• Alle identifizierten Risiken werden stets der entsprechenden Person zugeordnet und adressiert.
• Strenge Kontrollen zum Schutz und zur Sicherung von Kundinnen- und Kundendaten.
• Schulungen und Fortbildungen für Mitarbeitende, die bei der Entwicklung von mobilen Anwendungen involviert sind.
• Regelmäßige Schwachstellenanalysen und Penetrationstests, die von unabhängigen Cybersicherheitsfirmen an öffentlichen Schnittstellen durchgeführt werden.
• Wenn ein Problem erkannt und analysiert wird, werden entsprechende Patches und Gegenmaßnahmen