Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – Der lange oder gar falsche Weg zum automatisierten Fahren.

Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – Der lange oder gar falsche Weg zum automatisierten Fahren.

Moderne Automobile sind rollende Computer mit einer überbordenden Komplexität.

Mit dem Ziel, diese Fahrzeuge immer mehr untereinander und mit Verkehrsinfrastrukturen zu vernetzen und in letzter Konsequenz voll-automatisiert oder gar autonom fahren zu lassen, haben sich die Hersteller einiges vorgenommen. Betrachtet man jedoch, wie unbedarft und fahrlässig vielfach aktuelle Systeme, die im Auto verbaut sind oder mit diesem gekoppelt werden, entwickelt und realisiert werden, ist das Vertrauen in die Sicherheit (Safety und Security) unbegründet.

Die Erwartungshaltung des Autokäufers bzw. Fahrers liegt mittlerweile - begünstigt durch vielfach oberflächliche und unkritische Berichterstattung in den Medien und vollmundigen Werbeversprechen und Strategieankündigungen der Automobilhersteller - deutlich über dem, was in Bezug auf Qualität und Funktionsumfang an Fahrerassistenzsystemen und Vernetzung in aktuellen Modellen tatsächlich angeboten wird bzw. wie es dort implementiert ist. Von dem mittelfristig angepeilten Ziel sowohl der Hersteller als auch der Politik und Verkehrsexperten, in wenigen Jahren zumindest in bestimmten Arealen (z.B. auf Autobahnen oder geografisch abgegrenzt) Autos selbstständig fahren zu lassen, ist man wohl weiter entfernt, als mancher zugeben oder wahrhaben will. Dazu muss man gar nicht erst auf Tesla mit dem ersten "vollautomatisch" verursachten tödlichen Unfall schauen.

Die Zuverlässigkeit und der Funktionsumfang von Assistenzsystemen z.B. auch bei deutschen Premium-Autos liegen aktuell faktisch in einem Bereich, wo ein blindes Vertrauen in die Funktion unangebracht ist. Der "deutsche" Autofahrer kann sich erst gar nicht über mehrere Kilometer automatisiert chauffieren lassen. Das gibt weder die Rechtslage noch die tatsächliche Implementierung oder gar die Güte der Umfelderkennung und Steuerung im Alltag her.

Wenn man sich als Forensiker nur stichprobenartig und exemplarisch mit einem modernen System aus dem Automotiv-Umfeld auseinandersetzt, findet man viel zu schnell Beispiele, wie übliche Regeln zur Sicherstellung der IT-Sicherheit, Privacy und Datenschutz missachtet werden, die letztlich auch Auswirkungen auf die Safety haben. Und wenn man einmal mehrere Tausend Kilometer mit einem mit Fahrassistenzsystemen und Computern vollgestopften Premium-Fahrzeug aktuellster Bauart herumgefahren ist, fragt man sich, ob man nun sicherer oder unsicherer unterwegs ist. Man muss nicht nur eine überbordende Anzahl von Warnhinweisen und Tönen hinnehmen, sondern registriert eine unerwartet hohe Zahl von Fehlreaktionen und -funktionen der Assistenzsysteme. Die Bedienlogik folgt oft keinem einheitlichen oder intuitiven Konzept und man fragt sich ernsthaft, was sich der Entwickler dabei gedacht hat. Warum muss man beim Zoomen in eine Karte bei einer Anzeige das Bedien-Rädchen zu sich hindrehen und beim anderen System im selben Auto von sich wegdrehen? Warum muss man bei jedem Booten des Autos (Der Begriff „Starten“ wäre unangebracht) u.a. jedes Mal mit Meldung und einem „Pling“ (neben einer dauerhaft leuchten Anzeige im Dachhimmel) darauf hingewiesen werden, dass der Beifahrer-Airbag eingeschaltet ist? Warum macht es „Pling“ wenn man den Rückwärtsgang einlegt und warum piept der Parkpiepser vorn, wenn man gerade rückwärtsfährt?

So ist der Fahrer nun neben der Fahraufgabe auch damit beschäftigt, zu kontrollieren, ob die Assistenzsysteme, die ihm eigentlich das Leben leichter machen sollten, auch gerade korrekt arbeiten oder er dem Assistenzsysteme assistieren muss. Bei der Tempolimitanzeige via Verkehrszeichenerkennung und Auswertung von Navigationsdaten kann man eine Münze werfen, ob das detektierte Tempo stimmt oder nicht und das ist nicht mal durchgängig deterministisch.

Nicht lustig ist dann, wenn das Fahrzeug bei 120 km/h auf der Autobahn „meint“, es hätte ein Tempolimit von 60 km/h detektiert und bei aktiviertem Tempomat das Fahrzeug auf offener Strecke und für die nachfolgenden Fahrer ohne ersichtlichen Grund deutlich auf das vermeintliche Tempolimit herunterbremst. Und was nützt ein Warnsystem und wie viel Vertrauen hat man darin, wenn es bei 180 km/h beim Überholen eines Lastwagens plötzlich eine Aufmerksamkeitsbremsung einleitet, weil es sich "erschrocken“ hat? Die erste Konsequenz: Die Assistenzsysteme werden abgeschaltet weil sie nerven und fehlen im Fall der Fälle, wenn der Fahrer sie dann tatsächlich einmal hätte gut gebrauchen können. Die zweite Konsequenz: Beim nächsten Auto verzichtet der Autokäufer auf nutzloses und teures Spielzeug im Beta-Stadium und fährt lieber selber. Der Vertrauensvorschuss beim technik-affinen Käufer ist nämlich dahin. Und was macht erst der kritische Fahrer? Ohnehin gefällt nur einem kleineren Teil der Autofahrer der Gedanke, von einer Maschine pilotiert zu werden. Sie muss nachweislich um Faktoren sicherer sein, als der menschliche Fahrer, damit man ihr vertraut. Ein paar statistische Kilometer mehr bis zum nächsten Unfall ist kein stichhaltiges Argument für eine gesellschaftliche Akzeptanz von automatisiert oder gar autonom fahrenden Fahrzeugen.

Dabei gibt es Bedarf für diese Systeme und sinnvolle Anwendungsbereiche. Und sicherlich wird die Maschine – wenn sie richtig programmiert wurde – weniger Fehler machen, als der Mensch, denn sie ermüdet nicht und reagiert deterministisch.

Nur wird der bisher eingeschlagene Weg vielleicht gerade nicht dazu führen, das Ziel automatisiertes und autonomes Fahren und damit die Reduzierung der Verkehrsunfälle und Staus zu erreichen. Autokäufer sind keine Beta-Tester und bei 1,5 Tonnen bewegter Masse hört der Spaß mit unsicher und nachlässig implementierten Systemen einfach auf. Und: Schwerfällige und oft veraltete Entwicklungsmethoden und -zyklen sind nicht geeignet, auf die schnelllebigen Herausforderungen zu reagieren, um einerseits die Kundenerwartung zu erfüllen und andererseits die Integrität der Systeme wirksam zu schützen. Denn Hacker schlafen nicht und über die haben wir hier noch gar nicht geredet.

Was kann man besser machen? In der Vortragsreihe Car-Forensics 2.0 wird in den kommenden Monaten an konkreten Beispielen gezeigt, wie man es nicht machen sollte und welche neuen Schwachstellen entdeckt wurden. Aber niemand ist unnütz. Er kann immer noch als schlechtes Beispiel dienen und andere können davon lernen, um es besser zu machen. Und auch diejenigen, die jetzt schon als Beispiel aufgefallen sind könnten sich helfen lassen…

In den Vorträgen wird daher exemplarisch angesprochen und gezeigt, wie leicht sich solche Systeme angreifen und manipulieren lassen und dass es durchaus realistische Missbrauchsszenarien gibt, die die Betriebssicherheit und den verantwortungsvollen Umgang mit aufgezeichneten und übertragenen Daten gefährden.

Nach dem Motto „Gefahr erkannt – Gefahr gebannt“ werden zu den jeweiligen Angriffsvektoren und Missbrauchsszenarien sinnvolle vorbeugende Gegenmaßnahmen und veränderte Vorgangsmodelle angesprochen

Die Vorträge basieren auf den Ergebnissen der gleichnamigen Forschungsarbeit Car-Forensics, die im September 2015 veröffentlicht und seither durch immer wieder durch neue Untersuchungen und Erkenntnisse aktualisiert wurde sowie auf praktischen Erfahrungen im Bereich Penetration-Testing im Automobilumfeld (Bezug über den Buchhandel ISBN 9783738635393 oder http://www.car-forensik.de .

Neben den Kurzvorträgen im Rahmen von Automotive- und IT-Sicherheitsveranstaltungen gibt es selbstverständlich die Möglichkeit Inhouse-Schulungen zu buchen oder ganze Sicherheitsberatungen und Penetration-Tests zu buchen

Dipl.-Ing. Thomas Käfer, M.Sc. ist mit seinem IT-Systemhaus Käfer IT Systeme e.K. seit 1990 selbstständig in der IT tätig. Er arbeitet seit 2002 als Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung (seit 2006 öffentlich bestellt), als IT-Consultant, Fachautor und Dozent für die IT-Spezialistenausbildung und beschäftigt sich vor allem mit Fragen der IT-Sicherheit, dem Datenschutz und dem Gebiet der Digitalen Forensik.

Die nächsten (öffentlichen) Termine:

 

 

Weiterlesen
  20369 Aufrufe
  0 Kommentare
20369 Aufrufe
0 Kommentare

Car-Forensics/Digitale Kfz-Forensik 2.0 - Vortrag beim IT Breakfast in der IHK Bonn am 09.09.2016

Car-Forensics/Digitale Kfz-Forensik 2.0 - Vortrag beim IT Breakfast in der IHK Bonn am 09.09.2016

Car-Forensics/Digitale Kfz-Forensik 2.0 - Vortrag beim IT Breakfast in der IHK Bonn am 09.09.2016

Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – oder: Was wir von den Hackern lernen können“ nennen.  

Moderne Automobile sind rollende Computer mit einer überbordenden Komplexität. Mit dem Ziel, diese Fahrzeuge immer mehr untereinander und mit Verkehrsinfrastrukturen zu vernetzen und in letzter Konsequenz voll-automatisiert oder gar autonom fahren zu lassen, haben sich die Hersteller einiges vorgenommen. Betrachtet man jedoch, wie unbedarft und fahrlässig vielfach aktuelle Systeme, die im Auto verbaut sind oder mit diesem gekoppelt werden, entwickelt und realisiert werden, ist das Vertrauen in die Sicherheit (Safety und Security) unbegründet. Im Vortrag wird exemplarisch angesprochen und gezeigt, wie leicht sich solche Systeme angreifen und manipulieren lassen und dass es durchaus realistische Missbrauchsszenarien gibt, die die Betriebssicherheit und den verantwortungsvollen Umgang mit aufgezeichneten und übertragenen Daten gefährden. Schwerfällige und oft veraltete Entwicklungsmethoden und -zyklen sind nicht geeignet, auf die schnelllebigen Herausforderungen zu reagieren, um einerseits die Kundenerwartung zu erfüllen und andererseits die Integrität der Systeme wirksam zu schützen.

Nach dem Motto „Gefahr erkannt – Gefahr gebannt“ werden zu den jeweiligen Angriffsvektoren und Missbrauchsszenarien sinnvolle vorbeugende Gegenmaßnahmen und veränderte Vorgangsmodelle angesprochen.

Der Vortrag basiert auf den Ergebnissen der gleichnamigen Forschungsarbeit Car-Forensics, die im September 2015 veröffentlicht und seither durch immer wieder durch neue Untersuchungen und Erkenntnisse aktualisiert wurde sowie auf praktischen Erfahrungen im Bereich Penetration-Testing im Automobilumfeld.

Weitere Infos und Anmeldung...

Weiterlesen
  14002 Aufrufe
  0 Kommentare
14002 Aufrufe
0 Kommentare

Tesla meldet den ersten tödlichen Unfall mit der Autopilot-Funktion

Tesla meldet den ersten tödlichen Unfall mit der Autopilot-Funktion
Tesla bedauert den Unfall, sagt aber, dass das System des automatisierten Fahren noch in der Testphase ist und der Fahrer immer die Hände am Lenkrad haben muss. Damit wird so ein System ad absurdum geführt.
 
 
Vorschlag: Noch 20 Jahre weiter entwickeln und es dann noch einmal versuchen. Ehrlich gesagt verwundert es mich, dass nicht schon früher etwas passiert ist - siehe dazu mein Posting vom 11.11.2015: https://www.kaeferlive.de/index.php/news/kaeferlive-blog/entry/meinung-tesla-liefert-software-update-fuer-automatisiertes-fahren-aus-und-hier-hoert-der-spass-sofort-schon-wieder-auf
 
 
 
Weiterlesen
  15138 Aufrufe
  0 Kommentare
15138 Aufrufe
0 Kommentare

+++ EILMELDUNG +++ EU-Wahlzettel geleakt +++ EILMELDUNG

+++ EILMELDUNG +++ EU-Wahlzettel geleakt +++ EILMELDUNG
+++ EILMELDUNG +++ EU-Wahlzettel geleakt +++ EILMELDUNG
Brexít kommt nur zustande, weil veraltete Wahlzettel ohne Sicherheitsabfragen in Umlauf waren.
 
Bitte teilen, damit sich nicht noch eine Nation verwählt...
 
(Achtung Satire)
Weiterlesen
  6118 Aufrufe
  0 Kommentare
6118 Aufrufe
0 Kommentare

Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016 - erschienen im Thiemeverlag Juni 2016

Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016 - erschienen im Thiemeverlag Juni 2016

Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016 - erschienen im Thiemeverlag Juni 2016

„Daten sind das Gold des 21. Jahrhunderts“ ist ein viel zitiertes Statement, welches in jüngerer Vergangenheit an den unterschiedlichsten Stellen und in den verschiedensten Branchen immer wieder zu hören ist. Manchmal wird anstelle des Begriffs „Gold“ auch von „Rohöl“ gesprochen – so oder so ein offenbar wertvoller und mit endlicher Menge zu findender Schatz. Ein Schatz, den es zu hüten und zu schützen gilt und, wenn man es genauer betrachtet, im Fall von digitalen Daten in scheinbar unendlicher Fülle generiert werden kann bzw. vorkommt.

So ist es nicht verwunderlich, wenn man landläufig von Datenschutz spricht, wenn es darum geht, Daten vor Missbrauch, Diebstahl und Verlust zu sichern. Und in Deutschland fühlt man sich in dieser Beziehung sofort gut aufgehoben, da unsere Datenschutzgesetze als die schärfsten weltweit gelten.

Ist dem tatsächlich so und fühlen wir uns mit unseren digitalen Daten tatsächlich zurecht sicher? Oder werden hier unterschiedlichste Aspekte und Anforderungen in einen Topf geworfen? So viel sei vorab verraten: Die Antworten auf diese Fragen lauten: Nein, digitale Daten sind alles andere als sicher und ja, hier wird einiges durcheinandergeworfen bzw. unzulässig vereinfacht.

Wer mehr zu diesem Thema wissen möchte, dem sei der Fachartikel "Datenschutz in der digitalen Praxis - Zahnmedizin up2date 3-2016" von Dipl.-Ing. Thomas Käfer, M.Sc. empfohlen, der im Juni 2016 im Verlag Thieme erschienen ist: https://www.thieme-connect.com/products/ejournals/journal/10.1055/s-00000150

Weiterlesen
  12179 Aufrufe
  0 Kommentare
12179 Aufrufe
0 Kommentare

Dipl.-Ing. Thomas Käfer ist Speaker bei der LeetCon am 02. und 03.11.2016 in Hannover

Dipl.-Ing. Thomas Käfer ist Speaker bei der LeetCon am 02. und 03.11.2016 in Hannover

Am 02. und 03.11.2016 findet in Hannover die Leetcon 2016 statt. Dipl.-Ing. Thomas Käfer ist einer der Speaker und wird über das Thema Pentration-Test im Automotive-Umfeld referrieren.

Auf der LeetCon 2016 ist für jeden was dabei!

IT-Verantwortliche & Führungskräfte, Administratoren, Entwickler, aber auch IT-Service-Dienstleister werden voll auf ihre Kosten kommen.
Auditoren und Berater aus den Bereichen BSI-Grundschutz, ISO-27001, VdS3473 und Datenschutz können sich über Veränderungen mit Gleichgesinnten austauschen.

Live-Hacking und Awareness-Vorträge sind für verschiedenste Mitarbeiter im IT-Umfeld interessant und spannend.

Infos und Anmeldung: https://leetcon.de/

Weiterlesen
  11732 Aufrufe
  0 Kommentare
11732 Aufrufe
0 Kommentare

Dipl.-Ing. Thomas Käfer, M.Sc. mit dem Thema Car-Forensics 2.0 beim 25. Aachener Kolloquium der RWTH Aachen

Dipl.-Ing. Thomas Käfer, M.Sc. mit dem Thema Car-Forensics 2.0 beim 25. Aachener Kolloquium der RWTH Aachen

Once again! Auch in diesem Jahr sind wir wieder dabei, wenn die RWTH Aachen federführend durch das IKA Prof. Lutz Eckstein und das VKA Prof. Stefan Pitschinger vom 10. bis zum 12. Oktober 2016 im Aachener Eurogress das Aachener Kolloquium veranstaltet. Erwartet werden rund 1.800 Teilnehmer aus 25 Nationen, die sich über den aktuellen Stand der Forschung und Entwicklung im Bereich Fahrzeug- und Motorenbau informieren wollen. Dipl.-Ing. Thomas Käfer, M.Sc. referiert unter dem Stichwort Car-Forensics 2.0 über aktuelle Neuigkeiten im Bereich der IT-Sicherheit von Fahrzeugen und mit vernetzen Infrastrukturen sowie über Angriffsmöglichkeiten und Konzepte, wie man solche Angriffe erschweren und abwehren kann. Ein Muss für jeden Entwickler, denn auch und gerade Safety-relevante Systeme im Fahrzeug können durch Fehler bei der IT-Security erheblich in ihrer Funktion und Betriebssicherheit beeinträchtigt werden - bis hin zum Totalausfall.

Weiterführende Informationen und Anmeldung: http://www.aachener-kolloquium.de/

Weiterlesen
  13236 Aufrufe
  0 Kommentare
13236 Aufrufe
0 Kommentare

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Wir haben ja bereits im März 2016 in einem Blog-Beitrag davon berichtet: Keyless Entry beim Auto ist nicht sicher. Und wir wollten den Test-Aufbau mit Billig-Equipement nachbauen. Das haben wir uns zwischenzeitlich gespart, denn der ADAC und die Autobild waren schneller.

Nun hat zum Einen der ADAC in einem Test an aktuellen Modellen nachgewiesen, dass man Modelle verschiedener Hersteller mit einem Funkreichweitenverlängerer entwenden kann. Aber auch die Autobild war aktiv und zusammen mit dem CCC einen Bastelaufbau im Wert von 30,- € dazu benutzt, das Funksignal zwischen Schlüssel und Fahrzeug zu verlängern. Zugegeben: Sie haben in diesem Fall noch ein langes Kabel als Verlängerung benutzt und sich so den Nachbau der Funkstrecke gespart, aber der Aufbau aus Sender und Empfänger für die eigentliche Transpondertechnik ist keine Raketen-Wissenschaft. Jetzt das abgegriffenen Siganl per WLAN oder gar LTE bi-direktional weiter zu transportieren ist reine Fleißarbeit.

Ich bin froh, dass mein nächstes Auto diese Funktion nicht hat. Aber ich werde mich sicher ärgern, wenn die Teilkaskotraife aufgrund erhöhter Diebstahlzahlen steigen. Eine Differenzierung bei den Versicherern, ob man ein Auto mit oder ohne Keyless Entry hat, wäre wünschenswert und fair. Und noch besser: Die Auto-Industrie sollte sich mal ein paar Gedanken mehr machen, wie man so ein System sicher machen kann. Oder ist ein geklautes Auto auch ein verkauftes Auto? Ein Schelm, der Böses vermutet.

Weiterlesen
  14091 Aufrufe
  0 Kommentare
14091 Aufrufe
0 Kommentare

Computervirus in Atomkraftwerk Gundremmingen entdeckt

Computervirus in Atomkraftwerk Gundremmingen entdeckt

 

Die dpa meldet am 25.04.2016: Im bayerischen Atomkraftwerk Gundremmingen ist ein Computervirus entdeckt worden. Die Schadsoftware sei bei der Vorbereitung der Revision in Block B aufgefallen, teilte das Kraftwerk mit. Eine Gefährdung des Personals oder der Bevölkerung habe es nicht gegeben, da alle sensiblen Bereiche des Kraftwerks entkoppelt und nicht mit dem Internet verbunden seien…

Liebe Leute, langsam heißt es aufwachen. Vor wenigen Tagen warnte der neue BSI-Präsident Arne Schönbohm vor Toten durch Hackerangriffe auf Autos. Jetzt ein Computer-Virus (wie immer) im nicht-nuklearen Teil eines Atomkraftwerks. Schon „visionär“, was ich seit gut zwei Jahren in zahlreichen Vorträgen (u.a. Car-Forensics) zum Thema IT-Sicherheit im Internet der Dinge erzähle… oder einfach nur offensichtlich? Bei allen Chancen der Digitalisierung der Vernetzung und Digitalisierung bitte die Sorgfalt bei der Daten- und IT-Sicherheit nicht vergessen. Das ist eine Top-Prio! Denn was nützt das tollste System, wenn es Ihnen nicht mehr gehört?

P.S. Und das Video, war eigentlich nur zur Einstimmung in das Thema IT-Sicherheit und nicht als Blaupause und Vorlage für einen Systementwurf gedacht…

Weiterlesen
  16660 Aufrufe
  0 Kommentare
16660 Aufrufe
0 Kommentare

IHK-Technologieausschuss unterstützt "Digital Hub Aachen"

IHK-Technologieausschuss unterstützt "Digital Hub Aachen"

IHK-Technologieausschuss unterstützt "Digital Hub Aachen"

Der Industrie- und Technologieausschuss der Industrie- und Handelskammer (IHK) Aachen hat sich für die Etablierung eines Digitalisierungszentrums in Aachen ausgesprochen. "Unsere Region ist ein international anerkannter Standort für Forschung und Innovation. Auf der digitalen Landkarte kommt das leider noch nicht zum Ausdruck", sagt die Ausschussvorsitzende und IHK-Vizepräsidentin Stefanie Peters, geschäftsführende Gesellschafterin der NEUMAN & ESSER GROUP.

Ein "Digital Hub" bringe Anwender aus Industrie und Dienstleistung sowie digitale Start-up-Betriebe und den IT-Mittelstand an einem Ort zusammen und mache Aachen als IT-Standort überregional sichtbar.

Mit dem Konzept "aachen digitalisiert" will sich die Region Aachen an der öffentlichen Ausschreibung des Landes NRW zu "Digitale Wirtschaft NRW – Hubs" bewerben. Die auf das Engagement von Dr. Oliver Grün, Vorstand der GRÜN Software AG, zurückgehende Initiative hat laut IHK-Angaben bereits renommierte Unterstützer gewonnen.

Vielleicht ist das auch etwas für Sie?

Weiter lesen unter: https://www.aachen.ihk.de/innovation/Innovation/IHK-Technologieausschuss_unterstuetzt_Digital_Hub/3328680

Weiterlesen
  9495 Aufrufe
  0 Kommentare
9495 Aufrufe
0 Kommentare