Als Ergänzung zu allem gesagten: V4 habe ich persönlich noch nie geladen, sind noch eher selten.
Der Rollout ist auch erst im letzten halben Jahr angelaufen. Laut Liste im tff-Forum sind es 62 V2-Standorte, die auf V4 upgegraded werden sollen. Einige sind laut Meldungen noch offen, aber der Großteil wurde Anfang September und Ende November als V4 in Betrieb genommen.
Enschede ist ein V4.
Die Problematik des zu kurzens Kabels für Fremdmarken betrifft nur die Tesla V1-V3 SC. Mittlerweile werden die V4-SC aufgestellt. Man kann die optisch erkennen, weil die keine Durchreiche mehr haben.
Diese haben auch ein Display bzw. Kartenlesegerät. Ggf. ist das aktuell noch nicht freigeschaltet. Wird aber noch kommen, weil die Pflicht zur Kredikartenzahlung kommt.
Die V4 können auch mehr Leistung liefern, sind aber aktuell auf V3-Niveau, so dass man nicht anhand der Ladeleistung unterscheiden kann.
Im TFF-Forum gibt es eine Liste der deutschen Standorte, die von V2 auf V4 geupgraded werden.
Bei Aldi Süd sind die Preise fürs DC-Laden angehoben worden:
DC bis 50kW: 44ct (statt 39 ct)
DC ab 50kW: 47ct (statt 39ct)
AC-Laden kostet wie bisher 29ct.
Auch da zeigt sich der Nachteil der fehlenden API von Cariad. Der Code für die ganzen selbst gebastelten Lösungen für iobroker, Home Assistant usw. ist nicht vom Himmel gefallen. Da wird irgendeine Form der Untersuchung/Reverse Engineering/Testing usw. stattgefunden haben. Man muss ja kein Hacker sein, um gewisse Anomalien zu finden und dann zu graben. Sei es einfach nur aus Neugier.
Das war/ist ja in dem CCC-Video genannt worden: Audi + Skoda kürzen die GPS-Daten und ermöglichten so „nur“ noch 10m-genaue Daten. VW + Seat haben die Daten nicht gekürzt und somit 10cm-genaue Daten geliefert.
Bei Skoda und Audi sind es 10km. 10m wären quasi genauso schlimm wie bei den 10cm von VW und Seat.
Die 10cm-Auflösung ist genial. Man sieht auf dem VW-Betriebsgelände nur anhand der Positionen genau die Parkreihen auf den Parplätzen. Also nicht nur eine Punktwolke, sondern auch die freien Flächen neben den Autos.
Wobei ich mich frage, was man mit den 10km-Angaben analysieren will. Die Daten sind doch viel zu ungenau.
Ich bin mal gespannt, ob und was in den nächsten Jahren durch parlamentarische Anfrage rauskommt, wie sich betroffene Behörden und Einrichtungen dagegen wehren.
Gerade beim MAD, BND und Verfassungsschutz dürfte man wohl nicht begeistert sein. Es gibt einige Straftatbestände, die je nach Auslegung durchaus nicht ohne sind.
Und auch bei zukünftigen Entscheidungen des BVerfG in Bezug auf Datenschutz könnte das folgen haben: Daten, die gar nicht erst erhoben oder gespeichert werden dürfen, können auch nicht verloren gehen.
Man sollte in dem Fall unterscheiden, was der Akku kann und was in der Praxis an der Ladesäule geht.
Theoretische Akkuwerte sind schön und man kann das gut für PR nutzen, in der Praxis zählt Akkugewicht, Preis, 10-80% Ladezeit, Akkugröße.
Weil die Polizei keine Daten veröffentlichen darf, wo ihre Einsätze sind, weil darüber eine Identifizierung möglich ist.
Bsp.: Die Polizei Hamburg fährt mehrfach von der Wache zur Adresse X und dann wieder zurück. Dann aber geht es an einem Tag von Adresse X zur JVA. Danach höre die Fahrten zur Adresse X auf. Gebe ich bei Google dann Adresse X ein, finde ich den Eintrag, dass dort Herr O*** Sch*** wohnt.
Für den Verstoß spielt es keine Rolle, ob die Polizei es wissentlich oder unwissentlich getan hat. Das kann aber Einfluss auf die Strafzumessung haben.
Neben der Polizei Hamburg sind in Deutschland weitere Polizeibehörden betroffen. Aber auch die Polizei in der Schweiz, Belgien, Niederlande und Schweden ist im Datenleck enthalten. Wenn es dort zu Ermittlungen kommt, hat das auch Auswirkungen auf Deutschland. Die GDPR, also EU-weite Richtlinie der DSGVO, gilt mit Ausnahme der Schweiz auch in diesen Ländern. Der LfD Niedersachsen kann wohl schlecht zu dem Ergebnis kommen, dass eigentlich alles bis auf ganz kleine Mängel okay ist, während die Behörden in den anderen Ländern eine Liste mit Fehlern zusammenstellen.
Ich weiß nicht, wie schnell der Vortrag online kommt. Hier mal ein paar Kernpunkte:
- Audi und Skoda sind nicht ganz so schlimm, weil die Geokoordinaten auf 1 Stelle gekürzt wurde, d.h. Koordinaten nur auf 10km genau; dafür Seat (Cupra Born) und VW komplette Koordinaten, d.h. lokalisation auf 10cm
- ca. 800T Datensätze, davon ca. 460T VW + Seat, also richtig schlimm
- man weiß, wo das geheime Forschungszentrum von VW in Skandinavien ist
- u.a. Polizei Hamburg, britische Behörden betroffen (anhand der Registrierungsdaten); Einsatzfahrten der Polizei Hamburg lassen sich nachvollziehen; sprich wer im betroffenen Zeitraum mit der Polizei Hamburg und einem ID-Einsatzfahrzeug zu tun hatte, kann die Polizei anzeigen 
- Verstoß gegen DSGVO Artikel 13: Die Verarbeitung personenbezogener Daten, aus denen [...] politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von [...] Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
- man konnte Mitarbeiter beim BND, Airbase Rammstein, Verfassungsschutz durch Speicherung der Koordinaten "identifizieren"; dazu Fahrrouten Bankenviertel, Bordelle, Firmen
Ich bin tatsächlich gespannt, ob das nicht ein knackiges Bußgeld wegen mangelhafter TOMs gibt und auch in Hinsicht auf die Frage der Datensparsamkeit: wofür braucht man soviele personalisierte Geodatensätze?
Wir User haben mit sehr hoher Wahrscheinlichkeit tief versteckt in den AGBs die Einwilligung gegeben. Dagegen spricht ja auch nichts. Man kann die Daten nutzen, um z.B. die Ladeplanung zu optimieren, wenn es bei -5 Grad über die Kasseler Berge oder die Schwäbische Alb geht. Oder generell, um die E-Mobilität besser zu machen (Ladeangebote usw.). Dazu wertet man die Daten aus und nutzt dann das Ergebnis der Auswertung bzw. gibt die ausgewerteten Daten weiter (X Prozent der E-Auto-User fahren pro Tag maximal Strecken von 75km, bei Y Prozent stehen die Autos mindestens 7 Stunden auf der Arbeit)
Problem ist, wenn Cariad die Rohdaten ungeschützt, quasi für alle zugänglich ins Internet stellt.
Das Bußgeld im eigentlichen Datenschutzverfahren dürfte am Ende überschaubar sein. Der Reputationsschaden dürfte schwerer wiegen. Gerade in der aktuellen Situation könnte man Unterstützung der Politik brauchen. Die Wahrscheinlichkeit, dass man diese bekommt, wird dadurch nicht erhöht. Ebenso könnte eine Folge sein, dass ein Kopf rollen muss.
Des Weiteren hat der BGH vor einigen Wochen ein wegweisendes Urteil getroffen. Es reicht bereits aus, dass derjenige, der die Daten sicher verfahren soll, die Kontrolle verliert, um einen Schadensanspruch zu begründen. Sprich mit den abgegriffenen Daten muss nicht erst etwas angestellt werden oder die betroffene Personen muss einen Schaden nachweisen, um Schadensersatz zu bekommen. Im Fall von Facebook sind das 100 € für eine betroffene Person.
800.000 Datensätze mal 100 € sind 80 Mio. €. Das war für einen einfachen Datensatz. Ein Bewegungsprofil ist etwas ganz anderes. Das wäre quasi nur der immaterielle Schaden.
Angenommen die Polizei Hamburg mit ihren ID.4 muss jetzt die Einsätze der letzten Monate durchgehen und schauen, wo geheime Einsatzorte, Asservatenkammer usw. sind oder ob die Autos an Sicherheitskonvois teilgenommen haben und deshalb Routen usw. geändert werden müssen. Dann können die den realen Aufwand in Rechnung stellen.
Klar ist das Alles kein Ruhmesblatt, aber so weit ich das bisher gelesen habe, wurde die Sicherheitslücke aufgedeckt (und geschlossen) bevor die Daten von Dritten abgegriffen wurden. 🤔
Es ist keine Sicherheitslücke, sondern durch eine fehlerhafte Konfiguration war der Zugriff auf Daten möglich. Dass, was Cariad da gemacht hat, ist ein ONS ohne Kondom. Kann gut gehen, muss aber nicht.
Ob und wenn ja, in welchem Umfang Daten abgeflossen sind, muss sich noch zeigen. Cariad geht zwar nach aktuellem Stand davon aus, dass das nicht passiert ist.
Essen wir mal die letzten Reste Spekulatius:
myskoda App hat öfter Schluckauf und jetzt wird eine Lücke wegen eines Anfängerfehlers bekannt.
Entweder hat in der Zeit jemand Daten abgesaugt und die Server damit in die Knie gezwungen oder es ist ein weiteres Indiz, dass Cariad keine Software kann.
Oftmals tauchen die Datensätze erst später auf. Zuerst wird oftmals versucht, diese Datensätze im Dark Web zu Geld zu machen.
Wer seine Daten mal checken will, kann hier mal schauen:
