Tesla hat bekannt gegeben, dass der Datendiebstahl, von dem über 75.000 Mitarbeiter betroffen sind, ein Insider-Job war. Der Elektroautohersteller sagte, zwei Mitarbeiter hätten vertrauliche Daten kopiert und an das Handelsblatt weitergegeben.
Im Mai 2023 berichtete das Medienunternehmen, dass es beim Autohersteller zu einem massiven Datenschutzverstoß gekommen sei , bei dem persönliche Informationen und Kundenbeschwerden über die selbstfahrenden Funktionen von Tesla’s offengelegt worden seien.
Tesla’s Datendiebstahl deckte weitaus größere Probleme auf
Das Handelsblatt gab an, 100 GB an Daten mit persönlichen und finanziellen Informationen sowie Kundenbeschwerden über Tesla’s Full Self-Driving (FSD)-Funktionen erhalten zu haben. Die Daten umfassten 23.000 interne Dokumente und erstreckten sich von 2015 bis 2022.
Das Handelsblatt behauptete, Whistleblower hätten vertrauliche Informationen über Probleme mit dem Autopiloten von Tesla sowie über Kundenbeschwerden weitergegeben.
Das Medium hatte den Drahtziehern der Insider-Affäre angeblich versprochen, die Informationen nicht zu missbrauchen, und war rechtlich an diese Bedingungen gebunden.
Nach sechsmonatiger Datenauswertung stellte das Handelsblatt fest, dass Tesla weit „größere technologische Probleme habe als bislang bekannt“.
Laut Business Insider enthielten die Dokumente verschiedene Beschwerden, darunter 2.400 Berichte über Eigenbeschleunigung, 1.500 Bremsprobleme und 383 falsche Kollisionswarnungen. In Bezug auf die Fahrassistenzfunktion wurden zahlreiche Klagen eingereicht.
Tesla’s verklagt böswillige Insider, die als „Whistleblower“ fungierten
Laut Angaben eines Tesla-Sprechers habe das Handelsblatt dem Unternehmen mitgeteilt, dass es die vertraulichen Daten mit sensiblen persönlichen Informationen am 10. Mai 2023 erhalten habe.
Tesla reagierte mit der Einleitung einer Untersuchung und fand heraus, dass zwei ehemalige Mitarbeiter gegen Sicherheitsprotokolle verstoßen hatten, als sie die Daten kopierten und an die ausländische Presse weitergaben.
„Die Untersuchung ergab, dass zwei ehemalige Tesla-Mitarbeiter die Informationen unter Verletzung der IT-Sicherheits- und Datenschutzrichtlinien von Tesla missbraucht und an das Medienunternehmen weitergegeben haben“, schrieb Steven Elentukh, Tesla’s Datenschutzbeauftragter, in einer Mitteilung an die betroffenen Personen.
Tesla reichte daraufhin Klagen gegen die beiden mutmaßlichen Drahtzieher des Insider-Jobs ein, die zur Beschlagnahmung zweier elektronischer Geräte mit den durchgesickerten Informationen führten.
Darüber hinaus erwirkte der Autohersteller gerichtliche Verfügungen, um die mutmaßlichen Drahtzieher der Insider-Affäre an der weiteren Verbreitung der Informationen zu hindern.
„Tesla hat außerdem Gerichtsbeschlüsse erwirkt, die den ehemaligen Mitarbeitern unter Androhung strafrechtlicher Sanktionen die weitere Nutzung, den Zugriff oder die Verbreitung der Daten untersagen“, erklärte das Unternehmen.
Darüber hinaus kooperierte Tesla mit Strafverfolgungsbehörden und Forensik-Experten und versprach, bei Bedarf auch weiterhin die entsprechenden Schritte einzuleiten.
Tesla’s Insider-Job hat umfangreiche persönliche Daten durchsickern lassen
Laut einer Meldung über den Datendiebstahl beim Generalstaatsanwalt von Maine wurden durch den Tesla-Datendiebstahl persönliche Informationen wie Namen, Adressen, Telefonnummern, Sozialversicherungsnummern und Arbeitsinformationen weitergegeben. Der Datendiebstahl betraf 75.735 aktuelle und ehemalige Mitarbeiter.
Laut Handelsblatt wurden durch die Datenpanne auch die Sozialversicherungsnummer und das Auto von Elon Musk, die Bankdaten von Kunden, Produktionsgeheimnisse sowie die Gehaltsinformationen von 100.000 Mitarbeitern geleakt.
Obwohl Tesla keine Beweise dafür hat, dass die Informationen auf eine Weise verwendet wurden, die den Opfern schaden könnte, bietet der Autobauer mit Experians IdentityWorks einen 12-monatigen Schutz vor Identitätsdiebstahl an. Tesla hat das Handelsblatt zudem aufgefordert, die durchgesickerten Informationen zu löschen.
Das Handelsblatt stellt Tesla’s Protokolle zum Umgang mit Daten in Frage, da die Drahtzieher des Insider-Jobs 100 GB an Daten ungehindert kopiert haben.
„Dieser Verstoß macht deutlich, dass Tesla nicht über die richtigen Kontrollen verfügte, um diese Art von Verstoß zu verhindern“, sagte Lior Yaari, CEO und Mitbegründer von Grip Security . „Tatsächlich kommt es häufiger vor, als man denkt, dass der Zugriff ehemaliger Mitarbeiter auf Systeme aktiv bleibt, nachdem sie das Unternehmen verlassen haben.“
Yaari fügte hinzu, dass viele Unternehmen kein vollständiges Inventar ihrer Apps führten, und merkte an: „Tesla muss seine Datenverwaltung und Systemzugriffskontrollen verschärfen, sonst wird dies immer wieder passieren.“
Laut Dror Liwer, Mitbegründer von Coro , ist ein Insiderjob am schwierigsten zu verhindern mee6.
„Böswillige Insider sind am schwierigsten zu schützen, da Vertrauen eine inhärente Erwartung an Mitarbeiter ist. Obwohl es sich hier um einen Fall böswilliger Absicht handelt, können Mitarbeiter Daten auch unbeabsichtigt preisgeben“, sagte Liwer.
Er riet Organisationen, „klare, durchsetzbare Richtlinien darüber zu haben, wer auf was Zugriff haben sollte, und eine klare Richtlinie zur Datenaufbewahrung. In beiden Fällen ist weniger mehr. Weniger Personen mit Zugriff auf vertrauliche Informationen und die Aufbewahrung vertraulicher Daten für den kürzestmöglichen Zeitraum, der unbedingt erforderlich ist.“
Jeannie Warner, Produktmarketing-Direktorin bei Exabeam , vermutete, die Mitarbeiter wollten sich an Tesla rächen.
„Informationen über die Absicht der beiden ehemaligen Tesla-Mitarbeiter, vertrauliche Daten an eine deutsche Publikation weiterzugeben, wurden nicht veröffentlicht“, sagte Warner. „Der Vorfall ereignete sich jedoch zu einer Zeit, als das Unternehmen massenhaft Entlassungen vornahm. Es ist wahrscheinlich, dass die beiden ehemaligen Mitarbeiter eine Art Rache an Tesla wollten.“
Der Datendiebstahl folgt auf eine andere Enthüllung: Tesla-Mitarbeiter haben sich gemeinsam genutzte, invasive Bilder angesehen, die von den Autos der Kunden aufgezeichnet wurden.
Reuters berichtete , dass Tesla-Mitarbeiter zwischen 2019 und 2022 interne Messaging-Apps nutzten, um vertrauliche Bilder zu teilen, die von den Autokameras der Kunden aufgezeichnet wurden.
Darüber hinaus könnte die Tesla-Software die Standorte der Aufzeichnungen anzeigen und so die Adresse des Besitzers preisgeben.
Es gibt Spekulationen, dass der Datendiebstahl vom 10. Mai zu behördlichen Maßnahmen führen wird. Die niederländische Datenschutzbehörde untersuchte den Fall bereits.