Am 08.05.2014 berichtete das WDR Fernsehen im Rahmen der Aktuellen Stunde in der Lokalzeit Aachen zwischen 19:30 Uhr und 20:00 Uhr über unser Forschungsprojekt Car-Forensics und die Zusammenarbeit mit der FH-Aachen.
In der Ausgabe 3.15 der Zeitschrift Mobile Business geht es unter anderem um das Thema Car-IT und das Versenden von Daten aus modernen Kfz. Ab Seite 28 gibt es dazu auch Statements und Einschätzungen aus der Forschungsarbeit Car-Forensics von Thomas Käfer.
Einen Online-Auszug und Infos zum Bezug gibt es hier:
http://www.it-zoom.de/mobile-business/e/sensorik-in-automobilen-sammelt-daten-10384/
Es gilt nicht nur "Suppor your local dealer", sondern auch, interessante lokale Projekte des Nachwuchses zu unterstützen. Deshalb haben wir gerne mit unserer Anzeige die Schülerzeitung des Gymnasium Würselen unterstützt.
Ein schöner Schlusspunkt für eine erfolgreiche Messe. Der Vortrag zum Thema Car-Forensics ist sehr gut besucht gewesen und gut angekommen. Und vor allem: Danach gabe es ganz heisse Kontakte zur Zielgruppe. Jetzt packen wir zusammen und irgendwann in der Nacht ist dann Feierabend!
Unsere erste Besucherin heute morgen auf unserem Messestand: Frau Ministerpräsidentin Kraft informierte sich über die Kombination von Ladenlokal und Onlineshop mit QR-Code-Shopping. Beinahe hätte ich ihr ein Modellauto verkauft..
Besuch von Wissenschaftsministerin Svenja Schulze und Wirtschaftsminister Garrelt Duin (NRW) an unserem CeBIT-Stand. Frau Schulze wollte die Twinbag-Tasche haben... Unser Präsenationskonzept mit unserem Media Showcase geht auf und findet allgemein Beachtung. Like.
... und auch dieser Dreh ist im Kasten. Der WDR berichtet demnächst in der Lokalzeit Aachen über uns und unseren Media-Showcase. Danke für die exzellente Pressearbeit an meine Frau Michaela.
Das war eine Punktlandung. Am Freitag dem 13.03.2015 um 14:00 Uhr hieß es: Einpacken! Und das im positiven Sinne. Der letzte Checkup des Media-Showacse, Medien eingespielt, Dokumentation komplettiert und Dies und Das für die Messe eingepackt. Der Wagen ist beladen und am Sonntag früh geht es auf nach Hannover. Besuchen Sie uns in Halle 6 Stand 18.
Übrigens: Am Montag 16.03.2015 19:30 WDR Fernsehen Lokalzeit Aachen einschalten. Der WDR berichtet über uns und unseren Messeauftritt. Wir sind gespannt!
Heute ist die März-Ausgabe der Wirtschaftlichen Nachrichten der IHK Aachen erschienen. Deren Lektüre möchten wir Ihnen besonders ans Herz legen, da nicht nur unsere Aktivitäten auf Seite 19 und 24-27 erwähnt werden, sondern sich das Schwerpunktthema der Ausgabe um IT, die CeBIT und die Digialisierung der Wirtschaft dreht.
Die Verwunderung war groß, als ich vor einigen Tagen vom Veranstalter einer Messe per Briefpost angeschrieben wurde und ich mich für die Teilnahme an einer Eröffnungsfeier registrieren sollte. Auf dem Brief entdeckte ich das mir wohlbekannte und einige Tage zuvor online eingegebene Passwort im Klartext abgedruckt wieder.
Ich sollte mich nun mit der ebenfalls abgedruckten Kennung im Online-System des Messeveranstalters anmelden und meine Teilnahme bestätigen. Als besonderen Service bot man mir als Option an, das Schreiben einfach mit einem entsprechenden Kreuzchen versehen per FAX an den Messeveranstalter zurückzusenden. Damit nicht genug. Hatte man als Benutzer sein Passwort (und / oder seine Benutzerkennung) vergessen, so konnte man sich dieses über einen Klick im Anmeldeprozess des Online-Systems per E-Mail zusenden lassen. Auch hier wurden Kennung und Passwort zusammen und vollkommen unverschlüsselt übertragen.
Auch ein großer deutscher Technologie-Verein machte bis Ende 2014 einen vergleichbaren Fehler. Als ich mein Passwort für das Login der ePaper-Ausgabe der Mitgliederzeitung vergessen hatte, auf den Link "Passwort vergessen" klickte und ich ? so wie sich herausstellte ? per E-Mail um den Passwort-Rest bitten musste, sandte mir ein Sachbearbeiter Kennung und das von mir damals eingegebene Passwort im Klartext per E-Mail zu. Beide Verfahren entsprechen aus mehreren Gründen nicht dem Stand der Technik und sind aus IT-Sicherheitssicht vollkommen indiskutabel.
Man vertraut als User darauf, dass Passwörter nicht ausgelesen werden können, denn sie sind nach herrschender Meinung grundsätzlich gehashed/verschlüsselt abzuspeichern. Hierbei wird durch ein Verfahren (Falltüralgorithmus) das Passwort bei der Eingabe so zerhackt (Hash), dass man den Hash-Wert nicht mit verhältnismäßigem Aufwand auf das eigentliche Klartext-Passwort zurückführen kann. In der Datenbank wird dann nur der Hash-Wert gespeichert. Bei einem erneuten Login wird das Passwort wieder mit demselben Algorithmus zerhackt und dessen Hash-Wert mit dem gespeicherten verglichen. Stimmen beide Hash-Werte überein, weiß das System, dass das eingegebene Passwort richtig ist. Damit wird verhindert, dass ein Angreifer, der sich unberechtigt Zugang zur Datenbank verschafft hat, die Passwörter im Klartext auslesen und für andere Zwecke missbrauchen kann. Zudem wird sichergestellt, dass auch berechtigte Benutzer ein Passwort nicht auslesen und damit Missbrauch betreiben könnte.
Und dann versendet man nicht gehashte Passwörter auch nicht unverschlüsselt per E-Mail. Um ein solches Passwort im Datenstrom im Internet mitlesen zu können, braucht man nicht bei der NSA angestellt zu sein. Das kann jeder, der kurzfristig Zugriff auf die unverschlüsselt übertragenen bzw. abgelegten Nachrichten bekommt.
Beide Unternehmen haben u.a. auf meine Intervention die Verfahren zwischenzeitlich deaktiviert bzw. umgestellt. Eine Hinweispflicht (nach BDSG oder TMG) gegenüber den Betroffenen bzw. der Datenschutzaufsichtsbehörde darüber, dass sie die Passwörter kennen und zumindest zeitweise unverschlüsselt gespeichert und auf Anforderung auch unverschlüsselt verschickt haben, sehen beide Institutionen nicht. Das mag bei gemäß der Gesetzestexte rechtskonform sein ? mit der Einhaltung von IT-Sicherheitsgrundregeln sowie einem kundenorientierten und verantwortungsvollen Umgang mit sensiblen personenbezogenen bzw. Zugangs-Daten hat das m.E. jedoch wenig bis gar nichts zu tun.
Dislike.
CeBIT: Neues Forum für die Sicherheit - Business Security Forum in Halle 6/K02
Vom 16. - 20. März 2015 organisiert der SecuMedia Verlag auf der CeBIT in Halle 6 ein attraktives Vortragsprogramm im neuen Business Security Forum. Das Forum ist für jeden CeBIT-Besucher offen und ohne Registrierung zugänglich.
Angesichts häufiger Datenpannen und vermehrter Angriffe auf Office- wie auch auf die Industrie-IT müssen sich Unternehmen und Behörden verstärkt um den Schutz von Daten und um die Sicherheit ihrer Systeme kümmern.
Eine gute Gelegenheit bietet sich hierzu auf der CeBIT 2015. Im Umfeld des Security-Ausstellungsbereichs in Halle 6 finden auf dem neuen Business Security Forum ganztägig Fachvorträge und Diskussionen zum Thema Cyber-Sicherheit statt. Sowohl für die Unternehmensleitung als auch für Security-Spezialisten liefert das Programm spannende und praxisnahe Informationen.
Experten informieren in 20-minütigen Kurzvorträgen über aktuelle IT-Sicherheitsthemen wie Apps, Internet of Things, Verschlüsselung, Netzwerke, Datenschutz, SIEM, Industrial IT-Security, Patchmanagement, BYOD, Cloud, Car-Forensic, Firewalls.
Ein Highlight am Montag ist die Vortragsreihe des Cyber-Sicherheitsrates zu den Gefahren im Automotive-Bereich. Das Mercator Institute for China Studies gibt im Anschluss einen Einblick in Chinas IT-Security-Strategie. Außerdem zeigt White-Hat-Hacker Sebastian Schreiber täglich Live-Hacking-Demos mit Angriffen auf Webapps, mobile Endgeräte, Kryptosysteme und iOS-Apps. Am Donnerstag startet das Programm mit Marco Di Filippo und Hacking ?am Fließband? - Angriffe auf Industrial Control Systems (ICS) und am Freitag endet der Tag mit Kfz-Forensik von Thomas Käfer inklusive einer Hacking-Session.
Thomas Käfer wurde am 02.02.2015 erneut für weitere fünf Jahre in den Prüfungsausschuss für IT Fachinformatiker der IHK Aachen berufen. Ehrensache, dass er da weiter mitmacht.
Käfer IT Systeme e.K.
Dipl.-Ing. Thomas Käfer, M.Sc.
Elchenrather Weide 20
D-52146 Würselen
Tel. +49(0)2405/47949-0
E-Mail: Service@KaeferLive.de
Ihr Problem ist unsere Aufgabenstellung.