Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Datenschutz ist nicht Datensicherheit

Datenschutz ist nicht Datensicherheit

Datenschutz ist nicht Datensicherheit

Im Würselener Super Sonntag vom 22.01.2017 ist auf der Titelseite ein großer Bericht mit dem Thema "Datenschutz wird für uns alle immer wichtiger" zu lesen, der leider so ziemlich gar nichts mit Datenschutz zu tun hat. Gemeint ist viel mehr das Thema Datensicherheit. Und auch der im Artikel als Experte zu Wort kommende Professor Rumpe der RWTH Aachen verwechselt Datenschutz mit Datensicherheit oder wurde vom Autor des Artikels missverstanden. Datenschutz mit Datensicherheit zu verwechseln ist ungefähr wie zu sagen "Wasser kocht bei 90 Grad", aber man eigentlich den rechten Winkel...

Warum die Korinthenkackerei? Beide Themen sind wichtig, haben aber einen komplett anderen Fokus und werden leider oft durcheinander geworfen (mit nicht unerheblichen Folgen).

  • Datenschutz: Schutz von personenbezogenen Daten (natürlicher lebender Personen) vor missbräuchlicher Nutzung durch die erfassenden oder weiter verarbeitenden Benutzer.
  • Datensicherheit: Schutz der Daten vor missbräuchlicher Nutzung oder Einsichtnahme durch fremde Dritte (Angreifer von außen).
  • Und um den Reigen komplett zu machen - Datensicherung: Schutz der Daten vor Verlust oder Zerstörung durch Rückgriff auf gesicherte Versionen.

In der Kombination der drei Themenfelder wird ein Schuh draus: Die Datenschutzgesetze verlangen von demjenigen, der fremde personenbezogenen Daten verarbeitet oder speichert entsprechende Maßnahmen zur Sicherstellung der Datensicherheit und vorbeugenden Gegenmaßnahmen gegen Verlust der Daten (Datensicherung).

Ein für den Tenor des Berichts typischer Satz wie „Unglücklicherweise führen auch die komplexen, für die Bundesländer auch noch unterschiedlichen Vorschriften (aus dem Kontext Datenschutzvorschriften) eher dazu, dass die Nutzer („Eigentümer“ seiner Daten) den Datenschutz nicht adäquat umsetzen, weil er zu viel Aufwand kostet“ ist schlichtweg Blödsinn. Das suggeriert, dass der Nutzer für die Einhaltung des Datenschutzes gesetzlich verantwortlich wäre. Tatsächlich ist das der Betreiber eines Systems, dass mit den Nutzerdaten arbeitet. Und der muss sich um die Einhaltung von Datensicherheitsstandards kümmern. Gleiches sollte der Nutzer im Eigeninteresse tun. Letzteres scheitert beim Nutzer gerade nicht an komplexen Vorschriften, sondern meist an der Bequemlichkeit oder Unwissenheit - Trotzdem kein Grund oder eine Entschuldigung, dass man sich nicht um die Absicherung seiner eigenen Systeme und Daten gegen Angreifer kümmert. Und schon gar keine Entschuldigung für den Betreiber eines Systems.

Alles in allem ist das ein hochkomplexes Zusammenspiel der drei Themenfelder. Aber man könnte ja auch mal jemanden fragen, der sich damit auskennt. Und auch wenn der Super Sonntag kein Fachblatt für IT-Sicherheit und Datenschutz ist: So, wie in diesem Artikel gemacht, ist das eher ein Bärendienst für Datenschutz und Datensicherheit. Dislike.

Dipl.-Ing. Thomas Käfer, Master of Science Digitale Forensik und ö.b.u.v. Sachverständiger für Systeme und Anwendungen der Informationstechnologie

Link zum Artikel

 

Bewerte diesen Beitrag:
Weiterlesen
12601 Aufrufe
0 Kommentare

Car-Forensics auf der Leetcon am 02.11 und 3.11.2016 in Hannover

Car-Forensics auf der Leetcon am 02.11 und 3.11.2016 in Hannover

Am 02.11. und 03.11.2016 findet die Leetcon in Hannover statt. Das Symposium für IT-Sicherheit beschäftigt sich u.a. auch mit dem Thema der IT-Sicherheit im Automobil. Klar, dass auch Thomas Käfer mit seinem Thema "Car-Forensics" dabei ist. Die gute Nachricht: Es gibt noch Last-Minute-Tickets!

Weitere Infos zur Veranstaltung: https://leetcon.de/

Markiert in:
Bewerte diesen Beitrag:
Weiterlesen
9164 Aufrufe
0 Kommentare

Audi deaktiviert Sprachsteuerung bei Cabrios wegen Fehlfunktionsmöglichkeit durch Nebengeräusche

Audi deaktiviert Sprachsteuerung bei Cabrios wegen Fehlfunktionsmöglichkeit durch Nebengeräusche

 

Also bei Audi überrascht mich so schnell nichts mehr. Oder doch? Bei allen Audi Cabrios wird vom Werk aus die Sprachsteuerung deaktiviert, obwohl sie für teures Geld im Lieferumfang des Navigationssystems MMI Plus enthalten, beworben und bezahlt worden ist.

Die offizielle Erklärung des Händlers: Durch die Nebengeräusche beim Cabrio kann es zu Fehlfunktionen kommen, da ein Kommando nicht richtig verstanden werden könnte.

Die Lösung: Audi schaltet einfach die Funktion ab und bei Druck auf die Taste am Lenkrad kommt nur „SDS nicht verbaut“.

Ein starkes Stück deutscher Wertarbeit. Zum einen soll das ebenfalls gegen Aufpreis erhältliche Akustikverdeck die Nebengeräusche ja minimieren und zum anderen ist dem Benutzer wohl klar, dass die Tante hinter der Sprachsteuerung bei offenem Verdeck und 130 km/h nicht so wahnsinnig viel verstehen kann. Kunden sind normalerweise nicht doof, sie werden nur manchmal zum Narren gehalten. Bei normaler Fahrt und geschlossenem Verdeck geht das also schon. Und mal ganz ehrlich: Beim geschlossenen Audi A4 Avant mondscheinblaumetallic versteht die Dame oft auch nur Bahnhof. Man versuche nur mal, mit „Fahr mich zum Nürburgring“ auch nur in die Nähe der Rennstrecke zu kommen…

Vielleicht sollte man mal daran arbeiten, die Sprachsteuerung zu verbessern, anstatt aufzugeben und sie vorsorglich abzuschalten. Fair wäre dann wenigstens, wenn der Kunde darüber vorher informiert würde.

Übrigens: Wer auch so ein Cabrio hat, der kann sich beim Codier-Service die Funktion freischalten lassen. Wir machen so etwas auch für kleines Geld. Und dann kann man auch gleich ein paar der nervigen Pieptöne wegcodieren…

 

Bewerte diesen Beitrag:
Weiterlesen
6699 Aufrufe
0 Kommentare

25. Aachener Kolloquium für Fahrzeug- und Motorentechnik der RWTH Aachen

25. Aachener Kolloquium für Fahrzeug- und Motorentechnik der RWTH Aachen

Vom 10. bis 12.10.2016 fand im Aachener Eurogress die 25. Ausgabe des Aachener Kolloquium für Fahrzeug- und Motorentechnik der Institute IKA und VKA der RWTH Aachen statt. Dipl.-Ing. Thomas Käfer, M.Sc. referrierte in diesem Kontext zum zweiten Mal zum Thema Car-Forensics.

Der Vortrag "Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – oder: Was wir von den Hackern lernen können“ fand am 11.10.2016 um 15:30 Uhr im Saal Brüssel im Aachener Eurogress statt.

Moderne Automobile sind rollende Computer mit einer überbordenden Komplexität. Mit dem Ziel, diese Fahrzeuge immer mehr untereinander und mit Verkehrsinfrastrukturen zu vernetzen und in letzter Konsequenz voll-automatisiert oder gar autonom fahren zu lassen, haben sich die Hersteller einiges vorgenommen. Betrachtet man jedoch, wie unbedarft und fahrlässig vielfach aktuelle Systeme, die im Auto verbaut sind oder mit diesem gekoppelt werden, entwickelt und realisiert werden, ist das Vertrauen in die Sicherheit (Safety und Security) unbegründet. Im Vortrag wird exemplarisch angesprochen und gezeigt, wie leicht sich solche Systeme angreifen und manipulieren lassen und dass es durchaus realistische Missbrauchsszenarien gibt, die die Betriebssicherheit und den verantwortungsvollen Umgang mit aufgezeichneten und übertragenen Daten gefährden. Schwerfällige und oft veraltete Entwicklungsmethoden und -zyklen sind nicht geeignet, auf die schnelllebigen Herausforderungen zu reagieren, um einerseits die Kundenerwartung zu erfüllen und andererseits die Integrität der Systeme wirksam zu schützen.

Nach dem Motto „Gefahr erkannt – Gefahr gebannt“ werden zu den jeweiligen Angriffsvektoren und Missbrauchsszenarien sinnvolle vorbeugende Gegenmaßnahmen und veränderte Vorgangsmodelle angesprochen.

Der Vortrag basiert auf den Ergebnissen der gleichnamigen Forschungsarbeit Car-Forensics, die im September 2015 veröffentlicht und seither durch immer wieder durch neue Untersuchungen und Erkenntnisse aktualisiert wurde sowie auf praktischen Erfahrungen im Bereich Penetration-Testing im Automobilumfeld.

Weitere Information zur gesamten Tagung finden sich hier: http://www.aachener-kolloquium.de

 

 

 

Bewerte diesen Beitrag:
Weiterlesen
6730 Aufrufe
0 Kommentare

Skript zum Vortrag Car-Forensics/Digitale Kfz-Forensik 2.0 2016

Skript zum Vortrag Car-Forensics/Digitale Kfz-Forensik 2.0 2016

Skript zum Vortrag Car-Forensics/Digitale Kfz-Forensik 2.0 2016 erhältlich

Für diejenigen, die den Vortrag Car-Forensics schon gehört haben und gerne noch etwas nachschlagen möchten und diejenigen, die den Vortrrag verpasst haben, gibt es jetzt die Folien und das Skript als Download.

Car-Forensics 2.0 - Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – oder: Was wir von den Hackern lernen können“ nennen.  

Skript enthält Folien und formulierten Text zu den Folien als Erklärung. 59 Seiten DIN A4 als PDF - Nur zur persönlichen Nutzung - Keine Weitergabe an Dritte - Kein Veröffentlichungsrecht ausch auszugsweise enthalten.

Bezug zum Preis von 19,80 € über: https://www.kaeferlive.de/shop/product_info.php?info=p99019484_skript-car-forensics-vortrag-2-0--pdf-.html

 

Bewerte diesen Beitrag:
Weiterlesen
8447 Aufrufe
0 Kommentare

Tesla meldet den ersten tödlichen Unfall mit der Autopilot-Funktion

Tesla meldet den ersten tödlichen Unfall mit der Autopilot-Funktion
Tesla bedauert den Unfall, sagt aber, dass das System des automatisierten Fahren noch in der Testphase ist und der Fahrer immer die Hände am Lenkrad haben muss. Damit wird so ein System ad absurdum geführt.
 
 
Vorschlag: Noch 20 Jahre weiter entwickeln und es dann noch einmal versuchen. Ehrlich gesagt verwundert es mich, dass nicht schon früher etwas passiert ist - siehe dazu mein Posting vom 11.11.2015: https://www.kaeferlive.de/index.php/news/kaeferlive-blog/entry/meinung-tesla-liefert-software-update-fuer-automatisiertes-fahren-aus-und-hier-hoert-der-spass-sofort-schon-wieder-auf
 
 
 
Bewerte diesen Beitrag:
Weiterlesen
7157 Aufrufe
0 Kommentare

Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016 - erschienen im Thiemeverlag Juni 2016

Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016 - erschienen im Thiemeverlag Juni 2016

Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016 - erschienen im Thiemeverlag Juni 2016

„Daten sind das Gold des 21. Jahrhunderts“ ist ein viel zitiertes Statement, welches in jüngerer Vergangenheit an den unterschiedlichsten Stellen und in den verschiedensten Branchen immer wieder zu hören ist. Manchmal wird anstelle des Begriffs „Gold“ auch von „Rohöl“ gesprochen – so oder so ein offenbar wertvoller und mit endlicher Menge zu findender Schatz. Ein Schatz, den es zu hüten und zu schützen gilt und, wenn man es genauer betrachtet, im Fall von digitalen Daten in scheinbar unendlicher Fülle generiert werden kann bzw. vorkommt.

So ist es nicht verwunderlich, wenn man landläufig von Datenschutz spricht, wenn es darum geht, Daten vor Missbrauch, Diebstahl und Verlust zu sichern. Und in Deutschland fühlt man sich in dieser Beziehung sofort gut aufgehoben, da unsere Datenschutzgesetze als die schärfsten weltweit gelten.

Ist dem tatsächlich so und fühlen wir uns mit unseren digitalen Daten tatsächlich zurecht sicher? Oder werden hier unterschiedlichste Aspekte und Anforderungen in einen Topf geworfen? So viel sei vorab verraten: Die Antworten auf diese Fragen lauten: Nein, digitale Daten sind alles andere als sicher und ja, hier wird einiges durcheinandergeworfen bzw. unzulässig vereinfacht.

Wer mehr zu diesem Thema wissen möchte, dem sei der Fachartikel "Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016" von Dipl.-Ing. Thomas Käfer, M.Sc. empfohlen, der im Juni 2016 im Verlag Thieme erschienen ist: https://www.thieme-connect.com/products/ejournals/journal/10.1055/s-00000150

Bewerte diesen Beitrag:
Weiterlesen
5799 Aufrufe
0 Kommentare

Dipl.-Ing. Thomas Käfer ist Speaker bei der LeetCon am 02. und 03.11.2016 in Hannover

Dipl.-Ing. Thomas Käfer ist Speaker bei der LeetCon am 02. und 03.11.2016 in Hannover

Am 02. und 03.11.2016 findet in Hannover die Leetcon 2016 statt. Dipl.-Ing. Thomas Käfer ist einer der Speaker und wird über das Thema Pentration-Test im Automotive-Umfeld referrieren.

Auf der LeetCon 2016 ist für jeden was dabei!

IT-Verantwortliche & Führungskräfte, Administratoren, Entwickler, aber auch IT-Service-Dienstleister werden voll auf ihre Kosten kommen.
Auditoren und Berater aus den Bereichen BSI-Grundschutz, ISO-27001, VdS3473 und Datenschutz können sich über Veränderungen mit Gleichgesinnten austauschen.

Live-Hacking und Awareness-Vorträge sind für verschiedenste Mitarbeiter im IT-Umfeld interessant und spannend.

Infos und Anmeldung: https://leetcon.de/

Bewerte diesen Beitrag:
Weiterlesen
5457 Aufrufe
0 Kommentare

Dipl.-Ing. Thomas Käfer, M.Sc. mit dem Thema Car-Forensics 2.0 beim 25. Aachener Kolloquium der RWTH Aachen

Dipl.-Ing. Thomas Käfer, M.Sc. mit dem Thema Car-Forensics 2.0 beim 25. Aachener Kolloquium der RWTH Aachen

Once again! Auch in diesem Jahr sind wir wieder dabei, wenn die RWTH Aachen federführend durch das IKA Prof. Lutz Eckstein und das VKA Prof. Stefan Pitschinger vom 10. bis zum 12. Oktober 2016 im Aachener Eurogress das Aachener Kolloquium veranstaltet. Erwartet werden rund 1.800 Teilnehmer aus 25 Nationen, die sich über den aktuellen Stand der Forschung und Entwicklung im Bereich Fahrzeug- und Motorenbau informieren wollen. Dipl.-Ing. Thomas Käfer, M.Sc. referiert unter dem Stichwort Car-Forensics 2.0 über aktuelle Neuigkeiten im Bereich der IT-Sicherheit von Fahrzeugen und mit vernetzen Infrastrukturen sowie über Angriffsmöglichkeiten und Konzepte, wie man solche Angriffe erschweren und abwehren kann. Ein Muss für jeden Entwickler, denn auch und gerade Safety-relevante Systeme im Fahrzeug können durch Fehler bei der IT-Security erheblich in ihrer Funktion und Betriebssicherheit beeinträchtigt werden - bis hin zum Totalausfall.

Weiterführende Informationen und Anmeldung: http://www.aachener-kolloquium.de/

Bewerte diesen Beitrag:
Weiterlesen
5814 Aufrufe
0 Kommentare

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Wir haben ja bereits im März 2016 in einem Blog-Beitrag davon berichtet: Keyless Entry beim Auto ist nicht sicher. Und wir wollten den Test-Aufbau mit Billig-Equipement nachbauen. Das haben wir uns zwischenzeitlich gespart, denn der ADAC und die Autobild waren schneller.

Nun hat zum Einen der ADAC in einem Test an aktuellen Modellen nachgewiesen, dass man Modelle verschiedener Hersteller mit einem Funkreichweitenverlängerer entwenden kann. Aber auch die Autobild war aktiv und zusammen mit dem CCC einen Bastelaufbau im Wert von 30,- € dazu benutzt, das Funksignal zwischen Schlüssel und Fahrzeug zu verlängern. Zugegeben: Sie haben in diesem Fall noch ein langes Kabel als Verlängerung benutzt und sich so den Nachbau der Funkstrecke gespart, aber der Aufbau aus Sender und Empfänger für die eigentliche Transpondertechnik ist keine Raketen-Wissenschaft. Jetzt das abgegriffenen Siganl per WLAN oder gar LTE bi-direktional weiter zu transportieren ist reine Fleißarbeit.

Ich bin froh, dass mein nächstes Auto diese Funktion nicht hat. Aber ich werde mich sicher ärgern, wenn die Teilkaskotraife aufgrund erhöhter Diebstahlzahlen steigen. Eine Differenzierung bei den Versicherern, ob man ein Auto mit oder ohne Keyless Entry hat, wäre wünschenswert und fair. Und noch besser: Die Auto-Industrie sollte sich mal ein paar Gedanken mehr machen, wie man so ein System sicher machen kann. Oder ist ein geklautes Auto auch ein verkauftes Auto? Ein Schelm, der Böses vermutet.

Bewerte diesen Beitrag:
Weiterlesen
6725 Aufrufe
0 Kommentare