Challenge: “rolling” data protection

Heise bringt es mal wieder auf den Punkt – Datenschutz im Automobil ist eine diskussionswürdige Angelegenheit.

Wirklich spannend wird es, wenn man das Thema “tieferlegt”. Von welchen Daten sprechen wir überhaupt? Was ist Datenschutz überhaupt?!

Hier bringt Heise nicht wirklich Licht ins Dunkel. Es ist aber auch nicht wirklich leicht, hier eine einfach verständliche Übersicht zu bekommen. Einen kleinen Versuch möchte ich aber starten:

Grundlage für alle Betrachtungen ist die Kommunikation zwischen elektronischen Komponenten. Wie auch bei der menschlichen Kommunikation werden Botschaften ausgetauscht, die durch begleitende Informationen unterstützt oder in ihrem Wahrheitsgehalt bestätigt oder widerlegt werden.

Bei der menschlichen Kommunikation sind diese botschaftsunterstützenden Informationen die Körpersprache, Blickkontakt, Tonfall, Lautstärke u.s.w. Auch die elektronischen Botschaften werden mit Adressdaten, Gültigkeitsinformationen etc. ergänzt.

Wie in der zwischenmenschlichen Kommunikation wird hierbei vom Protokoll1 gesprochen. Unabhängig vom Protokoll ist das Ziel aber die Übermittlung von (Nutz-) Daten.

Betrachtet man den Datenschutz, bedeutet das letztlich:

  • Schutz vor Manipulation2
  • Schutz vor Datenmissbrauch3

Daten aufgeschlüsselt

Das Manipulieren von Daten bzw. Informationen kann sowohl das Protokoll als auch die (Nutz-) Daten betreffen. Letzteres ist recht einfach zu verstehen – gefälschte Aussagen kennt man schließlich aus den Medien zur Genüge.

Ein manipuliertes Protokoll dient dazu, falsche Nutzdaten als richtig oder richtige Daten als falsch zu deklarieren, oder sie aus ihrem (zeitlichen) Zusammenhang zu reißen. Das Protokoll entspricht also dem freundlichen Grinsen bei der Übermittlung einer Lüge oder dem Verstellen der Uhr bei Abgabe von (ansich) korrekten Informationen.

Nun sind elektronische Systeme bei Weitem weniger leicht auszutricksen, als Menschen in ihrer Vertrauensseligkeit, verfügen sie doch über eine Reihe an Mechanismen, die für Sicherheit im Sinne der Security sorgen. Wir sprechen also bei diesem grundlegenden Regelwerk vom Kommunikationsprotokoll, bei drahtgebundener Kommunikation vom Bus- bei Wirelessanwendungen von Funkprotokollen.

Das Problem sitzt also in der Regel nicht im Silizium4, sondern im korrekten Umgang damit und dem Wissen, zwischen Protokoll und Nutzdaten richtig zu unterscheiden.

Interessanterweise enthalten die Nutzdaten nämlich auch Protokollinformationen, wenn auch auf einem anderen Level. Auf menschlicher, papiergebundener Ebene wäre das zum Beispiel die Angabe von Datum, Adresse und Absender im Brief, das Briefformat, Rechtschreibung und Grammatik.

Kommunikation ist also schon ein recht komplexes Gebilde.

Bei elektronischer Kommunikation wird in die Botschaften, also die Nutzdaten, ebenfalls zusätzliche Protokolldaten5 hinzugefügt. In der zwischenmenschlichen Kommunikation extrahieren wir aus dem Brief, dem Gespräch, Telefonat etc. Signale, die für uns letztlich relevant sind und zu Aktionen bzw. Reaktionen animieren.

Gleiches gilt auch für elektronische Kommunikation. Auch hier wird aus den Botschaften das eigentliche Nutzsignal herausgefiltert und – für die eigentliche Funktion genutzt.

Datenschutz

Wenn wir also von Datenschutz sprechen, müssen wir unterscheiden, welche Daten sind also schützenswert gegenüber Manipulation und welche gegenüber Missbrauch durch Diebstahl.

Geht man davon aus, dass grundsätzlich alle Daten manipuliert werden können, muss unterschieden werden, was die Folgen einer Manipulation sein können.

Manipulationen des Kommunikationsprotokolls sind bei drahtgebundenen Bussystemen funktional6 unbedeutend, sie wären lediglich Mittel zum Zweck, überhaupt mit der Elektronik im Fahrzeug kommunizieren zu können.

Bei Funkprotokollen jedoch können durch die Manipulation falsche Kommunikationspartner vorgegaukelt werden. Hier sind wir also schon im deutlich schützenswerten Bereich. Auch wenn eine Manipulation im Funkprotokoll vorliegt, bedeutet das (noch) nicht, dass gleich eine Gefährdung vorliegt, aber das der erste Schritt zum Angriff gelungen ist.

Die Nutzdaten sind gegenüber Manipulation schon deutlich gefährdeter, wenn auch in unterschiedlichem Maße. Dafür muss man die Nutzdaten neben der schon erwähnten Zerlegung in Protokoll(e) und Signale weiter detaillieren.

Protokoll(e)

Dass die Kommunikation schützenswert ist, stellt keine Neuigkeit dar. Dementsprechend sind Safety7– , als auch Security-Maßnahmen8 bereits vorgesehen und (teilweise) umgesetzt.

Zusätzlich ist auf den Bussystemen auch noch ein standardisiertes Diagnoseprotokoll9 aufgeprägt, was uns auch noch intensiver als potentielles Risiko beschäftigen wird. Wie leichtfertig mit OBD-Donglen umgegangen wird, zeigen die regelmäßigen Werbungen u.a. für automatische Fahrtenbücher.

Signale

Als Nutzsignale werden für die Funktionen im Auto Sensorwerte, Status10, Texte11, aber auch Aktuatoranforderungen12.

Jetzt wird es richtig spannend.

Typischerweise wird gern auf die Sensorwerte geschaut, weil sie (scheinbar) recht einfach zu verstehen sind. Wird z.B. GPS als Sensor betrachtet, sind die sich ergebenden Sensorwerte bzw. -daten Positionsinformationen, ein Paradebeispiel für schützenswerte Daten im Sinne von Datendiebstahl. Hat man also Zugriff auf das Bussystem, kann man mit mehr oder weniger Aufwand13 die Positionsdaten vom Fahrzeug verwenden oder/und weitersenden.

Manche Sensordaten werden in ihrer destruktiven Informationskraft auch unterschätzt. Gern wird aber auch vergessen, dass einzelne Daten möglicherweise “unkritisch” sind, in Kombination mit anderen Informationen jedoch hervorragend “missbraucht” werden können14.

Manipulierte oder gestohlene Texte haben ebenfalls ein hohes Stör- und Angriffspotential. Kontaktinformationen aus dem Adressbuch eines Multimediasystems, letzte Ziele, Ankunftszeiten u.s.w. sind in falschen Händen durchaus potentiell gefährlich – wobei diese Texte die “offensichtlichsten” Daten sind.

Statusinformationen gibt es viele im Fahrzeug – denkt man ausreichend destruktiv, werden auch Kleinigkeiten interessant. In der Kombination sind auch hiermit Angriffe mit “tödlicher Präzision” möglich.

Jetzt sind wir quasi in der Königsklasse der Manipulation angekommen. Angriffe auf Aktuatoren waren und sind logisch und vorhersehbar, weshalb hier bereits viele Schutzmechanismen15 im Protokoll verwendet werden. Daher dürfte sehr viel Detailkenntnis notwendig sein, um hier wirklich eingreifen zu können.

Ob aber alle Steuergeräte als schützenswert eingestuft wurden und somit einer ausreichend destruktiven Betrachtung standhalten, sei mal dahingestellt16.

Wovon wir bisher noch nicht gesprochen haben, sind Geschäftsmodelle, die bei den Automobilherstellern anvisiert werden. Apps und Werbung werden mittelfristig immer stärker ins Auto wandern und den Datenschutz umso komplizierter machen. Die Trackbarkeit bekommt dann eine neue Dimension, genau wie die Wünsche und Befindlichkeiten von Regierungen, Versicherungen und anderen Kriminellen17.

Auch resultierende, wachsende Datenbestände bei den Automobilherstellern und deren Dienstleistern werden aus Sicht des Datenschutzes zumindest prüfwürdig. Wenn man also den TÜV mit anführt, sollte er eben genau diese Datenbestände nach einem zu definierenden Regelwerk analysieren und reglementieren.

Was das Schaffen von Transparenz, Datentreuhändern und rechtlichen Regeln angeht, halte ich es für Augenwischerei, weil immer die Frage im Raum steht, “coi bono18“, wem nützt es19. Insofern wird der Datenschutz ausgehöhlt und bis man die ersten Opfer mit der Tatwaffe “Automobil” zweifelsfrei identifiziert, wird noch sehr viel Zeit ins Land gehen.

Und so kann ich nur die Lektüre meines Buches empfehlen, “Beware of Car Hacking20“, um ein bisschen tiefer in die Materie einzutauchen.

Social Media

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.