Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Vortrag zum Uber-Crash beim Kölner Kreis am 14.08.2018

Vortrag zum Uber-Crash beim Kölner Kreis am 14.08.2018

Am 14.08.2018 darf ich auf Einladung meines geschätzten Forensik-Kollegen Martin Wundram von DigiTrace wieder einmal beim Kölner Kreis referieren.


Der Kölner Kreis ist eine recht regelmäßig stattfindende Veranstaltung zum Austausch über IT-Sicherheit, Datenschutz und Digitaler Forensik. Das passt meine Auswertung des Uber-Crashs sozusagen wie die Faust aufs Auge.


Bei Interesse an der Teilnahme einfach E-Mail anDiese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Bewerte diesen Beitrag:
Weiterlesen
7244 Aufrufe
0 Kommentare

Vortrag: Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld

Vortrag: Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld

Jetzt schon Termin vormerken: Am 09.10.2018 um 17:30 Uhr findet im Rahmen des 27. Aachener Kolloquium Fahrzeug- und Motorentechnik von ika/vka der RWTH Aachen der Vortrag "Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld" von Thomas Käfer statt.

Ort: Eurogress Aachen

Weitere Infos und Anmeldung zum Kolloquium: https://www.aachener-kolloquium.de/de/

Bewerte diesen Beitrag:
Weiterlesen
9458 Aufrufe
0 Kommentare

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Wir sind wieder dabei und freuen uns über die Einladung von Prof. Lutz Eckstein und Prof. Stefan Pischinger, nun zum dritten Mal einen Vortrag zum Thema Car-Forensics halten zu dürfen. Der Titel des Vortrags von Dipl.-Ing. Thomas Käfer, M.Sc lautet diesmal:

Effektive und richtige IT-Sicherheits-Tests im Automotive-Umfeld

Also: Schon einmal Termin vormerken oder am besten direkt buchen, denn die Teilnehmerplätze sind erfahrungsgemäß begrenzt und begehrt.

https://www.aachener-kolloquium.de/

Bewerte diesen Beitrag:
Weiterlesen
12267 Aufrufe
0 Kommentare

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Am 25.05.2018 tritt die EU-Datenschutz-Grundverordnung in Kraft und verpflichtet alle Akteure, die Dienstleistungen und Waren in der Europäischen Union anbieten und letztlich personenbezogene Daten erheben, speichern und/oder verarbeiten zu einem sorgsamen Umgang mit selbigen. Und das gilt damit erstmalig auch für Institutionen, die außerhalb der EU ansässig sind, aber in der EU tätig werden. Und wer sich nicht an die Regeln hält, dem drohen saftige Bußgelder bis zu 20 Mio. Euro oder 4% des Gesamtumsatzes eines Jahres des kompletten Konzerns, je nachdem was höher ausfällt.

Und was wird geschützt? Personenbezogene Daten natürlicher lebender Personen, also z.B. Adressen, Geburtsdaten bis hin zu besonders schützenswerten Gesundheitsdaten oder Informationen über Rasse, Religion, politischer Einstellung usw..

Schön. War längst überfällig und eigentlich selbstverständlich. In Deutschland haben wir uns darum dank BDSG schon seit Jahrzehnten kümmern müssen. Jetzt trifft es auch die Mitbewerber im Ausland.

Aber ist Datenschutz wirklich so wichtig oder gibt es vielleicht etwas, das noch viel wichtiger ist?

Richtig. Wie sieht es denn mit dem Recht auf Datensicherheit aus? Viele leiten aus dem Begriff „Datenschutz“ einen allumfassenden Schutz ihrer Daten ab. Schön wär’s.

In den Datenschutznormen ist zwar auch die Einhaltung von grundlegenden IT-Sicherheitsregeln vorgeschrieben, aber in dem Moment, wo keine personenbezogenen Daten direkt betroffen sind, ist die Missachtung von IT-Sicherheit in Produkten und Dienstleistungen praktisch vollkommen sanktioniert.

Unser nationales IT-Sicherheitsgesetz suggeriert, dass IT-Sicherheit per Gesetz geregelt wäre, aber das betrifft nur kritische Infrastrukturen (wie beispielsweise etwa Strom- und Wasserversorger) und eben nicht das 08/15 IT-Produkt oder Programm für Lieschen Müller.

Wenn dann Daten auf einmal weg sind oder IT-Systeme kompromittiert worden sind, ist das Geheule groß. Jemanden dafür haftbar zu machen, ist in der Praxis äußerst schwierig. Und auch wenn man (noch ohne Schaden) eine IT-Sicherheitslücke entdeckt (die es zuhauf gibt), bleibt das für den Verursacher / Anbieter ebenfalls meist folgenlos. Selbst wenn er die Lücke nicht schließt, bekommt man ihn nicht so einfach zu fassen.

Wäre es angesichts zunehmender Digitalisierung und Durchdringung der IT in allen Lebensbereichen nicht dringend notwendig, auch die Implementierung von IT-Sicherheit nach einem aktuellen Stand der Technik in jedem Produkt zu fordern und dessen Fehlen bzw. Mangelhaftigkeit zu pönalisieren? Was ist, wenn die Produktion eines Unternehmens aufgrund eines eigentlich abwehrbaren IT-Vorfalls ausfällt? Was ist, wenn ein voll-automatisiert fahrendes vernetzets Fahrzeug mit 130 km/h gegen die Wand fährt, weil es eine Sicherheitslücke gab, die ein Hacker zum Spaß ausgenutzt hat? Was ist, wenn das Haus abbrennt, weil der internetfähige Toaster durch Schadcode überlastet wurde?

Einen Teil davon kann man über Versicherungen abfedern. Aber es bleiben erhebliche Risiken für Vermögen, Leib und Leben, denn wir reden nicht mehr allein von Daten oder Geld, die weg sind. Im Internet der Dinge reden wir von echten Bedrohungen durch mangelhafte IT-Sicherheit.

Bei aller digitaler Aufbruchsstimmung lohnt es sich daher, auch über IT-Sicherheit zur Not über eine Verordnung und einen gesetzlichen Anspruch nachzudenken. Alles andere wäre fahrlässig und kurzsichtig.

Und für die Gerichte wäre es durchaus sinnvoll, wenn mangelhafte oder fehlende IT-Sicherheit als Produktmangel definiert würde. Das würde den Druck auf die Anbieter erhöhen, ihren Job in Punkto IT-Sicherheit besser zu machen, als das jetzt der Fall ist. Denn eine mal schnell hin gerotzte App mit Sicherheitslücken ist weder digitale Transformation noch ein Leuchtturmprojekt, sondern eine Sackgasse.

Viele Entwickler und Anbieter empfinden IT-Sicherheit als hinderlich und kostspielig. Der Verzicht darauf wird noch kostspieliger und letztlich erhöht die Berücksichtigung von IT-Sicherheit bereits beim Produktdesign auch die Produktqualität.

Jetzt müsste nur jemand den Gedanken mal aufgreifen und weiter diskutieren…

P.S. Und bis es eine Verordnung gibt, könnten wir ja schon einmal anfangen, freiwillig konsequent IT-Sicherheit in unsere Produkte und Dienstleistungen einzubauen.

 

Bewerte diesen Beitrag:
Weiterlesen
10538 Aufrufe
0 Kommentare

BMW und Digitalisierung: Eine Never Ending Story...

BMW und Digitalisierung: Eine Never Ending Story...

BMW und Digitalisierung: Eine Never Ending Story...

BMW Connected Drive des vor 1 1/2 Jahren an den Händler nach Auslauf des Leasings und des Connected Drive Abos zurückgegeben BMW 330d meldet sich über den Händler bei mir und macht mich auf einen in 2000km anstehenden Ölwechsel aufmerksam.

Das versteht also BMW (Werk und Händler) unter Datenschutz, Datensicherheit und nicht zuletzt unter Kundendienst. Es ist ja "schön", dass der BMW ans Werk und an den Händler meldet, dass eine Inspektion ansteht. Doof nur, wenn diese Info dann an den ehemaligen und nicht den aktuellen Besitzer geht. Nicht nur dass mich das recht wenig interessiert (den jetzigen Besitzer schon eher), es zeigt, dass der Händler es mit den Kundendatensätzen nicht so genau nimmt (er lässt mich aber seitenweise Einverständniserklärungen ausfüllen) und dass auch die Verknüpfung zwischen Fahrzeug und meinem nach wie vor aktiven ConnectedDrive-Account nicht getrennt ist. Ich kann nach 1 1/2 Jahren immer noch "mein" altes Auto im Portal "sehen" und ich habe mir mal den Spass erlaubt, einen neuen Sicherheitscode zur Freischaltung der Funktionen, Orten, Hupen und Öffnen des Fahrzeug an das Auto zu senden. Wenn der jetzige Besitzer so gutgläubig ist und im HMI-Display den von mir gesendeten Code "1234" bestätigt (User machen solche dummen Sachen), sollte ich sein Auto wieder orten und öffnen können. Nee mache ich dann nicht - war nur Spaß!

Das ganze ist mal wieder ein gutes Beispiel dafür, dass weder BMW irgendetwas von dem verstanden hat, was ich in Bezug auf ConnectedDrive in meiner Forschungsarbeit Car-Forensics bemängelt habe, noch, dass Kundendaten von Werk und Händler wirklich sensibel behandelt werden.

Aber BMW sitzt da in guter Gesellschaft ziemlich arrogant auf hohem Ross... ... nur: so wird das nichts mit der Digitalisierung.

Bewerte diesen Beitrag:
Weiterlesen
12010 Aufrufe
0 Kommentare

Datenschutz ist nicht Datensicherheit

Datenschutz ist nicht Datensicherheit

Datenschutz ist nicht Datensicherheit

Im Würselener Super Sonntag vom 22.01.2017 ist auf der Titelseite ein großer Bericht mit dem Thema "Datenschutz wird für uns alle immer wichtiger" zu lesen, der leider so ziemlich gar nichts mit Datenschutz zu tun hat. Gemeint ist viel mehr das Thema Datensicherheit. Und auch der im Artikel als Experte zu Wort kommende Professor Rumpe der RWTH Aachen verwechselt Datenschutz mit Datensicherheit oder wurde vom Autor des Artikels missverstanden. Datenschutz mit Datensicherheit zu verwechseln ist ungefähr wie zu sagen "Wasser kocht bei 90 Grad", aber man eigentlich den rechten Winkel...

Warum die Korinthenkackerei? Beide Themen sind wichtig, haben aber einen komplett anderen Fokus und werden leider oft durcheinander geworfen (mit nicht unerheblichen Folgen).

  • Datenschutz: Schutz von personenbezogenen Daten (natürlicher lebender Personen) vor missbräuchlicher Nutzung durch die erfassenden oder weiter verarbeitenden Benutzer.
  • Datensicherheit: Schutz der Daten vor missbräuchlicher Nutzung oder Einsichtnahme durch fremde Dritte (Angreifer von außen).
  • Und um den Reigen komplett zu machen - Datensicherung: Schutz der Daten vor Verlust oder Zerstörung durch Rückgriff auf gesicherte Versionen.

In der Kombination der drei Themenfelder wird ein Schuh draus: Die Datenschutzgesetze verlangen von demjenigen, der fremde personenbezogenen Daten verarbeitet oder speichert entsprechende Maßnahmen zur Sicherstellung der Datensicherheit und vorbeugenden Gegenmaßnahmen gegen Verlust der Daten (Datensicherung).

Ein für den Tenor des Berichts typischer Satz wie „Unglücklicherweise führen auch die komplexen, für die Bundesländer auch noch unterschiedlichen Vorschriften (aus dem Kontext Datenschutzvorschriften) eher dazu, dass die Nutzer („Eigentümer“ seiner Daten) den Datenschutz nicht adäquat umsetzen, weil er zu viel Aufwand kostet“ ist schlichtweg Blödsinn. Das suggeriert, dass der Nutzer für die Einhaltung des Datenschutzes gesetzlich verantwortlich wäre. Tatsächlich ist das der Betreiber eines Systems, dass mit den Nutzerdaten arbeitet. Und der muss sich um die Einhaltung von Datensicherheitsstandards kümmern. Gleiches sollte der Nutzer im Eigeninteresse tun. Letzteres scheitert beim Nutzer gerade nicht an komplexen Vorschriften, sondern meist an der Bequemlichkeit oder Unwissenheit - Trotzdem kein Grund oder eine Entschuldigung, dass man sich nicht um die Absicherung seiner eigenen Systeme und Daten gegen Angreifer kümmert. Und schon gar keine Entschuldigung für den Betreiber eines Systems.

Alles in allem ist das ein hochkomplexes Zusammenspiel der drei Themenfelder. Aber man könnte ja auch mal jemanden fragen, der sich damit auskennt. Und auch wenn der Super Sonntag kein Fachblatt für IT-Sicherheit und Datenschutz ist: So, wie in diesem Artikel gemacht, ist das eher ein Bärendienst für Datenschutz und Datensicherheit. Dislike.

Dipl.-Ing. Thomas Käfer, Master of Science Digitale Forensik und ö.b.u.v. Sachverständiger für Systeme und Anwendungen der Informationstechnologie

Link zum Artikel

 

Bewerte diesen Beitrag:
Weiterlesen
22971 Aufrufe
0 Kommentare
Empfohlen

Black Friday bei Tesla, Audi & Co

Black Friday bei Tesla, Audi & Co

Auch eine Art von Black Friday…

Wie die Süddeutsche am 25.11.2016 vermeldet (http://www.sueddeutsche.de/auto/gehacktes-elektroauto-ein-laptop-eine-app-und-weg-ist-der-tesla-1.3265513), ist es norwegischen Hackern gelungen, durch die unzureichend geschützte App von Tesla, ein Fahrzeug der Marke zu orten, zu öffnen und zu starten. Weg ist der 80.000 € Tesla.

Für uns ist das schon kalter Kaffee, haben wir das doch schon 2014 am Beispiel von BMW Connected Drive ausführlich publiziert. Und Audi macht es auch nicht besser.

Denn auch Audi ist in der Zwischenzeit mit einem zu Mercedes und BMW vergleichbaren Dienst an den Start gegangen und ermöglicht beispielsweise das Öffnen und Schließen der Türen und Fenster oder das Abfragen von Betriebsparametern.

Da wir seit Sommer 2016 nun auch Zugriff auf einen Audi A4 haben, konnten – ähnlich zu den früheren Versuchen mit dem eigenen BMW – vergleichbare Untersuchungen auch mit diesem System durchgeführt werden. Hierbei wurde die App MMI Connect im Sommer 2016 analog zu den Tests des BMW ConnectedDrive sowohl in der IOS-Version (z.B. mit Snoop-IT) als auch in der Android-Variante untersucht.

Und auch hier stehen dem Sicherheitsfachmann die Haare zu Berge. Das Portal-Passwort ist im Klartext in der App (Keychain) gespeichert und lässt sich durch externes Triggern von in der App vorhandenen Methoden im Klartext anzeigen.

Das alles findet natürlich Einzug in die Neuauflage des Forschungsberichts Car-Forensics, der Anfang Dezember 2016 erscheint. Zurzeit werden noch die letzten neuen Findings in den Bericht aufgenommen (und da reden wir über ein paar dicke Klöpse). Aber irgendwann muss mal Redaktionsschluss sein, auch wenn es täglich neue Findings gibt… Stay tuned.

Bewerte diesen Beitrag:
Weiterlesen
18451 Aufrufe
0 Kommentare
Empfohlen

Car-Forensics und Käfer IT in den Wirtschaftlichen Nachrichten 11/2016 der IHK Aachen

Car-Forensics und Käfer IT in den Wirtschaftlichen Nachrichten 11/2016 der IHK Aachen

Gerade ist die neueste Ausgabe der Wirtschaftlichen Nachrichten der IHK 11/2016 im Briefkasten gelandet. Schwerpunktthema diesmal ist der Automobilsektor in der Region Aachen. Schön, dass auch wir uns darin mit dem Thema Car-Forensics wiederfinden.

Mehr Infos: https://www.aachen.ihk.de

Bewerte diesen Beitrag:
Weiterlesen
19724 Aufrufe
0 Kommentare

Car-Forensics auf der Leetcon am 02.11 und 3.11.2016 in Hannover

Car-Forensics auf der Leetcon am 02.11 und 3.11.2016 in Hannover

Am 02.11. und 03.11.2016 findet die Leetcon in Hannover statt. Das Symposium für IT-Sicherheit beschäftigt sich u.a. auch mit dem Thema der IT-Sicherheit im Automobil. Klar, dass auch Thomas Käfer mit seinem Thema "Car-Forensics" dabei ist. Die gute Nachricht: Es gibt noch Last-Minute-Tickets!

Weitere Infos zur Veranstaltung: https://leetcon.de/

Markiert in:
Bewerte diesen Beitrag:
Weiterlesen
13835 Aufrufe
0 Kommentare

Audi deaktiviert Sprachsteuerung bei Cabrios wegen Fehlfunktionsmöglichkeit durch Nebengeräusche

Audi deaktiviert Sprachsteuerung bei Cabrios wegen Fehlfunktionsmöglichkeit durch Nebengeräusche

 

Also bei Audi überrascht mich so schnell nichts mehr. Oder doch? Bei allen Audi Cabrios wird vom Werk aus die Sprachsteuerung deaktiviert, obwohl sie für teures Geld im Lieferumfang des Navigationssystems MMI Plus enthalten, beworben und bezahlt worden ist.

Die offizielle Erklärung des Händlers: Durch die Nebengeräusche beim Cabrio kann es zu Fehlfunktionen kommen, da ein Kommando nicht richtig verstanden werden könnte.

Die Lösung: Audi schaltet einfach die Funktion ab und bei Druck auf die Taste am Lenkrad kommt nur „SDS nicht verbaut“.

Ein starkes Stück deutscher Wertarbeit. Zum einen soll das ebenfalls gegen Aufpreis erhältliche Akustikverdeck die Nebengeräusche ja minimieren und zum anderen ist dem Benutzer wohl klar, dass die Tante hinter der Sprachsteuerung bei offenem Verdeck und 130 km/h nicht so wahnsinnig viel verstehen kann. Kunden sind normalerweise nicht doof, sie werden nur manchmal zum Narren gehalten. Bei normaler Fahrt und geschlossenem Verdeck geht das also schon. Und mal ganz ehrlich: Beim geschlossenen Audi A4 Avant mondscheinblaumetallic versteht die Dame oft auch nur Bahnhof. Man versuche nur mal, mit „Fahr mich zum Nürburgring“ auch nur in die Nähe der Rennstrecke zu kommen…

Vielleicht sollte man mal daran arbeiten, die Sprachsteuerung zu verbessern, anstatt aufzugeben und sie vorsorglich abzuschalten. Fair wäre dann wenigstens, wenn der Kunde darüber vorher informiert würde.

Übrigens: Wer auch so ein Cabrio hat, der kann sich beim Codier-Service die Funktion freischalten lassen. Wir machen so etwas auch für kleines Geld. Und dann kann man auch gleich ein paar der nervigen Pieptöne wegcodieren…

 

Bewerte diesen Beitrag:
Weiterlesen
10295 Aufrufe
0 Kommentare