Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Vortrag: Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld

Jetzt schon Termin vormerken: Am 09.10.2018 um 17:30 Uhr findet im Rahmen des 27. Aachener Kolloquium Fahrzeug- und Motorentechnik von ika/vka der RWTH Aachen der Vortrag "Effiziente und richtige IT-Sicherheitstests im Automotive-Umfeld" von Thomas Käfer statt.

Ort: Eurogress Aachen

Weitere Infos und Anmeldung zum Kolloquium: https://www.aachener-kolloquium.de/de/

Weiterlesen
  24620 Aufrufe
  0 Kommentare
24620 Aufrufe
0 Kommentare

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Car-Forensics auf dem 27. Aachener Kolloquium Fahrzeug- und Motorentechnik am 08.10. bis 10.10.2018

Wir sind wieder dabei und freuen uns über die Einladung von Prof. Lutz Eckstein und Prof. Stefan Pischinger, nun zum dritten Mal einen Vortrag zum Thema Car-Forensics halten zu dürfen. Der Titel des Vortrags von Dipl.-Ing. Thomas Käfer, M.Sc lautet diesmal:

Effektive und richtige IT-Sicherheits-Tests im Automotive-Umfeld

Also: Schon einmal Termin vormerken oder am besten direkt buchen, denn die Teilnehmerplätze sind erfahrungsgemäß begrenzt und begehrt.

https://www.aachener-kolloquium.de/

Weiterlesen
  21580 Aufrufe
  0 Kommentare
21580 Aufrufe
0 Kommentare

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Kommt nach der Datenschutz-Grundverordnung bald auch eine Datensicherheits-Grundverordnung?

Am 25.05.2018 tritt die EU-Datenschutz-Grundverordnung in Kraft und verpflichtet alle Akteure, die Dienstleistungen und Waren in der Europäischen Union anbieten und letztlich personenbezogene Daten erheben, speichern und/oder verarbeiten zu einem sorgsamen Umgang mit selbigen. Und das gilt damit erstmalig auch für Institutionen, die außerhalb der EU ansässig sind, aber in der EU tätig werden. Und wer sich nicht an die Regeln hält, dem drohen saftige Bußgelder bis zu 20 Mio. Euro oder 4% des Gesamtumsatzes eines Jahres des kompletten Konzerns, je nachdem was höher ausfällt.

Und was wird geschützt? Personenbezogene Daten natürlicher lebender Personen, also z.B. Adressen, Geburtsdaten bis hin zu besonders schützenswerten Gesundheitsdaten oder Informationen über Rasse, Religion, politischer Einstellung usw..

Schön. War längst überfällig und eigentlich selbstverständlich. In Deutschland haben wir uns darum dank BDSG schon seit Jahrzehnten kümmern müssen. Jetzt trifft es auch die Mitbewerber im Ausland.

Aber ist Datenschutz wirklich so wichtig oder gibt es vielleicht etwas, das noch viel wichtiger ist?

Richtig. Wie sieht es denn mit dem Recht auf Datensicherheit aus? Viele leiten aus dem Begriff „Datenschutz“ einen allumfassenden Schutz ihrer Daten ab. Schön wär’s.

In den Datenschutznormen ist zwar auch die Einhaltung von grundlegenden IT-Sicherheitsregeln vorgeschrieben, aber in dem Moment, wo keine personenbezogenen Daten direkt betroffen sind, ist die Missachtung von IT-Sicherheit in Produkten und Dienstleistungen praktisch vollkommen sanktioniert.

Unser nationales IT-Sicherheitsgesetz suggeriert, dass IT-Sicherheit per Gesetz geregelt wäre, aber das betrifft nur kritische Infrastrukturen (wie beispielsweise etwa Strom- und Wasserversorger) und eben nicht das 08/15 IT-Produkt oder Programm für Lieschen Müller.

Wenn dann Daten auf einmal weg sind oder IT-Systeme kompromittiert worden sind, ist das Geheule groß. Jemanden dafür haftbar zu machen, ist in der Praxis äußerst schwierig. Und auch wenn man (noch ohne Schaden) eine IT-Sicherheitslücke entdeckt (die es zuhauf gibt), bleibt das für den Verursacher / Anbieter ebenfalls meist folgenlos. Selbst wenn er die Lücke nicht schließt, bekommt man ihn nicht so einfach zu fassen.

Wäre es angesichts zunehmender Digitalisierung und Durchdringung der IT in allen Lebensbereichen nicht dringend notwendig, auch die Implementierung von IT-Sicherheit nach einem aktuellen Stand der Technik in jedem Produkt zu fordern und dessen Fehlen bzw. Mangelhaftigkeit zu pönalisieren? Was ist, wenn die Produktion eines Unternehmens aufgrund eines eigentlich abwehrbaren IT-Vorfalls ausfällt? Was ist, wenn ein voll-automatisiert fahrendes vernetzets Fahrzeug mit 130 km/h gegen die Wand fährt, weil es eine Sicherheitslücke gab, die ein Hacker zum Spaß ausgenutzt hat? Was ist, wenn das Haus abbrennt, weil der internetfähige Toaster durch Schadcode überlastet wurde?

Einen Teil davon kann man über Versicherungen abfedern. Aber es bleiben erhebliche Risiken für Vermögen, Leib und Leben, denn wir reden nicht mehr allein von Daten oder Geld, die weg sind. Im Internet der Dinge reden wir von echten Bedrohungen durch mangelhafte IT-Sicherheit.

Bei aller digitaler Aufbruchsstimmung lohnt es sich daher, auch über IT-Sicherheit zur Not über eine Verordnung und einen gesetzlichen Anspruch nachzudenken. Alles andere wäre fahrlässig und kurzsichtig.

Und für die Gerichte wäre es durchaus sinnvoll, wenn mangelhafte oder fehlende IT-Sicherheit als Produktmangel definiert würde. Das würde den Druck auf die Anbieter erhöhen, ihren Job in Punkto IT-Sicherheit besser zu machen, als das jetzt der Fall ist. Denn eine mal schnell hin gerotzte App mit Sicherheitslücken ist weder digitale Transformation noch ein Leuchtturmprojekt, sondern eine Sackgasse.

Viele Entwickler und Anbieter empfinden IT-Sicherheit als hinderlich und kostspielig. Der Verzicht darauf wird noch kostspieliger und letztlich erhöht die Berücksichtigung von IT-Sicherheit bereits beim Produktdesign auch die Produktqualität.

Jetzt müsste nur jemand den Gedanken mal aufgreifen und weiter diskutieren…

P.S. Und bis es eine Verordnung gibt, könnten wir ja schon einmal anfangen, freiwillig konsequent IT-Sicherheit in unsere Produkte und Dienstleistungen einzubauen.

 

Weiterlesen
  23450 Aufrufe
  0 Kommentare
23450 Aufrufe
0 Kommentare

BMW und Digitalisierung: Eine Never Ending Story...

BMW und Digitalisierung: Eine Never Ending Story...

BMW und Digitalisierung: Eine Never Ending Story...

BMW Connected Drive des vor 1 1/2 Jahren an den Händler nach Auslauf des Leasings und des Connected Drive Abos zurückgegeben BMW 330d meldet sich über den Händler bei mir und macht mich auf einen in 2000km anstehenden Ölwechsel aufmerksam.

Das versteht also BMW (Werk und Händler) unter Datenschutz, Datensicherheit und nicht zuletzt unter Kundendienst. Es ist ja "schön", dass der BMW ans Werk und an den Händler meldet, dass eine Inspektion ansteht. Doof nur, wenn diese Info dann an den ehemaligen und nicht den aktuellen Besitzer geht. Nicht nur dass mich das recht wenig interessiert (den jetzigen Besitzer schon eher), es zeigt, dass der Händler es mit den Kundendatensätzen nicht so genau nimmt (er lässt mich aber seitenweise Einverständniserklärungen ausfüllen) und dass auch die Verknüpfung zwischen Fahrzeug und meinem nach wie vor aktiven ConnectedDrive-Account nicht getrennt ist. Ich kann nach 1 1/2 Jahren immer noch "mein" altes Auto im Portal "sehen" und ich habe mir mal den Spass erlaubt, einen neuen Sicherheitscode zur Freischaltung der Funktionen, Orten, Hupen und Öffnen des Fahrzeug an das Auto zu senden. Wenn der jetzige Besitzer so gutgläubig ist und im HMI-Display den von mir gesendeten Code "1234" bestätigt (User machen solche dummen Sachen), sollte ich sein Auto wieder orten und öffnen können. Nee mache ich dann nicht - war nur Spaß!

Das ganze ist mal wieder ein gutes Beispiel dafür, dass weder BMW irgendetwas von dem verstanden hat, was ich in Bezug auf ConnectedDrive in meiner Forschungsarbeit Car-Forensics bemängelt habe, noch, dass Kundendaten von Werk und Händler wirklich sensibel behandelt werden.

Aber BMW sitzt da in guter Gesellschaft ziemlich arrogant auf hohem Ross... ... nur: so wird das nichts mit der Digitalisierung.

Weiterlesen
  17980 Aufrufe
  0 Kommentare
17980 Aufrufe
0 Kommentare

Datenschutz ist nicht Datensicherheit

Datenschutz ist nicht Datensicherheit

Datenschutz ist nicht Datensicherheit

Im Würselener Super Sonntag vom 22.01.2017 ist auf der Titelseite ein großer Bericht mit dem Thema "Datenschutz wird für uns alle immer wichtiger" zu lesen, der leider so ziemlich gar nichts mit Datenschutz zu tun hat. Gemeint ist viel mehr das Thema Datensicherheit. Und auch der im Artikel als Experte zu Wort kommende Professor Rumpe der RWTH Aachen verwechselt Datenschutz mit Datensicherheit oder wurde vom Autor des Artikels missverstanden. Datenschutz mit Datensicherheit zu verwechseln ist ungefähr wie zu sagen "Wasser kocht bei 90 Grad", aber man eigentlich den rechten Winkel...

Warum die Korinthenkackerei? Beide Themen sind wichtig, haben aber einen komplett anderen Fokus und werden leider oft durcheinander geworfen (mit nicht unerheblichen Folgen).

  • Datenschutz: Schutz von personenbezogenen Daten (natürlicher lebender Personen) vor missbräuchlicher Nutzung durch die erfassenden oder weiter verarbeitenden Benutzer.
  • Datensicherheit: Schutz der Daten vor missbräuchlicher Nutzung oder Einsichtnahme durch fremde Dritte (Angreifer von außen).
  • Und um den Reigen komplett zu machen - Datensicherung: Schutz der Daten vor Verlust oder Zerstörung durch Rückgriff auf gesicherte Versionen.

In der Kombination der drei Themenfelder wird ein Schuh draus: Die Datenschutzgesetze verlangen von demjenigen, der fremde personenbezogenen Daten verarbeitet oder speichert entsprechende Maßnahmen zur Sicherstellung der Datensicherheit und vorbeugenden Gegenmaßnahmen gegen Verlust der Daten (Datensicherung).

Ein für den Tenor des Berichts typischer Satz wie „Unglücklicherweise führen auch die komplexen, für die Bundesländer auch noch unterschiedlichen Vorschriften (aus dem Kontext Datenschutzvorschriften) eher dazu, dass die Nutzer („Eigentümer“ seiner Daten) den Datenschutz nicht adäquat umsetzen, weil er zu viel Aufwand kostet“ ist schlichtweg Blödsinn. Das suggeriert, dass der Nutzer für die Einhaltung des Datenschutzes gesetzlich verantwortlich wäre. Tatsächlich ist das der Betreiber eines Systems, dass mit den Nutzerdaten arbeitet. Und der muss sich um die Einhaltung von Datensicherheitsstandards kümmern. Gleiches sollte der Nutzer im Eigeninteresse tun. Letzteres scheitert beim Nutzer gerade nicht an komplexen Vorschriften, sondern meist an der Bequemlichkeit oder Unwissenheit - Trotzdem kein Grund oder eine Entschuldigung, dass man sich nicht um die Absicherung seiner eigenen Systeme und Daten gegen Angreifer kümmert. Und schon gar keine Entschuldigung für den Betreiber eines Systems.

Alles in allem ist das ein hochkomplexes Zusammenspiel der drei Themenfelder. Aber man könnte ja auch mal jemanden fragen, der sich damit auskennt. Und auch wenn der Super Sonntag kein Fachblatt für IT-Sicherheit und Datenschutz ist: So, wie in diesem Artikel gemacht, ist das eher ein Bärendienst für Datenschutz und Datensicherheit. Dislike.

Dipl.-Ing. Thomas Käfer, Master of Science Digitale Forensik und ö.b.u.v. Sachverständiger für Systeme und Anwendungen der Informationstechnologie

Link zum Artikel

 

Weiterlesen
  28410 Aufrufe
  0 Kommentare
28410 Aufrufe
0 Kommentare

Car-Forensics auf der Leetcon am 02.11 und 3.11.2016 in Hannover

Car-Forensics auf der Leetcon am 02.11 und 3.11.2016 in Hannover

Am 02.11. und 03.11.2016 findet die Leetcon in Hannover statt. Das Symposium für IT-Sicherheit beschäftigt sich u.a. auch mit dem Thema der IT-Sicherheit im Automobil. Klar, dass auch Thomas Käfer mit seinem Thema "Car-Forensics" dabei ist. Die gute Nachricht: Es gibt noch Last-Minute-Tickets!

Weitere Infos zur Veranstaltung: https://leetcon.de/

Weiterlesen
  18815 Aufrufe
  0 Kommentare
Markiert in:
18815 Aufrufe
0 Kommentare

Audi deaktiviert Sprachsteuerung bei Cabrios wegen Fehlfunktionsmöglichkeit durch Nebengeräusche

Audi deaktiviert Sprachsteuerung bei Cabrios wegen Fehlfunktionsmöglichkeit durch Nebengeräusche

 

Also bei Audi überrascht mich so schnell nichts mehr. Oder doch? Bei allen Audi Cabrios wird vom Werk aus die Sprachsteuerung deaktiviert, obwohl sie für teures Geld im Lieferumfang des Navigationssystems MMI Plus enthalten, beworben und bezahlt worden ist.

Die offizielle Erklärung des Händlers: Durch die Nebengeräusche beim Cabrio kann es zu Fehlfunktionen kommen, da ein Kommando nicht richtig verstanden werden könnte.

Die Lösung: Audi schaltet einfach die Funktion ab und bei Druck auf die Taste am Lenkrad kommt nur „SDS nicht verbaut“.

Ein starkes Stück deutscher Wertarbeit. Zum einen soll das ebenfalls gegen Aufpreis erhältliche Akustikverdeck die Nebengeräusche ja minimieren und zum anderen ist dem Benutzer wohl klar, dass die Tante hinter der Sprachsteuerung bei offenem Verdeck und 130 km/h nicht so wahnsinnig viel verstehen kann. Kunden sind normalerweise nicht doof, sie werden nur manchmal zum Narren gehalten. Bei normaler Fahrt und geschlossenem Verdeck geht das also schon. Und mal ganz ehrlich: Beim geschlossenen Audi A4 Avant mondscheinblaumetallic versteht die Dame oft auch nur Bahnhof. Man versuche nur mal, mit „Fahr mich zum Nürburgring“ auch nur in die Nähe der Rennstrecke zu kommen…

Vielleicht sollte man mal daran arbeiten, die Sprachsteuerung zu verbessern, anstatt aufzugeben und sie vorsorglich abzuschalten. Fair wäre dann wenigstens, wenn der Kunde darüber vorher informiert würde.

 

Weiterlesen
  14983 Aufrufe
  0 Kommentare
14983 Aufrufe
0 Kommentare

25. Aachener Kolloquium für Fahrzeug- und Motorentechnik der RWTH Aachen

25. Aachener Kolloquium für Fahrzeug- und Motorentechnik der RWTH Aachen

Vom 10. bis 12.10.2016 fand im Aachener Eurogress die 25. Ausgabe des Aachener Kolloquium für Fahrzeug- und Motorentechnik der Institute IKA und VKA der RWTH Aachen statt. Dipl.-Ing. Thomas Käfer, M.Sc. referrierte in diesem Kontext zum zweiten Mal zum Thema Car-Forensics.

Der Vortrag "Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – oder: Was wir von den Hackern lernen können“ fand am 11.10.2016 um 15:30 Uhr im Saal Brüssel im Aachener Eurogress statt.

Moderne Automobile sind rollende Computer mit einer überbordenden Komplexität. Mit dem Ziel, diese Fahrzeuge immer mehr untereinander und mit Verkehrsinfrastrukturen zu vernetzen und in letzter Konsequenz voll-automatisiert oder gar autonom fahren zu lassen, haben sich die Hersteller einiges vorgenommen. Betrachtet man jedoch, wie unbedarft und fahrlässig vielfach aktuelle Systeme, die im Auto verbaut sind oder mit diesem gekoppelt werden, entwickelt und realisiert werden, ist das Vertrauen in die Sicherheit (Safety und Security) unbegründet. Im Vortrag wird exemplarisch angesprochen und gezeigt, wie leicht sich solche Systeme angreifen und manipulieren lassen und dass es durchaus realistische Missbrauchsszenarien gibt, die die Betriebssicherheit und den verantwortungsvollen Umgang mit aufgezeichneten und übertragenen Daten gefährden. Schwerfällige und oft veraltete Entwicklungsmethoden und -zyklen sind nicht geeignet, auf die schnelllebigen Herausforderungen zu reagieren, um einerseits die Kundenerwartung zu erfüllen und andererseits die Integrität der Systeme wirksam zu schützen.

Nach dem Motto „Gefahr erkannt – Gefahr gebannt“ werden zu den jeweiligen Angriffsvektoren und Missbrauchsszenarien sinnvolle vorbeugende Gegenmaßnahmen und veränderte Vorgangsmodelle angesprochen.

Der Vortrag basiert auf den Ergebnissen der gleichnamigen Forschungsarbeit Car-Forensics, die im September 2015 veröffentlicht und seither durch immer wieder durch neue Untersuchungen und Erkenntnisse aktualisiert wurde sowie auf praktischen Erfahrungen im Bereich Penetration-Testing im Automobilumfeld.

Weitere Information zur gesamten Tagung finden sich hier: http://www.aachener-kolloquium.de

 

 

 

Weiterlesen
  13505 Aufrufe
  0 Kommentare
13505 Aufrufe
0 Kommentare

Skript zum Vortrag Car-Forensics/Digitale Kfz-Forensik 2.0 2016

Skript zum Vortrag Car-Forensics/Digitale Kfz-Forensik 2.0 2016

Skript zum Vortrag Car-Forensics/Digitale Kfz-Forensik 2.0 2016 erhältlich

Für diejenigen, die den Vortrag Car-Forensics schon gehört haben und gerne noch etwas nachschlagen möchten und diejenigen, die den Vortrrag verpasst haben, gibt es jetzt die Folien und das Skript als Download.

Car-Forensics 2.0 - Fahrzeugvernetzung und IT-Sicherheit im Automobil kritisch betrachtet – oder: Was wir von den Hackern lernen können“ nennen.  

Skript enthält Folien und formulierten Text zu den Folien als Erklärung. 59 Seiten DIN A4 als PDF - Nur zur persönlichen Nutzung - Keine Weitergabe an Dritte - Kein Veröffentlichungsrecht ausch auszugsweise enthalten.

Dieser Artikel ist veraltet - Bei Interessean einer aktuallen Version melden Sie sich bitte per E-Mail bei uns: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Weiterlesen
  15281 Aufrufe
  0 Kommentare
15281 Aufrufe
0 Kommentare

Tesla meldet den ersten tödlichen Unfall mit der Autopilot-Funktion

Tesla meldet den ersten tödlichen Unfall mit der Autopilot-Funktion
Tesla bedauert den Unfall, sagt aber, dass das System des automatisierten Fahren noch in der Testphase ist und der Fahrer immer die Hände am Lenkrad haben muss. Damit wird so ein System ad absurdum geführt.
 
 
Vorschlag: Noch 20 Jahre weiter entwickeln und es dann noch einmal versuchen. Ehrlich gesagt verwundert es mich, dass nicht schon früher etwas passiert ist - siehe dazu mein Posting vom 11.11.2015: https://www.kaeferlive.de/index.php/news/kaeferlive-blog/entry/meinung-tesla-liefert-software-update-fuer-automatisiertes-fahren-aus-und-hier-hoert-der-spass-sofort-schon-wieder-auf
 
 
 
Weiterlesen
  11797 Aufrufe
  0 Kommentare
11797 Aufrufe
0 Kommentare

By accepting you will be accessing a service provided by a third-party external to https://www.kaeferlive.de/