187 lines
7.2 KiB
Plaintext
187 lines
7.2 KiB
Plaintext
|
## November 2016
|
|||
|
|
|
|||
|
|
**Datenschutz und Datensicherheit im Auto**
|
|||
|
|
\#Musik: AlexBeroza - Just Drive
|
|||
|
|
|
|||
|
|
<http://ccmixter.org/content/AlexBeroza/AlexBeroza_-_Just_Drive.mp3>
|
|||
|
|
|
|||
|
|
*Hintergrund:* Wollte Elektroauto kaufen und habe mich in dem
|
|||
|
|
Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das
|
|||
|
|
Kleingedruckte überhaupt in die Finger zu bekommen
|
|||
|
|
und Heiseartikel
|
|||
|
|
<http://www.heise.de/newsticker/meldung/ADAC-Untersuchung-Autohersteller-sammeln-Daten-in-grossem-Stil-3227102.html>
|
|||
|
|
|
|||
|
|
\* Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto
|
|||
|
|
|
|||
|
|
\* immer schon wichtiges Thema gewesen, aber gerade sehr aktuelles Thema mit Internet im Auto und conneted car
|
|||
|
|
\* aktuelles Beispiel:
|
|||
|
|
\*\* Herausgabe von Bewegungsprofil bei illegalem Straßenrennen /
|
|||
|
|
fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow
|
|||
|
|
|
|||
|
|
<http://www.manager-magazin.de/unternehmen/autoindustrie/bmw-autobauer-liefert-gericht-kundendaten-fuer-bewegungsprofil-a-1104050.html>
|
|||
|
|
Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten,
|
|||
|
|
Außentemperatur oder die Position Mobiltelefons
|
|||
|
|
\*\*\* nicht ganz klar wie BWM an die Daten kam, woher kamen
|
|||
|
|
Bewegungsdaten
|
|||
|
|
\*\* Jeep-Hack
|
|||
|
|
\*\*\* hat viel zur Sensibilisierung der Hersteller
|
|||
|
|
beigetragen
|
|||
|
|
\*\* FBI warnt vor ODB-2 Dongles:
|
|||
|
|
<http://www.darkreading.com/informationweek-home/feds-urge-caution-on-aftermarket-devices-that-plug-into-vehicle-diagnostic-ports/d/d-id/1324759>
|
|||
|
|
|
|||
|
|
\* ODB-2 Schnittstelle an K-Leitung / CAN Bus recht altes System
|
|||
|
|
<https://de.wikipedia.org/wiki/On-Board-Diagnose>
|
|||
|
|
\*\*War ursprünglich standardisierte Schnittstelle für TÜV, vorher
|
|||
|
|
haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich
|
|||
|
|
vorgeschrieben (weltweit), muss verbaut werden
|
|||
|
|
\*\* leicht angreifbar, System rechnet nicht mit Angriffen
|
|||
|
|
\*\* hat keine Sicherheit wie Authentizität
|
|||
|
|
\*\* Vollzugriff auf viele Steuergeräte und viele Sensoren
|
|||
|
|
\*\* jeder OEM kocht sein eigenes Süppchen
|
|||
|
|
\*\* Protokolle sind alle propietär
|
|||
|
|
|
|||
|
|
\* welche **Sensoren** gibt es im Auto, welche Informationen lassen
|
|||
|
|
sich darau gewinnen
|
|||
|
|
\*\* Heise:
|
|||
|
|
\*\*\* ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault
|
|||
|
|
untersucht, welche
|
|||
|
|
Daten sammeln. Ergebnis: Von Informationen über techn. Zustand
|
|||
|
|
bis zu
|
|||
|
|
Nutzungsprofil des Fahrers
|
|||
|
|
\*\*\* neben , schadstoffbezogenen, Muss-Daten erheben
|
|||
|
|
Automobilhersteller
|
|||
|
|
weitere Daten – ohne dass ihre Kunden wissen, was da
|
|||
|
|
aufgezeichnet wird
|
|||
|
|
\*\*\* Mercedes: GPS-Position, Kilometerstands,
|
|||
|
|
Kraftstoffverbrauch, Reifendruck,
|
|||
|
|
Gurtstraffungen (Indiz für starkes Bremsen)
|
|||
|
|
\*\*\* Renault: via Mobilfunk beliebige Informationen, im
|
|||
|
|
Pannenfall
|
|||
|
|
Ferndiagnosen. Ist der Käufer mit den Leasing-Raten im
|
|||
|
|
Verzug, wird das
|
|||
|
|
Aufladen der Batterie verhindert
|
|||
|
|
\*\*\*BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten
|
|||
|
|
Abstellpositionen
|
|||
|
|
\*\* weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher
|
|||
|
|
an
|
|||
|
|
\*\* Sensoren sollen schnell und einfach Daten rausgeben
|
|||
|
|
\*\*\* komplexere Berechnungen (z.B. für Verschlüsselung)
|
|||
|
|
können gefährlich
|
|||
|
|
werden,
|
|||
|
|
z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser
|
|||
|
|
\*\* je komplexer eine Software, desto geringer Wahrscheinlichkeit
|
|||
|
|
alles zu
|
|||
|
|
überblicken, somit alle Fehler zu finden
|
|||
|
|
\*\*\* Fahrzeugsteuerungskomponenten deutlich mehr
|
|||
|
|
Sicherheitsvorschirften
|
|||
|
|
als für Infotainmentsysteme
|
|||
|
|
\*\*\*\* Infotainment eigenes System so komplex wie
|
|||
|
|
Betriebssystem und
|
|||
|
|
zusätzlich neuer Angriffsvektor aus dem Internet
|
|||
|
|
|
|||
|
|
|
|||
|
|
\#**Musik**: scomber - I Spy (with my little eye)
|
|||
|
|
|
|||
|
|
<http://ccmixter.org/content/scomber/scomber_-_I_Spy_(with_my_little_eye).mp3>
|
|||
|
|
|
|||
|
|
\* Daten als künftiges **Geschäftsmodell** für Autohersteller /
|
|||
|
|
wirtschaftliches Interesse
|
|||
|
|
\*\* Ablesen von psychischen Zuständen (Lenkeinschlag,
|
|||
|
|
Gaspedaldruckverhalten)
|
|||
|
|
\*\* Ablesen von Fehlerverhalten
|
|||
|
|
\*\* wer sind die **Interessenten**:
|
|||
|
|
\*\*\* Hersteller
|
|||
|
|
\*\*\*\* Cloudinfrastrukturen bei Herstellern vorhanden
|
|||
|
|
(Mercedes, BMW,...)
|
|||
|
|
\*\*\* Versicherer (wirklich Garagenwagen?, Fahrverhalten,
|
|||
|
|
versch. Fahrer?)
|
|||
|
|
\*\*\* Behörden
|
|||
|
|
\*\*\*\* Schutz vor "terroristischen Angriffen"
|
|||
|
|
Fernabschaltung von Autos möglich
|
|||
|
|
\*\*\*\* Szenario: Verhinderung von Fahrt zu Demo
|
|||
|
|
\*\*\*\* bei Renault wenn Raten nicht gezahlt,
|
|||
|
|
Diebstahlschutz bei Opel
|
|||
|
|
\*\*\*\* Notrufsystem im Auto, gesetzl. vorgeschrieben, aber
|
|||
|
|
getrennt!
|
|||
|
|
\*\*\* Mautabrechnung und Fahrtenbuchersatz (über
|
|||
|
|
Abgasdatenschnittstelle)
|
|||
|
|
\*\*\*\* Beispiele Vimcar - <https://vimcar.de> und
|
|||
|
|
Automatic <https://www.automatic.com>
|
|||
|
|
netter Blogeintrag:
|
|||
|
|
<https://vimcar.de/blog/spots-fahrtenbuchstecker-connected-car-technologie-zum-selbereinstecken/>
|
|||
|
|
\*\*\*\*\* Protokoll wurde reverse engeeniert
|
|||
|
|
\*\*\*\*\* komplette Bewegungsprofile erstellbar
|
|||
|
|
\*\*\*\*\* sehr unsicher über diese Schnittstelle so
|
|||
|
|
viele Daten auszulesen
|
|||
|
|
\*\*\*\* Welche Produkte gibt es heute "einfach zum
|
|||
|
|
Anstecken" zu kaufen?
|
|||
|
|
\*\*\*\*\* Head Up Displays
|
|||
|
|
\*\*\*künftiges Einnahmemodell für Werkstätten?
|
|||
|
|
\*\*\*\*egal ob selber oder durch Datenweitergabe an Interessenten
|
|||
|
|
\*\*\* Ferndiagnose
|
|||
|
|
\*\*\* Kriminelle
|
|||
|
|
\*\*\*\* vll nächste Welle von Verschlüsselungstrojanern
|
|||
|
|
\*\*\*\* kann wirklich großer Schaden damit angerichtet
|
|||
|
|
werden
|
|||
|
|
\*\*\*\* \* Hacks (Multimediasystem aufmachen und
|
|||
|
|
sehen was leute im Auto machen, Ransomware?)
|
|||
|
|
\*\*\* Tuner
|
|||
|
|
\*\*\*\* für Kenner! Zuschaltung weiterer Features möglich
|
|||
|
|
|
|||
|
|
\* Wie kann $Kunde herausfinden, welche Daten erhoben werden?
|
|||
|
|
\*\* Peter Schaar:
|
|||
|
|
"Bewegungsprofile sind ohne ausdrückliche Einwilligung des
|
|||
|
|
Kunden unzulässig"
|
|||
|
|
\*\* Datenschutzgrundverordnung
|
|||
|
|
\*\*\* technische Daten vom Fahrzeug nicht geschützt
|
|||
|
|
\*\*\* greift nur für persönliche/personenbezogene Daten
|
|||
|
|
\*\* Erfahrungsbericht Alex
|
|||
|
|
\*\*\* BMW
|
|||
|
|
\*\*\*\* nur Auskunft über aktuelles Datenschutzrecht
|
|||
|
|
\*\*\* Nissan
|
|||
|
|
\*\*\*\* gab Auskunft, bei Start Zustimmung zu
|
|||
|
|
Datenweiterleitung erforderlich,
|
|||
|
|
Ja/Nein-Möglichkeiten
|
|||
|
|
\*\*\*\* keine Aussage ob Daten später noch irgendwie
|
|||
|
|
übertragen werden
|
|||
|
|
\*\*\* Renault
|
|||
|
|
\*\*\* bei anderen Herstellern
|
|||
|
|
\*\*\*\* Teilweise keine Datenübertragung über mobiles
|
|||
|
|
netz
|
|||
|
|
\*\*\*\*\* Nicht nachprüfbar ob das wirklich erfolgt
|
|||
|
|
\*\* im eigenen Test Auslesung der Daten der letzten 3 Monate
|
|||
|
|
bei Subaro auslesbar
|
|||
|
|
\*\*\* Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit
|
|||
|
|
|
|||
|
|
\* Welche Rechte hat der Kunde seine Daten löschen zu lassen?
|
|||
|
|
\*\* Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen
|
|||
|
|
akzeptieren.
|
|||
|
|
\*\*\* z.B. somit verboten in bestimmte Länder zu fahren
|
|||
|
|
\*\* Hersteller kann Sachen aus der Ferne, over the air,
|
|||
|
|
deaktivieren
|
|||
|
|
\* Zukunftsprognose
|
|||
|
|
\*\* Kunden ist es egal, wie schon beim Mobiltelefon,
|
|||
|
|
"Ich hab doch nichts zu verbergen"
|
|||
|
|
\*\* Effekte bei Carsharing wahrscheinlich besonders
|
|||
|
|
|
|||
|
|
\* auch sinnvolle Anwendungen denkbar, wenn dem User die Daten
|
|||
|
|
unterliegen
|
|||
|
|
\*\* Messung und Optimierung von Kraftstoffverbrauch
|
|||
|
|
\*\* Fahrkollonen die Sprit sparen
|
|||
|
|
\*\* sowas wie ParkNow von BMW
|
|||
|
|
\*\* Verkehrsoptimierung in Städten
|
|||
|
|
\*\* Car to X
|
|||
|
|
|
|||
|
|
Zapac - Test Drive
|
|||
|
|
<http://ccmixter.org/content/Zapac/Zapac_-_Test_Drive.mp3>
|
|||
|
|
Wired Ant - Travel by Night (Border Ride) feat. Javolenus
|
|||
|
|
|
|||
|
|
<http://ccmixter.org/content/Wired_Ant/Wired_Ant_-_Travel_by_Night_(Border_Ride)_feat._Javolenus.mp3>
|
|||
|
|
|
|||
|
|
Further reading:
|
|||
|
|
<https://resources.sei.cmu.edu/asset_files/WhitePaper/2016_019_001_453877.pdf>
|
|||
|
|
|
|||
|
|
~~\* Hack des Monats: der ZigBee-Wurm
|
|||
|
|
\<~~[~~http://iotworm.eyalro.net/~~](http://iotworm.eyalro.net/)~~\>~~
|
|||
|
|
|