Rund um den Jahreswechsel hat die BMW Group entweder verdammt großes Glück gehabt – oder anderen Autobauern und Interessierten anderer Branche einen ungewollten Einblick in die eigenen Datenbanken ermöglicht. Wie jetzt durch einen Bericht bei Techcrunch.com bekannt wurde, entdeckte ein Experte für Online-Security die Sicherheitslücke bei einem routinemäßigen Scan. Demnach war ein eigentlich für interne Zwecke genutzter Microsoft Azure-Server versehentlich so konfiguriert, dass die in diesem ‘Bucket’ gespeicherten Daten online für jedermann abrufbar waren.

Bei den ungewollt offengelegten Daten soll es sich unter anderem um Passwörter für weitere Datenbanken und ‘Buckets’ sowie um Details zu anderen Cloud-Services handeln. Besonders kritisch dürfte der potenzielle Leak von Login- und Zugangsdaten für Produktions- und Entwicklungs-Datenbanken sein, denn je nach konkretem System könnten sich hier detaillierte Daten zu künftigen Fahrzeugen finden – was beispielsweise im Fall der Neuen Klasse, mit der BMW ab Ende 2025 neue Maßstäbe für Elektroautos setzen will, für praktisch jeden direkten oder indirekten Wettbewerber hochinteressant sein dürfte.

Wie BMW auf Nachfrage mitteilte, sei der ungewollt öffentliche Server Anfang 2024 wieder vor unbefugtem Zugriff geschützt worden. Wie lange er zuvor ungeschützt im Internet zugänglich war, bleibt für den Moment unklar – ebenso wie die Frage, ob die Schwachstelle von Dritten gefunden und ausgenutzt wurde. Ob BMW hierzu eigene Erkenntnisse hat, kann nur spekuliert werden.

Der Experte Can Yoleri, der den offenen ‘Bucket’ entdeckt hat, konnte zwar keine Anhaltspunkte für einen bereits erfolgten Datenabzug finden – sagt aber auch, dass es einen solchen dennoch gegeben haben kann. Allerdings konnte er feststellen, dass die ungewollt veröffentlichten Login-Daten und Passwörter weiterhin funktionieren und nicht geändert wurden. Das spricht einerseits dafür, dass BMW bisher nicht von einem Abgreifen der Daten ausgeht, andererseits erscheint es dennoch fahrlässig.

Ungewollter Zugang zu internen Firmennetzwerken und Datenbanken betrifft in den letzten Jahren fast alle großen Unternehmen. Erst vor wenigen Wochen war bekannt geworden, dass auch einige interne Daten und Codes von Mercedes für jedermann einsehbar im Internet standen.