--------------------------------------------------------------------------------
 Diese Shownotes wurden automatisiert aus <https://pads.ccc.de/C3D2-Pentaradio>
 extrahiert, siehe <https://gitea.c3d2.de/xyrill/pentaradio-historic-shownotes>.
--------------------------------------------------------------------------------

## November 2016

**Datenschutz und Datensicherheit im Auto**
\#Musik: AlexBeroza - Just Drive

<http://ccmixter.org/content/AlexBeroza/AlexBeroza_-_Just_Drive.mp3>

*Hintergrund:* Wollte Elektroauto kaufen und habe mich in dem
Rahmen mal mit dem Kleingedruckten befasst, bzw. erst mal das
Kleingedruckte überhaupt  in die Finger zu bekommen
und Heiseartikel
<http://www.heise.de/newsticker/meldung/ADAC-Untersuchung-Autohersteller-sammeln-Daten-in-grossem-Stil-3227102.html>

\* Siehe auch: Hinweis auf Pentacast zu CAN-Bus im Auto

\* immer schon wichtiges Thema gewesen, aber gerade sehr aktuelles Thema mit Internet im Auto und conneted car
\* aktuelles Beispiel:
  \*\* Herausgabe von Bewegungsprofil bei illegalem Straßenrennen /
  fahrlässiger Tötung von Radfahrer: Fall BMW / DriveNow

<http://www.manager-magazin.de/unternehmen/autoindustrie/bmw-autobauer-liefert-gericht-kundendaten-fuer-bewegungsprofil-a-1104050.html>
  Daten von BMW die Wegstrecke, gefahrenen Geschwindigkeiten,
Außentemperatur oder die Position Mobiltelefons
  \*\*\* nicht ganz klar wie BWM an die Daten kam, woher kamen
Bewegungsdaten
  \*\* Jeep-Hack
  \*\*\* hat viel zur Sensibilisierung der Hersteller
beigetragen
  \*\* FBI warnt vor ODB-2 Dongles:
<http://www.darkreading.com/informationweek-home/feds-urge-caution-on-aftermarket-devices-that-plug-into-vehicle-diagnostic-ports/d/d-id/1324759>

\* ODB-2 Schnittstelle an K-Leitung / CAN Bus recht altes System
<https://de.wikipedia.org/wiki/On-Board-Diagnose>
  \*\*War ursprünglich standardisierte Schnittstelle für TÜV, vorher
haben alle so ein bischen ihr eigenes Ding gemacht; ist gesetzlich
vorgeschrieben (weltweit), muss verbaut werden
  \*\* leicht angreifbar, System rechnet nicht mit Angriffen
  \*\* hat keine Sicherheit wie Authentizität
  \*\* Vollzugriff auf viele Steuergeräte und viele Sensoren
  \*\* jeder OEM kocht sein eigenes Süppchen
  \*\* Protokolle sind alle propietär

\* welche **Sensoren** gibt es im Auto, welche Informationen lassen
sich darau gewinnen
  \*\* Heise:
  \*\*\*  ADAC bei 4 Fahrzeugen von BMW, Mercedes, Renault
untersucht, welche
  Daten sammeln. Ergebnis: Von Informationen über techn. Zustand
bis zu
  Nutzungsprofil des Fahrers
  \*\*\* neben , schadstoffbezogenen, Muss-Daten erheben
Automobilhersteller
  weitere Daten – ohne dass ihre Kunden  wissen, was da
aufgezeichnet wird
  \*\*\* Mercedes:  GPS-Position, Kilometerstands,
Kraftstoffverbrauch, Reifendruck,
  Gurtstraffungen (Indiz für starkes Bremsen)
  \*\*\* Renault: via Mobilfunk beliebige Informationen, im
Pannenfall
  Ferndiagnosen. Ist  der Käufer mit den Leasing-Raten im
Verzug, wird  das
  Aufladen der  Batterie verhindert
  \*\*\*BMW: Anzahl der eingelegten CDs + DVDs , 100 letzten
Abstellpositionen
  \*\* weiterhin: Lenkeinschlag, Gaspedalwinkel, welche Verbraucher
an
  \*\* Sensoren sollen schnell und einfach Daten rausgeben
  \*\*\* komplexere Berechnungen (z.B. für Verschlüsselung)
können gefährlich
  werden,
  z.B. Aufgehen des Airbag oder Rückmeldung Abstandsmesser
  \*\* je komplexer eine Software, desto geringer Wahrscheinlichkeit
alles zu
  überblicken, somit alle Fehler zu finden
  \*\*\* Fahrzeugsteuerungskomponenten deutlich mehr
Sicherheitsvorschirften
  als für Infotainmentsysteme
  \*\*\*\* Infotainment eigenes System so komplex wie
Betriebssystem und
  zusätzlich neuer Angriffsvektor aus dem Internet


\#**Musik**: scomber - I Spy (with my little eye)

<http://ccmixter.org/content/scomber/scomber_-_I_Spy_(with_my_little_eye).mp3>

\* Daten als künftiges **Geschäftsmodell** für Autohersteller /
wirtschaftliches Interesse
  \*\* Ablesen von psychischen Zuständen (Lenkeinschlag,
Gaspedaldruckverhalten)
  \*\* Ablesen von Fehlerverhalten
  \*\* wer sind die **Interessenten**:
  \*\*\* Hersteller
  \*\*\*\* Cloudinfrastrukturen bei Herstellern vorhanden
(Mercedes, BMW,...)
  \*\*\* Versicherer (wirklich Garagenwagen?, Fahrverhalten,
versch. Fahrer?)
  \*\*\* Behörden
  \*\*\*\* Schutz vor "terroristischen Angriffen"
Fernabschaltung von Autos möglich
  \*\*\*\* Szenario: Verhinderung von Fahrt zu Demo
  \*\*\*\* bei Renault wenn Raten nicht gezahlt,
Diebstahlschutz bei Opel
  \*\*\*\* Notrufsystem im Auto, gesetzl. vorgeschrieben, aber
getrennt!
  \*\*\* Mautabrechnung und Fahrtenbuchersatz (über
Abgasdatenschnittstelle)
  \*\*\*\* Beispiele Vimcar - <https://vimcar.de> und
Automatic <https://www.automatic.com>
  netter Blogeintrag:
<https://vimcar.de/blog/spots-fahrtenbuchstecker-connected-car-technologie-zum-selbereinstecken/>
  \*\*\*\*\* Protokoll wurde reverse engeeniert
  \*\*\*\*\* komplette Bewegungsprofile erstellbar
  \*\*\*\*\* sehr unsicher über diese Schnittstelle so
viele Daten auszulesen
  \*\*\*\* Welche Produkte gibt es heute "einfach zum
Anstecken" zu kaufen?
  \*\*\*\*\* Head Up Displays
  \*\*\*künftiges Einnahmemodell für Werkstätten?
  \*\*\*\*egal ob selber oder durch Datenweitergabe an Interessenten
  \*\*\* Ferndiagnose
  \*\*\* Kriminelle
  \*\*\*\* vll nächste Welle von Verschlüsselungstrojanern
  \*\*\*\* kann wirklich großer Schaden damit angerichtet
werden
  \*\*\*\* \* Hacks (Multimediasystem aufmachen und
  sehen was leute im Auto machen, Ransomware?)
  \*\*\* Tuner
  \*\*\*\* für Kenner! Zuschaltung weiterer Features möglich

\* Wie kann $Kunde herausfinden, welche Daten erhoben werden?
  \*\* Peter Schaar:
  "Bewegungsprofile sind ohne ausdrückliche Einwilligung des
Kunden unzulässig"
  \*\* Datenschutzgrundverordnung
  \*\*\* technische Daten vom Fahrzeug nicht geschützt
  \*\*\* greift nur für persönliche/personenbezogene Daten
  \*\* Erfahrungsbericht Alex
  \*\*\* BMW
  \*\*\*\* nur Auskunft über aktuelles Datenschutzrecht
  \*\*\* Nissan
  \*\*\*\* gab Auskunft, bei Start Zustimmung zu
Datenweiterleitung erforderlich,
  Ja/Nein-Möglichkeiten
  \*\*\*\* keine Aussage ob Daten später noch irgendwie
übertragen werden
  \*\*\* Renault
  \*\*\* bei anderen Herstellern
  \*\*\*\* Teilweise keine Datenübertragung über mobiles
netz
  \*\*\*\*\* Nicht nachprüfbar ob das wirklich erfolgt
  \*\* im eigenen Test Auslesung der Daten der letzten 3 Monate
bei Subaro auslesbar
  \*\*\* Uhrzeit, Ort, Temparatur- und Luftfeuchtigkeit

\* Welche Rechte hat der Kunde seine Daten löschen zu lassen?
  \*\* Man ist Autoeigentümer, aber muss zwangsweise Lizenzbedingungen
akzeptieren.
  \*\*\* z.B. somit verboten in bestimmte Länder zu fahren
  \*\* Hersteller kann Sachen aus der Ferne, over the air,
deaktivieren
\* Zukunftsprognose
  \*\* Kunden ist es egal, wie schon beim Mobiltelefon,
  "Ich hab doch nichts zu verbergen"
  \*\* Effekte bei Carsharing wahrscheinlich besonders

\* auch sinnvolle Anwendungen denkbar, wenn dem User die Daten
unterliegen
  \*\* Messung und Optimierung von Kraftstoffverbrauch
  \*\* Fahrkollonen die Sprit sparen
  \*\* sowas wie ParkNow von BMW
  \*\* Verkehrsoptimierung in Städten
  \*\* Car to X

  Zapac - Test Drive
  <http://ccmixter.org/content/Zapac/Zapac_-_Test_Drive.mp3>
Wired Ant - Travel by Night (Border Ride) feat. Javolenus

<http://ccmixter.org/content/Wired_Ant/Wired_Ant_-_Travel_by_Night_(Border_Ride)_feat._Javolenus.mp3>

Further reading:
<https://resources.sei.cmu.edu/asset_files/WhitePaper/2016_019_001_453877.pdf>

~~\* Hack des Monats: der ZigBee-Wurm
\<~~[~~http://iotworm.eyalro.net/~~](http://iotworm.eyalro.net/)~~\>~~