187 lines
7.2 KiB
Plaintext
187 lines
7.2 KiB
Plaintext
## November 2016
|
||
|
||
**Datenschutz und Datensicherheit im Auto**
|
||
\#Musik: AlexBeroza - Just Drive
|
||
|
||
<http://ccmixter.org/content/AlexBeroza/AlexBeroza_-_Just_Drive.mp3>
|
||
|
||
*Hintergrund:* Wollte Elektroauto kaufen und habe mich in dem
|
||
Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das
|
||
Kleingedruckte überhaupt in die Finger zu bekommen
|
||
und Heiseartikel
|
||
<http://www.heise.de/newsticker/meldung/ADAC-Untersuchung-Autohersteller-sammeln-Daten-in-grossem-Stil-3227102.html>
|
||
|
||
\* Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto
|
||
|
||
\* immer schon wichtiges Thema gewesen, aber gerade sehr aktuelles Thema mit Internet im Auto und conneted car
|
||
\* aktuelles Beispiel:
|
||
\*\* Herausgabe von Bewegungsprofil bei illegalem Straßenrennen /
|
||
fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow
|
||
|
||
<http://www.manager-magazin.de/unternehmen/autoindustrie/bmw-autobauer-liefert-gericht-kundendaten-fuer-bewegungsprofil-a-1104050.html>
|
||
Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten,
|
||
Außentemperatur oder die Position Mobiltelefons
|
||
\*\*\* nicht ganz klar wie BWM an die Daten kam, woher kamen
|
||
Bewegungsdaten
|
||
\*\* Jeep-Hack
|
||
\*\*\* hat viel zur Sensibilisierung der Hersteller
|
||
beigetragen
|
||
\*\* FBI warnt vor ODB-2 Dongles:
|
||
<http://www.darkreading.com/informationweek-home/feds-urge-caution-on-aftermarket-devices-that-plug-into-vehicle-diagnostic-ports/d/d-id/1324759>
|
||
|
||
\* ODB-2 Schnittstelle an K-Leitung / CAN Bus recht altes System
|
||
<https://de.wikipedia.org/wiki/On-Board-Diagnose>
|
||
\*\*War ursprünglich standardisierte Schnittstelle für TÜV, vorher
|
||
haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich
|
||
vorgeschrieben (weltweit), muss verbaut werden
|
||
\*\* leicht angreifbar, System rechnet nicht mit Angriffen
|
||
\*\* hat keine Sicherheit wie Authentizität
|
||
\*\* Vollzugriff auf viele Steuergeräte und viele Sensoren
|
||
\*\* jeder OEM kocht sein eigenes Süppchen
|
||
\*\* Protokolle sind alle propietär
|
||
|
||
\* welche **Sensoren** gibt es im Auto, welche Informationen lassen
|
||
sich darau gewinnen
|
||
\*\* Heise:
|
||
\*\*\* ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault
|
||
untersucht, welche
|
||
Daten sammeln. Ergebnis: Von Informationen über techn. Zustand
|
||
bis zu
|
||
Nutzungsprofil des Fahrers
|
||
\*\*\* neben , schadstoffbezogenen, Muss-Daten erheben
|
||
Automobilhersteller
|
||
weitere Daten – ohne dass ihre Kunden wissen, was da
|
||
aufgezeichnet wird
|
||
\*\*\* Mercedes: GPS-Position, Kilometerstands,
|
||
Kraftstoffverbrauch, Reifendruck,
|
||
Gurtstraffungen (Indiz für starkes Bremsen)
|
||
\*\*\* Renault: via Mobilfunk beliebige Informationen, im
|
||
Pannenfall
|
||
Ferndiagnosen. Ist der Käufer mit den Leasing-Raten im
|
||
Verzug, wird das
|
||
Aufladen der Batterie verhindert
|
||
\*\*\*BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten
|
||
Abstellpositionen
|
||
\*\* weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher
|
||
an
|
||
\*\* Sensoren sollen schnell und einfach Daten rausgeben
|
||
\*\*\* komplexere Berechnungen (z.B. für Verschlüsselung)
|
||
können gefährlich
|
||
werden,
|
||
z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser
|
||
\*\* je komplexer eine Software, desto geringer Wahrscheinlichkeit
|
||
alles zu
|
||
überblicken, somit alle Fehler zu finden
|
||
\*\*\* Fahrzeugsteuerungskomponenten deutlich mehr
|
||
Sicherheitsvorschirften
|
||
als für Infotainmentsysteme
|
||
\*\*\*\* Infotainment eigenes System so komplex wie
|
||
Betriebssystem und
|
||
zusätzlich neuer Angriffsvektor aus dem Internet
|
||
|
||
|
||
\#**Musik**: scomber - I Spy (with my little eye)
|
||
|
||
<http://ccmixter.org/content/scomber/scomber_-_I_Spy_(with_my_little_eye).mp3>
|
||
|
||
\* Daten als künftiges **Geschäftsmodell** für Autohersteller /
|
||
wirtschaftliches Interesse
|
||
\*\* Ablesen von psychischen Zuständen (Lenkeinschlag,
|
||
Gaspedaldruckverhalten)
|
||
\*\* Ablesen von Fehlerverhalten
|
||
\*\* wer sind die **Interessenten**:
|
||
\*\*\* Hersteller
|
||
\*\*\*\* Cloudinfrastrukturen bei Herstellern vorhanden
|
||
(Mercedes, BMW,...)
|
||
\*\*\* Versicherer (wirklich Garagenwagen?, Fahrverhalten,
|
||
versch. Fahrer?)
|
||
\*\*\* Behörden
|
||
\*\*\*\* Schutz vor "terroristischen Angriffen"
|
||
Fernabschaltung von Autos möglich
|
||
\*\*\*\* Szenario: Verhinderung von Fahrt zu Demo
|
||
\*\*\*\* bei Renault wenn Raten nicht gezahlt,
|
||
Diebstahlschutz bei Opel
|
||
\*\*\*\* Notrufsystem im Auto, gesetzl. vorgeschrieben, aber
|
||
getrennt!
|
||
\*\*\* Mautabrechnung und Fahrtenbuchersatz (über
|
||
Abgasdatenschnittstelle)
|
||
\*\*\*\* Beispiele Vimcar - <https://vimcar.de> und
|
||
Automatic <https://www.automatic.com>
|
||
netter Blogeintrag:
|
||
<https://vimcar.de/blog/spots-fahrtenbuchstecker-connected-car-technologie-zum-selbereinstecken/>
|
||
\*\*\*\*\* Protokoll wurde reverse engeeniert
|
||
\*\*\*\*\* komplette Bewegungsprofile erstellbar
|
||
\*\*\*\*\* sehr unsicher über diese Schnittstelle so
|
||
viele Daten auszulesen
|
||
\*\*\*\* Welche Produkte gibt es heute "einfach zum
|
||
Anstecken" zu kaufen?
|
||
\*\*\*\*\* Head Up Displays
|
||
\*\*\*künftiges Einnahmemodell für Werkstätten?
|
||
\*\*\*\*egal ob selber oder durch Datenweitergabe an Interessenten
|
||
\*\*\* Ferndiagnose
|
||
\*\*\* Kriminelle
|
||
\*\*\*\* vll nächste Welle von Verschlüsselungstrojanern
|
||
\*\*\*\* kann wirklich großer Schaden damit angerichtet
|
||
werden
|
||
\*\*\*\* \* Hacks (Multimediasystem aufmachen und
|
||
sehen was leute im Auto machen, Ransomware?)
|
||
\*\*\* Tuner
|
||
\*\*\*\* für Kenner! Zuschaltung weiterer Features möglich
|
||
|
||
\* Wie kann $Kunde herausfinden, welche Daten erhoben werden?
|
||
\*\* Peter Schaar:
|
||
"Bewegungsprofile sind ohne ausdrückliche Einwilligung des
|
||
Kunden unzulässig"
|
||
\*\* Datenschutzgrundverordnung
|
||
\*\*\* technische Daten vom Fahrzeug nicht geschützt
|
||
\*\*\* greift nur für persönliche/personenbezogene Daten
|
||
\*\* Erfahrungsbericht Alex
|
||
\*\*\* BMW
|
||
\*\*\*\* nur Auskunft über aktuelles Datenschutzrecht
|
||
\*\*\* Nissan
|
||
\*\*\*\* gab Auskunft, bei Start Zustimmung zu
|
||
Datenweiterleitung erforderlich,
|
||
Ja/Nein-Möglichkeiten
|
||
\*\*\*\* keine Aussage ob Daten später noch irgendwie
|
||
übertragen werden
|
||
\*\*\* Renault
|
||
\*\*\* bei anderen Herstellern
|
||
\*\*\*\* Teilweise keine Datenübertragung über mobiles
|
||
netz
|
||
\*\*\*\*\* Nicht nachprüfbar ob das wirklich erfolgt
|
||
\*\* im eigenen Test Auslesung der Daten der letzten 3 Monate
|
||
bei Subaro auslesbar
|
||
\*\*\* Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit
|
||
|
||
\* Welche Rechte hat der Kunde seine Daten löschen zu lassen?
|
||
\*\* Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen
|
||
akzeptieren.
|
||
\*\*\* z.B. somit verboten in bestimmte Länder zu fahren
|
||
\*\* Hersteller kann Sachen aus der Ferne, over the air,
|
||
deaktivieren
|
||
\* Zukunftsprognose
|
||
\*\* Kunden ist es egal, wie schon beim Mobiltelefon,
|
||
"Ich hab doch nichts zu verbergen"
|
||
\*\* Effekte bei Carsharing wahrscheinlich besonders
|
||
|
||
\* auch sinnvolle Anwendungen denkbar, wenn dem User die Daten
|
||
unterliegen
|
||
\*\* Messung und Optimierung von Kraftstoffverbrauch
|
||
\*\* Fahrkollonen die Sprit sparen
|
||
\*\* sowas wie ParkNow von BMW
|
||
\*\* Verkehrsoptimierung in Städten
|
||
\*\* Car to X
|
||
|
||
Zapac - Test Drive
|
||
<http://ccmixter.org/content/Zapac/Zapac_-_Test_Drive.mp3>
|
||
Wired Ant - Travel by Night (Border Ride) feat. Javolenus
|
||
|
||
<http://ccmixter.org/content/Wired_Ant/Wired_Ant_-_Travel_by_Night_(Border_Ride)_feat._Javolenus.mp3>
|
||
|
||
Further reading:
|
||
<https://resources.sei.cmu.edu/asset_files/WhitePaper/2016_019_001_453877.pdf>
|
||
|
||
~~\* Hack des Monats: der ZigBee-Wurm
|
||
\<~~[~~http://iotworm.eyalro.net/~~](http://iotworm.eyalro.net/)~~\>~~
|
||
|