Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Dipl.-Ing. Thomas Käfer, M.Sc. mit dem Thema Car-Forensics 2.0 beim 25. Aachener Kolloquium der RWTH Aachen

Dipl.-Ing. Thomas Käfer, M.Sc. mit dem Thema Car-Forensics 2.0 beim 25. Aachener Kolloquium der RWTH Aachen

Once again! Auch in diesem Jahr sind wir wieder dabei, wenn die RWTH Aachen federführend durch das IKA Prof. Lutz Eckstein und das VKA Prof. Stefan Pitschinger vom 10. bis zum 12. Oktober 2016 im Aachener Eurogress das Aachener Kolloquium veranstaltet. Erwartet werden rund 1.800 Teilnehmer aus 25 Nationen, die sich über den aktuellen Stand der Forschung und Entwicklung im Bereich Fahrzeug- und Motorenbau informieren wollen. Dipl.-Ing. Thomas Käfer, M.Sc. referiert unter dem Stichwort Car-Forensics 2.0 über aktuelle Neuigkeiten im Bereich der IT-Sicherheit von Fahrzeugen und mit vernetzen Infrastrukturen sowie über Angriffsmöglichkeiten und Konzepte, wie man solche Angriffe erschweren und abwehren kann. Ein Muss für jeden Entwickler, denn auch und gerade Safety-relevante Systeme im Fahrzeug können durch Fehler bei der IT-Security erheblich in ihrer Funktion und Betriebssicherheit beeinträchtigt werden - bis hin zum Totalausfall.

Weiterführende Informationen und Anmeldung: http://www.aachener-kolloquium.de/

Bewerte diesen Beitrag:
Weiterlesen
8628 Aufrufe
0 Kommentare

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Wir haben ja bereits im März 2016 in einem Blog-Beitrag davon berichtet: Keyless Entry beim Auto ist nicht sicher. Und wir wollten den Test-Aufbau mit Billig-Equipement nachbauen. Das haben wir uns zwischenzeitlich gespart, denn der ADAC und die Autobild waren schneller.

Nun hat zum Einen der ADAC in einem Test an aktuellen Modellen nachgewiesen, dass man Modelle verschiedener Hersteller mit einem Funkreichweitenverlängerer entwenden kann. Aber auch die Autobild war aktiv und zusammen mit dem CCC einen Bastelaufbau im Wert von 30,- € dazu benutzt, das Funksignal zwischen Schlüssel und Fahrzeug zu verlängern. Zugegeben: Sie haben in diesem Fall noch ein langes Kabel als Verlängerung benutzt und sich so den Nachbau der Funkstrecke gespart, aber der Aufbau aus Sender und Empfänger für die eigentliche Transpondertechnik ist keine Raketen-Wissenschaft. Jetzt das abgegriffenen Siganl per WLAN oder gar LTE bi-direktional weiter zu transportieren ist reine Fleißarbeit.

Ich bin froh, dass mein nächstes Auto diese Funktion nicht hat. Aber ich werde mich sicher ärgern, wenn die Teilkaskotraife aufgrund erhöhter Diebstahlzahlen steigen. Eine Differenzierung bei den Versicherern, ob man ein Auto mit oder ohne Keyless Entry hat, wäre wünschenswert und fair. Und noch besser: Die Auto-Industrie sollte sich mal ein paar Gedanken mehr machen, wie man so ein System sicher machen kann. Oder ist ein geklautes Auto auch ein verkauftes Auto? Ein Schelm, der Böses vermutet.

Bewerte diesen Beitrag:
Weiterlesen
9395 Aufrufe
0 Kommentare

Computervirus in Atomkraftwerk Gundremmingen entdeckt

Computervirus in Atomkraftwerk Gundremmingen entdeckt

Die dpa meldet am 25.04.2016: Im bayerischen Atomkraftwerk Gundremmingen ist ein Computervirus entdeckt worden. Die Schadsoftware sei bei der Vorbereitung der Revision in Block B aufgefallen, teilte das Kraftwerk mit. Eine Gefährdung des Personals oder der Bevölkerung habe es nicht gegeben, da alle sensiblen Bereiche des Kraftwerks entkoppelt und nicht mit dem Internet verbunden seien…

Liebe Leute, langsam heißt es aufwachen. Vor wenigen Tagen warnte der neue BSI-Präsident Arne Schönbohm vor Toten durch Hackerangriffe auf Autos. Jetzt ein Computer-Virus (wie immer) im nicht-nuklearen Teil eines Atomkraftwerks. Schon „visionär“, was ich seit gut zwei Jahren in zahlreichen Vorträgen (u.a. Car-Forensics) zum Thema IT-Sicherheit im Internet der Dinge erzähle… oder einfach nur offensichtlich? Bei allen Chancen der Digitalisierung der Vernetzung und Digitalisierung bitte die Sorgfalt bei der Daten- und IT-Sicherheit nicht vergessen. Das ist eine Top-Prio! Denn was nützt das tollste System, wenn es Ihnen nicht mehr gehört?

P.S. Und das Video, war eigentlich nur zur Einstimmung in das Thema IT-Sicherheit und nicht als Blaupause und Vorlage für einen Systementwurf gedacht…

Bewerte diesen Beitrag:
Weiterlesen
11530 Aufrufe
0 Kommentare

IHK-Technologieausschuss unterstützt "Digital Hub Aachen"

IHK-Technologieausschuss unterstützt "Digital Hub Aachen"

IHK-Technologieausschuss unterstützt "Digital Hub Aachen"

Der Industrie- und Technologieausschuss der Industrie- und Handelskammer (IHK) Aachen hat sich für die Etablierung eines Digitalisierungszentrums in Aachen ausgesprochen. "Unsere Region ist ein international anerkannter Standort für Forschung und Innovation. Auf der digitalen Landkarte kommt das leider noch nicht zum Ausdruck", sagt die Ausschussvorsitzende und IHK-Vizepräsidentin Stefanie Peters, geschäftsführende Gesellschafterin der NEUMAN & ESSER GROUP.

Ein "Digital Hub" bringe Anwender aus Industrie und Dienstleistung sowie digitale Start-up-Betriebe und den IT-Mittelstand an einem Ort zusammen und mache Aachen als IT-Standort überregional sichtbar.

Mit dem Konzept "aachen digitalisiert" will sich die Region Aachen an der öffentlichen Ausschreibung des Landes NRW zu "Digitale Wirtschaft NRW – Hubs" bewerben. Die auf das Engagement von Dr. Oliver Grün, Vorstand der GRÜN Software AG, zurückgehende Initiative hat laut IHK-Angaben bereits renommierte Unterstützer gewonnen.

Vielleicht ist das auch etwas für Sie?

Weiter lesen unter: https://www.aachen.ihk.de/innovation/Innovation/IHK-Technologieausschuss_unterstuetzt_Digital_Hub/3328680

Bewerte diesen Beitrag:
Weiterlesen
6194 Aufrufe
0 Kommentare

Wollen wir wirklich ein Verbot von "sexistischer" Werbung und wo ist die Grenze?

Wollen wir wirklich ein Verbot von "sexistischer" Werbung und wo ist die Grenze?

Der Vorstoß einiger Politiker, Nacktheit und Sexismus in der Werbung zu verbieten, löst bei mir schon ein wenig Kopfschütteln aus. Vollkommen klar, wenn eine Frau oder ein Mann rein auf den Eyecatcher und ihre Nacktheit reduziert werden und mit dem beworbenen Produkt so gar nichts zu tun habe, ist schnell die Grenze von gutem Geschmack überschritten und es ist reine Effekthascherei.

Aber wo ist die Grenze? Wollen wir uns wirklich hochgeschlossen angezogene unattraktive Menschen auf Plakaten & Co anschauen. Mal ehrlich: Hässlich sind wir doch schon selbst ;-) zumindest wenn wir un-ge-photoshopt vom Poster lächeln. Da ist mir eine attraktive Frau oder ein gut aussehender Mann schon lieber. Oder müssen wir unserem Avatar "Lena" jetzt Socken anziehen oder sie vollständig gegen namenlose 3D-Figürchen austauschen? Ich glaube, wir haben andere Probleme und Auswüchse und Verstöße gegen den guten Geschmack erledigen sich in der Werbung ganz schnell von selbst.

Bewerte diesen Beitrag:
Weiterlesen
6552 Aufrufe
0 Kommentare

Digitale Forensik ist ein Thema im Innovationsreport der IHK NRW

Digitale Forensik ist ein Thema im Innovationsreport der IHK NRW

"Sicherheit im Netz: Von Malwareanalyse bis zur Kfz-Forensik" titel die IHK NRW im gerade erschienenen Innovationsreport Industrie 2015.

IT-Experte Thomas Käfer informiert über IT-Sicherheit und Digitale Forensik

Auch 2015 hat die IHK Bonn/Rhein-Sieg die Kooperation mit dem Horst-Görz-Institut fortgesetzt und das ITS-Breakfast insgesamt achtmal in den Räumen der IHK Bonn/Rhein-Sieg angeboten. Kooperationspartner sind die XING-Gruppen IT-Connection, IT-Stammtisch Köln, IT-Forum Bonn/Rhein-Sieg und ITS-Breakfast. Zu diesem Expertenforum wurde ausschließlich über das soziale Netzwerk XING eingeladen. Im Durchschnitt nahmen rund 40 Teilnehmer an den Veranstaltungen teil. Neben einem Impulsvortrag zu einem aktuellen IT-Sicherheitsthema bietet das Format vor allem die Möglichkeit der Netzwerkbildung unter Experten. Themen der zurückliegenden Veranstaltungen waren unter anderem das IT-Sicherheitsgesetz, Malwareanalyse, Digitale Kfz-Forensik, Notfallmanagement, Mobile Security und das Erstellen eines Berechtigungsmodells. Aufgrund der weiter großen Aktualität des Themas IT-Sicherheit wird diese Kooperation auch 2016 fortgesetzt.

Die gesamte Broschüre können Sie hier herunterladen: http://www.essen.ihk24.de/blob/eihk24/Innovation/downloads/3183454/2c6842d7ed572bfe7eb5e245c71486e1/Industrie--und-Innovationsreport-2015_2016-data.pdf

 

 

Bewerte diesen Beitrag:
Weiterlesen
8776 Aufrufe
0 Kommentare

ESG und Thomas Käfer veranstalten Halbtagesseminar zum Thema Automotive Security – Grundlagen für Führungskräfte am 08.04.2016 in München/Fürstenfeldbruck

ESG und Thomas Käfer veranstalten Halbtagesseminar zum Thema Automotive Security – Grundlagen für Führungskräfte am 08.04.2016 in München/Fürstenfeldbruck

ESG und Thomas Käfer veranstalten Halbtagesseminar zum Thema Automotive Security – Grundlagen für Führungskräfte am 08.04.2016 in München/Fürstenfeldbruck

In Kooperation mit dem CYBER TRAINING CENTER der ESG hält Dipl.-Ing. Thomas Käfer am 08.04.2016 ein Grundlagenseminar zum Thema Automotive Security in München/Fürstenfeldbruck

Das halbtägige Seminar vermittelt in kompakter Form die IT-Sicherheitsgrundlagen, die spezifisch für den Automotive-Bereich relevant sind. Zu den Inhalten gehören insbesondere:

  • Automotive-Innovationen wie Car2X und autonomes Fahren und damit verbundene IT-Sicherheitsrisiken und Schutzmaßnahmen
  • Zusammenhang von Security und Safety
  • Haftungs-, Datenschutz- und Privacy-Aspekte
  • Bedeutung von Automotive-Forensic
  • Top 10 Code of Conduct-Empfehlungen zu Datensicherheit, -hoheit und -zugriff

Mehr Infos und Anmeldung...

Weitere Termine:

Bewerte diesen Beitrag:
Weiterlesen
10331 Aufrufe
0 Kommentare
Empfohlen

Industrie 4.0 und Digitale Transformation in Deutschland – auf den Punkt gebracht.

Industrie 4.0 und Digitale Transformation in Deutschland – auf den Punkt gebracht.

Industrie 4.0 und Digitale Transformation in Deutschland – auf den Punkt gebracht.

Deutschland ist eine der führenden Industrienationen in der Welt und ist in vielen Bereichen technologischer Vorreiter. Im Bereich Industrie 4.0 und der digitalen Transformation scheint das – wenn man diversen Fachleuten und der einen oder anderen Umfrage Glauben schenken mag – nicht der Fall zu sein. Unermüdlich wird gepredigt, dass Deutschland digital den Anschluss verliert und gerade der Mittelstand in diesem Bereich Nachholbedarf hat. Ob wirklich alles digitalisiert wird, was man digitalisieren kann, mag dahin gestellt sein – vor allem, ob das immer so sinnvoll ist. Und ob am Ende gesamtwirtschaftlich ein Mehrwert geschaffen wurde, erst recht. Denn mit den Vorzeigeprojekten Uber, Airbnb & Co wird nur umverteilt und etablierten Geschäftsmodellen die Grundlage entzogen. Schön für die, die den digitalen Wandel mitmachen und auf so eine tolle Idee gekommen sind. Blöd für die, die Konkurrenz von einer Seite bekommen, aus der sie es nicht erwartet hatten (Beispiel Daimler mit MyTaxi als Konkurrenz zum etablierten Taxi-Geschäft: ob die Taxi-Unternehmen jetzt noch gerne Mercedes kaufen?).

Unbestritten: Wer nicht mit der Zeit geht, geht mit der Zeit und jedes Unternehmen ist gut beraten, sich mit dem Thema Digitalisierung der Geschäftsmodelle auseinanderzusetzen.

Ich fände es aber schon einmal klasse, klein anzufangen und mal die aktuellen IT-Prozess-Probleme anzugehen und das, was beworben wird überhaupt mal zum Fliegen zu bekommen. Ein Anbieterwechsel bei Telefon oder Strom sollte doch heutzutage auf Knopfdruck im Internet zu bewerkstelligen zu sein, oder? Und muss man heute noch faxen? Da wo ich lebe, gibt es kein Fax mehr und E-Mail ist nicht sooo neu (also ich lebe in 2016). Und ein Avatar, der auf der Support-Seite Fragen beantwortet soll, ist auch eine tolle Idee, wenn er oder sie denn wenigsten ein bisschen Grundintelligenz an den Tag legen würde (sorry Sophie: Dislike).

So kämpfe ich seit Tagen und Wochen darum, meine Mobilfunknummer1 von Anbieter1 zu Anbieter 2 und Mobilfunknummer2 von Anbieter1 zu Anbieter3 zu portieren. Das scheitert (wie ähnliche Versuche vor zehn  Jahren) an der Dummheit deren Mitarbeiter und den Systemen (Wer kommt schon auf die Idee, dass man im CRM-System „Käfer EDV Systeme GmbH“ auf Vorname=Käfer EDV Systeme und Nachname=GmbH verteilt, weil im System kein Feld für den Firmennamen vorhanden war? Aus welchem Jahrtausend ist denn diese Software? Hilft übrigens nichts, wenn man das dann als Kunde irgendwann weiß und dem Anbieter 2 und 3 diese Info schon beim Antrag mit auf den Weg gibt. Er macht erst 2-3-mal den erwarteten Fehler und schickt Standard-Mails mit Fehlermeldungen raus, dass die Rufnummernportierung fehlschlägt.

Eine blöde SIM-Karte lässt nicht aktivieren, weil sie a) nicht korrekt im Post-Identverfahren zugeschickt wurde, b) der Kunde angeblich zu blöd ist c) die Karte doch defekt ist oder alles zusammen? Oder doch vielleicht einfach nur, weil der Prozess nicht stimmt? Und nach Monaten Warten auf einen Portierungstermin für den Festnetzanschluss von Anbieter4 zu Anbieter5, stellt dieser dann am Portierungstermin mit unserer Hilfe fest, dass da was nicht stimmt und die Leitung gar nicht umgestellt wurde… Stromlieferanten zu wechseln ist ähnlich lustig. Man kann online wechseln, bekommt eine Bestätigung über den Wechsel und dann kurze Zeit später die Nachricht, dass man leider noch nicht an diesem Standort mit Strom beliefert werden kann (doch wir haben schon elektrischen Strom an diesem Standort). Die telefonische Klärung mit dem Helpdesk löst das Problem nur kurzzeitig. Auch danach der gleiche Effekt. Also weiter zu Anbieter … (wo waren wir, ah ja Anbieter 7). Da finde ich es ja fast schon wieder charmant, dass mein Arzt noch keine E-Mail-Adresse hat und mittwochs nachmittags das Fax ausschaltet… Oldschool. Aber wenn ich ihn dann brauche, dann bekomme ich ihn wie seit zwanzig Jahren werktags von 9:00 bis 17.00 Uhr ans Telefon, außer mittwochs und freitags nachmittags.

Also liebe Prozessberater und Wirtschaftsweise: Wenn Ihr weiter für Digitalisierung und Industrie 4.0 werbt, fangt eine Nummer kleiner an und helft den Digital Immigrants zunächst mal, die Prozesse zu optimieren, die schon seit Jahren funktionieren sollten. Man könnte ja jemanden fragen, der sich damit auskennt J. Und dann überlegen wir mal, wo und wie man nachhaltig neue digitale Geschäftsmodelle etablieren kann, die einen Gesamtgewinn darstellen…

Und: Gut Ding will Weile haben. Das ständige weinerliche Gejammer, dass wir den Anschluss verlieren, bringt auch niemanden weiter. Sorgfalt kommt gerade dann vor Schnelligkeit, wenn es um Funktions- und IT-Sicherheit geht – ich spare mir mal ausnahmsweise in der üblichen Ausführlichkeit den erhobenen Zeigefinger in Bezug auf die vielfach mangelhafte IT-Sicherheit vieler Ideen, Prozesse und Produkte. Mit ein paar unausgereiften Ideen und Prozessen – wie exemplarisch am Beispiel von Telefon- und Stromanbieterwechsel gezeigt (ich hätte noch mehr auf Lager…) -  in größerem Maßstab auf sicherheitsrelevante Systeme im Internet der Dinge ausgerollt, ist es schneller zappenduster, als mancher in Facebook auf „Gefällt mir“ klicken kann.

Man, was bin ich aber auch wieder geladen…

Trotzdem: Schöne Ostern - Ihr Thomas Käfer

Bewerte diesen Beitrag:
Weiterlesen
4483 Aufrufe
0 Kommentare
Empfohlen

Hacker übernimmt Nissan-Klimaanlage aus tausenden Kilometern Entfernung

Hacker übernimmt Nissan-Klimaanlage aus tausenden Kilometern Entfernung

Wie die Süddeutsche am 25.02.2016 vermeldet, ist mal wieder ein Auto über das Internet gehackt worden. Diesmal hat es Nissan mit dem Modell Leaf erwischt. Über eine ungesicherte Verbindung offenbar ohne jegliche Autorisierungsprüfung (Passwort o.ä.) gelang es dem Sicherheitsforscher Troy Hunt die Klimaanlage eines tausende Kilometer entfernt befindlichen Nissan Leaf ein- und auszuschalten und sensible Fahrbewegungsdaten auszulesen. Dazu reichte nach seinem Reverse-Engineering das Kopieren einer präparierten URL in den Webbrowser. Die Schwachstelle ist offenbar eine unzureichend abgesicherte App, mit der auf das Fahrzeug zugegriffen werden kann.

Das deckt sich mit den Forschungsergebnissen aus meinem Forschungsprojekt Car-Forensics. Auch hier war eine der gefundenen Angriffsvektoren die Kompromittierung der mit dem Fahrzeug gekoppelter Smartphone-Apps (in diesem Fall BMW). Im oben genannten Bericht wird bemängelt, dass der Hersteller mehr als vier Wochen gebraucht hat, um die Lücke vorübergehend zu schließen. Ich finde das noch schnell, denn viele der von mir bei BMW gefundenen Lücken funktionieren nach über einem Jahr immer noch und das, obwohl BMW eine detaillierte Schwachstellenanalyse aus September 2014 vorliegt (kostenfrei geliefert).

Besonders brisant an dem Nissan-Hack ist, dass dieser möglicherweise nicht einmal strafbar ist. In Deutschland wäre z.B. § 202a StGB anwendbar:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft (...)

Das blöde daran ist, dass der Zugang ja offensichtlich nicht besonders gesichert ist. Damit könnte (!) gelten: Feuer frei liebe Hacker! Und das ist für den Besitzer doppelt blöd, denn damit fällt nicht nur eine Hürde für den Hacker, sondern man kann ihn (je nach nationaler Gesetzeslage) möglicherweise nicht einmal dafür belangen (bitte jetzt trotzdem nicht nachmachen). Nur den Hersteller könnte man jetzt zivilrechtlich angreifen, da er ganz offenbar seinen Sorgfaltspflichten nicht nachkommt und in Bezug auf die IT-Sicherheit gängige Regeln der Technik missachtet (Verschlüsselung, Authentifizierung etc.).

Besonders ärgerlich ist, dass man solch einen Fehler leicht durch Penetration-Tests vor Inbetriebnahme eines solchen Systems durch Sicherheitsfachleute hätte aufdecken können. Ein solcher Implementierungsfehler wäre mit ziemlicher Sicherheit schon bei der Prüfung des Systemdesigns aufgefallen.

Man müsste dazu nur mal jemanden beauftragen, der sich damit auskennt. Der eine oder andere Hersteller hat das schon erkannt. Andere lernen noch. Hoffentlich rechtzeitig, bis die ersten Autos vollautomatisch fahren und Hacker dann hoffentlich vergeblich versuchen, die Autos fernzusteuern. Das sind dann Spielzeugautos im Maßstab 1:1… Böse!

Mehr Infos: http://www.sueddeutsche.de/auto/auto-sicherheitsluecke-hacker-uebernimmt-nissan-klimaanlage-aus-tausenden-kilometern-entfernung-1.2880424

Und wie der Hack im Detail funktioniert, steht hier: http://www.troyhunt.com/2016/02/controlling-vehicle-features-of-nissan.html

 

Bewerte diesen Beitrag:
Weiterlesen
11408 Aufrufe
0 Kommentare

Verzicht auf unsicheres Keyless Entry System beim Autoneukauf kostet Aufpreis

Verzicht auf unsicheres Keyless Entry System beim Autoneukauf kostet Aufpreis

Dass die so bequemen Keyless-Entry-Systeme moderner Fahrzeuge hochgradig unsicher sind, ist in Fachkreisen bereits seit einigen Jahren ein alter Hut - sollte man meinen. Bei einem Keyless-Entry-System kann der Autoschlüssel in der Hostentasche bleiben und der Wagen öffnet sich allein schon durch die Annäherung des legitimen Besitzers, der diesen Key mitführt (nicht zu verwechseln mit der normalen Fernbedienung am Schlüssel, bei der man immer noch eine Taste drücken muss, um den Wagen auf- oder abzuschließen). Und natürlich braucht man dann zum Starten des Autos auch keinen Zündschlüssel einstecken und drehen. Das ist ja so etwas von „Old School“!

Problem 1: Entfernt man sich nun vom Auto und schließt den Wagen per Knopfdruck ab und will dann durch einen Griff an der Fahrertür kontrollieren, ob der Wagen wirklich verschlossen ist, geht die Karre wieder auf. Also wieder abschließen und noch einmal versuchen. Damit kann man einen Doofen stundenlang beschäftigen: der kommt nicht von seinem Auto weg... Zu kontrollieren, ob der Wagen wirklich verschlossen ist, ist eine gute Idee, denn Kriminelle nutzen sogenannte Jammer, die das Funkspektrum im Umkreis blockieren und somit den Schließbefehl der Fernbedienung "übertönen". Die Kiste geht dann nicht zu.

Problem 2: Findige Autodiebe haben herausgefunden, dass man das Funksignal zwischen Schlüssel und Auto, welches nur in einem ganz definierten Nahbereich meist innerhalb von wenigen Meter funktioniert, mit einer sogenannten Relay-Station-Attacke praktisch beliebig verlängern kann. Dazu verfolgt Täter 2 den legitimen Autofahrer und greift mit einem Transponder und seiner Relay-Station das Signal des Schlüssels ab (der Täter muss dafür nur in der unmittelbaren Nähe des Opfers bleiben). Täter 1 geht derweil zum Auto und koppelt seinen Transponder mit dem Fahrzeug. Über seine Relaisfunkstelle, die z.B. via WLAN oder auch Mobilfunk mit der Relaisfunkstelle des 2. Täters verbunden ist, wird jetzt Auto und Schlüssel vorgegaukelt, dass sie sich in der Nähe zueinander befinden. Je nach Automodell funktioniert dass aufgrund nicht geprüfter Latenzzeiten über Kilometer. Das Auto öffnet sich und der Täter 1 kann die Zündung einschalten und den Wagen starten, da das Auto "denkt", der Schlüssel befände sich im Auto. Nun kann der Täter 1 solange mit dem Auto herumfahren, bis er es ausschaltet. Das macht er sinnigerweise erst dann, wenn er in einem sicheren Versteck angekommen ist und die Wegfahrsperre in Ruhe ausgebaut wird.

Zu diesem Problem gibt es bereits eine Reihe von wissenschaftlichen Veröffentlichungen (u.a. von der ETH Zürich aus 2010: http://www.ethlife.ethz.ch/archive_articles/100706_autoknacker_ch ) und gar einen eigenen Wikipedia-Artikel... https://de.wikipedia.org/wiki/Keyless_Go .

Erstaunlich, dass das bei den Autoherstellern noch nicht angekommen ist. Ich habe mir gerade einen neuen PKW bestellt und fand die Funktion, den Kofferraum mit einer Wischbewegung des Fußes unter der hinteren Stoßstange öffnen zu können, ja ganz nett. Dumm nur, dass das a) nicht stabil funktioniert und man dann auf dem Supermarktparkplatz Gefahr läuft, als Hampelmann verspottet zu werden und b) dass das nur in Verbindung mit einem solchen Keyless-Entry-Systems angeboten wird. Also Funktion, die in einem Technologie-Paket enthalten war, einfach abbestellen, denn der Verkäufer wusste gar nichts von den Keyless-Entry Angriffen und ob das Auto, um das es ging, dafür auch anfällig ist.

Tja und da kommt der Hammer: Der Wagen sollte jetzt rund 630,- € teurer werden. Ich fragte nach: Ich soll für den Verzicht auf eine nicht stabil funktionierende und zudem höchst unsichere Funktion Geld bezahlen? Ja, sollte ich, denn virtuelles Cockpit, Navigation und Smartphone Interface kosten einzeln rund 630 € mehr als im Paket mit dem unsicheren Keyless Entry… Ich habe mich mit meinem Händler einigen könne, dass ich auf die Keyless Entry-Funktion ohne Mehrpreis verzichten darf. Daran wäre sonst beinahe der Deal gescheitert…

Jetzt freue ich mich auf den neuen (sicheren) Wagen. Wobei: Eigentlich blöd. Ich hätte ihn doch mit dem Keyless Entry bestellen und dann mal den Test machen sollen, ob er auch mit diesem Relaisstations-Trick angreifbar ist. Dann hätte ich ihn immer noch mit einem Produktmangel zurückgeben können…

Zurück zum eigentlich Problem: Abhilfe gegen Attacken Krimineller auf den Schlüssel in der Hosentasche kann der stolze Besitzer eines Keyless Entry-Systems übrigens dadurch abwehren, dass er seinen Schlüssel in Alupapier oder eine Metalldose verpackt. Okay, dann muss er zum Öffnen nicht nur in die Hosentasche greifen, sondern den Schlüssel auch noch auspacken. Das ist Old School! Ach ja: Und die Schlüssel auch zuhause nicht in der Nähe der Haustür ablegen, wenn das Auto auf der Straße steht… Es sind schon Autos geklaut worden, bei denen die Täter den Trick durch die geschlossene Haustür angewendet haben.

Und wer glaubt, dass so eine Relaisstation etwas Magisches ist: Die ersten Versionen kosteten angeblich rd. 20.000 €. Wir probieren mal, ob man das nicht auch – wie an der einen oder anderen Stelle zu lesen – vielleicht auch mit 100,- € Equipment hinbekommt… Stay tuned. Auf Car-Forensics.de berichten wir über den Fortschritt…

Bewerte diesen Beitrag:
Weiterlesen
12662 Aufrufe
0 Kommentare