Datensicherheit und Datenschutz im Bereich Connected Cars

Aus Winfwiki

Wechseln zu: Navigation, Suche

Fallstudienarbeit

Hochschule: Hochschule für Oekonomie & Management
Standort: Dortmund
Studiengang: Bachelor Wirtschaftsinformatik
Veranstaltung: Fallstudie / Wissenschaftliches Arbeiten
Betreuer: Prof._Dr._Uwe_Kern
Typ: Fallstudienarbeit
Themengebiet: Connected Cars
Autor(en): Christian L., Anne S.
Studienzeitmodell: Abendstudium
Semesterbezeichnung:
Studiensemester: 2
Bearbeitungsstatus: begutachtet
Prüfungstermin:
Abgabetermin:

Inhaltsverzeichnis

1 Einleitung

Abb.1.1 Connected Car
Abb.1.1 Connected Car

Mit dem stetigen Ausbau des Mobilfunknetzes und der Weiterentwicklung der drahtlosen Kommunikationstechnologien wachsen auch die Einsatzmöglichkeiten. Die Voraussetzungen für eine ständige mobile Vernetzung der breiten Masse sind größtenteils geschaffen und werden laufend verbessert. Intelligente Kommunikationsmedien wie Smartphones sind bereits keine Seltenheit mehr und eine Nutzung dieser technischen Möglichkeiten in vielen weiteren Bereichen des täglichen Gebrauchs ist gegeben.[1]

So wird bereits seit längerer Zeit in diversen Forschungsprojekten der Einsatz von drahtlosen Kommunikationstechnologien auch im Automobil erforscht. Das vernetzte Automobil wird auch als Connnected Car bezeichnet und soll, wie in Abb. 1.1 dargestellt, in der Lage sein, mit seiner Umwelt zu kommunizieren.[2]

Dabei gibt es bei den Zielsetzungen der Projekte unterschiedliche Ansätze. In Deutschland staatlich gefördert sind u. a. die Projekte AKTIV (Adaptive und Kooperative Technologien für den Intelligenten Verkehr) und NOW (Network On Wheels)[3]. Ziel ist unter anderem eine effizientere Nutzung der bestehenden Verkehrsinfrastruktur und damit eine Kapazitätserhöhung ohne weiteren Ausbau von Straßen. Connected Cars sollen durch gezielte Kommunikation einen fließenderen und sichereren Verkehr ermöglichen, indem sie sowohl untereinander als auch mit der Infrastruktur Informationen austauschen. Auch die Automobilindustrie interessiert sich für die Einsatzmöglichkeiten zur Erhöhung des Komforts und der Flexibilität des Autofahrers. Fast alle namhaften Hersteller betreiben ebenfalls Forschungsprojekte in diesem Bereich. Um trotz verschiedener Forschungsprojekten einen europäischen industriellen Standard zu enwickeln, hat sich das C2C-CC (CAR 2 CAR Communication Consortium) gegründet, an dem sich u. a. BMW, Fiat, Renault und Volkswagen beteiligen. Die Projekte AKTIV und NOW beziehen sich auf die dort entwickelten Standards.[4][5][6][7]

Neben den Aspekten Sicherheit und Kapazitätserhöhung der Infrastruktur ergeben sich für den Autobesitzer auch Vorteile im Bereich Komfort. Derzeitge Ansätze sehen beispielsweise vor, unterwegs Musik aus dem heimischen Wohnzimmer hören zu können oder im Büro das elektronische Fahrtenbuch über das Internet direkt vom Automobil abzurufen. Außerdem sollen durch eine Kommunikation z. B. mit Angeboten von Unternehmen neue Servicemöglichkeiten im Automobil geschaffen werden.[8][9][10]

Abb.1.2 Schnittmenge IT-Sicherheit und Datenschutz
Abb.1.2 Schnittmenge IT-Sicherheit und Datenschutz

Um die gewünschten Vorteile zu erreichen, ist es nötig bestimmte Informationen zu erfassen, wobei ein besonderes Augenmerk auf den Bereich des Datenschutz gelegt werden muss. Wie bei jedem informationstechnischem System in dem personenbezogene Daten verarbeitet werden, muss auch im Bereich der Connected Cars auf datenschutzrechtliche Aspekte geachtet werden. Die Forschungsarbeit der Projekte zu Connected Cars ist in diesem Bereich zum derzeitigen Standpunkt noch nicht abgeschlossen und fokussiert noch die Anwendung.[11]

Auch abseits der Connected Cars lassen sich die datenschutzrechtlichen Anforderungen an informationstechnische Systeme in die zwei Bereiche Datenschutz und Datensicherheit aufteilen. Der Bereich Datenschutz bezieht sich dabei auf rein datenschutzrechtlich relevante Themen und soll einen entsprechenden Umgang mit personenbezogenen Daten sicher stellen. Der Aspekt Datensicherheit steht in Zusammenhang mit der IT-Sicherheit, welche den Zweck des grundsätzlichen Schutzes von IT-Systemen durch entsprechende hard- und softwaretechnische Maßnahmen hat. Datensicherheit bezeichnet, wie in Abb.1.2 dargestellt, die Schnittmenge von IT-Sicherheit und datenschutzrelevanten Themen. Der Aspekt Datensicherheit stellt demnach das Standbein des Datenschutzes auf der technischen Ebene dar.[12]

Entsprechende Maßnahmen zur Einhaltungen der gesetzlichen Bestimmungen zum Schutze personenbezogener Daten, sind im Rahmen der Umsetzung der Konzepte zu Connected Cars unumgänglich. Zielsetzung der Ausarbeitung ist daher, potentielle Gefahrenquellen in Bezug auf bestende Systeme und Konzepte im Bereich Connected Cars aufzuzeigen und ggf. aktuell bereits vorhandene Problemlösungen zu bewerten. Im ersten Schritt werden daher zunächst die Grundlagen zu den Themen Connected Cars, Datenschutz und Datensicherheit erarbeitet. Anschließend folgt eine kritische Analyse wesentlicher Anwendungesfälle in Bezug auf Datenschutz und Datensicherheit. Abschließendem sollen in der Schlussbetrachtung die Ergebnisse der Fallstudie bewertet und kritische Punkte nochmals hervorgehoben werden.

2 Grundlagen

Der Forschungsbereich Connected Cars beschäftigt sich mit der Steigerung von Sicherheit, Effizienz und Komfort des Straßenverkehrs durch Nutzung moderner Informations- und Kommunikationstechnologien. Das Automobil soll in Zukunft z. B. selbstständig in der Lage sein, mit anderen Verkehrsteilnehmern oder der Infrastruktur zu kommunizieren. Zum Einstieg in die Thematik Datensicherheit und Datenschutz im Bereich Connected Cars, soll zunächst auf die derzeit wesentlichen Anwendungsgebiete sowie die verwendeten Technologien eingegangen werden. Im Anschluss wird auf die Begriffe Datenschutz und Datensicherheit eingegangen und diese voneinader abgegrenzt.

2.1 Anwendungsgebiete

Die Anwendungsgebiete von Connected Cars sind vielschichtig, da theoretisch beliebige Kommunikationspartner möglich sind. Aufgrund dessen hat sich der Begriff Car-to-X etabliert, wobei X für den beliebigen Kommunikationspartner steht. Ein Großteil der derzeitigen Anwendungsfälle sollen vornehmlich der Verbesserung von Straßensicherheit und -auslastung dienen. Dieses Ziel soll durch Kommunikation von Automobilen untereinander und mit der Infrastruktur erreicht werden, im Folgenden Car-to-Car und Car-to-Infrastructure genannt.

Von industriellem Interesse ist auch die Einführung von erweiterten Entertainment- und Servicemöglichkeiten im Fahrzeug, welche durch Kommunikation mit weiteren Endgeräten realisiert werden könnten. Einsatzmöglichkeiten würden sich hier beispielsweise in Verbindung mit dem heimischen Rechner oder Online-Diensten, z. B. Hotelreservierungen anbieten. Diese Themengebiete werden im Folgenden unter den Begriffen Car-to-Home und Car-to-Enterprise zusammengefasst.

Auf Grund der Themenvielfalt der möglichen Anwendungsgebiete soll sich die vorliegende Arbeit auf die zuvor genannten vier Themengebiete fokussieren.

Car-to-Car
Abb.2.1 Pre-Crash Sensing/Warning
Abb.2.1 Pre-Crash Sensing/Warning
Das Anwendungsgebiet der Car-to-Car-Kommunikation, beschäftigt sich mit der Kommunikation der Verkehrsteilnehmer untereinander. Hauptaspekt ist hierbei die erhöhte Sicherheit, sowie ein schnellerer Informationsfluss bei Unfällen oder Stau. Andere Verkehrsteilnehmer können frühzeitig gewarnt und Hindernisse weiträumig umfahren werden.
  • Pre-Crash Sensing/Warning
Häufige Ursachen für Kollisionen sind Fehleinschätzung von Entfernung und Geschwindigkeit oder Unachtsamkeit durch den Fahrer, diese Ursachen soll das Pre-Crash Sensing/Warning vorbeugen. Durch elektronische Kommunikation mit sich nähernden Fahrzeugen könnten diese noch vor Sichtkontakt erkannt und gegebenenfalls eine entsprechende Information oder Warnung an den Verkehrsteilnehmer weiter gegeben werden. In Abb. 2.1 ist die Beispielsituation eines, auf Grund der Verkehrslage, schlecht sehbaren Zweiradfahrers dargestellt.[13]
  • Hazardous Location V2V Notification
Hazardous Location V2V Notification soll ermöglichen Informationen über Straßenverhältnisse und eventuelle Hindernisse, wie Glatteis oder Schlaglöcher, mit Fahrzeugen in der näheren Umgebung auszutauschen. Dadurch können beispielsweise Warnungen an den Fahrer ausgegeben werden oder automatisch durch das Auto selbst die idealen Einstellungen für die jeweiligen Straßengegebenheiten gewählt werden.[14]
  • V2V Merging Assistance
Durch V2V Merging Assistance soll eine sichere und fließende Integration eines Fahrzeugs, z. B. von einer Autobahnauffahrt in den fließenden Verkehr, ermöglicht werden. Hierzu übermittelt das auffahrende Fahrzeug Manövervorschläge an die diese betreffenden Verkehrsteilnehmer.[15]
Car-to-Infrastructure
Car-to-Infrastructure-Kommunikation soll ebenfalls eine Erhöhung der Sicherheit, sowie eine effizientere Kapazitätennutzung der Infrastruktur ermöglichen. Dies soll durch Sendestationen, sogenannte RSU (Road-Side Units), beispielsweise an Ampeln, Verkehrsschildern oder Baustellen erreicht werden.
  • Enhanced Route Guidance and Navigation
Mit Hilfe von Enhanced Route Guidance and Navigation könnten beispielsweise Umleitungen direkt an das Navigationsgerät des Automobils gesendet werden oder Hindernisse wie Baustellen direkt Vorsichtsmeldungen an sich nähernde Fahrzeuge übermitteln.[16]
  • Green Light Optimal Speed Advisory
Durch Green Light Optimal Speed Advisory soll ein optimaler Verkehrsfluss erreicht werden, indem das Fahrzeug Empfehlungen zum optimalen Brems- und Beschleunigungszeitpunkt an Ampeln geben kann. Hierzu sollen RSUs an Ampeln Informationen über Entfernung und die nächste Rot- bzw- Grünphase an sich nähernde Fahrzeuge senden.[17]
  • Hazardous Location I2V Notification
Der Anwendungsfall Hazardous Location I2V Notification ist vergleichbar mit dem der Location V2V Notification. Der Unterschied besteht darin, dass die Informationen über RSUs ausgetauscht werden.[14]
Car-to-Home
Abb.2.2 Info- und Enternainment
Abb.2.2 Info- und Enternainment
Die Vernetzung von Heim und Auto dient vornehmlich dem Komfort des Autofahrers. Car-to-Home-Kommunikation ist derzeit weniger Thema im C2C-CC, wird dafür aber durch Automobilhersteller entwickelt.
  • Info- und Entertainment
Eine simpler Anwendungsfall des Info- und Entertainment wäre beispielsweise der Austausch von Musik oder Hörspielen mit dem heimischen Wohnzimmer. Zudem könnten Reise- und Ausflugsziele am heimischen PC geplant und direkt in das Navigationssystem des Wagens gesendet werden.[10]
  • Wartung und Konfiguration
Mit Hilfe von Wartung und Konfiguration-Möglichkeiten, könnten Wartungsdaten des Autos, wie Tank- und Ölstand, bequem am Schreibtisch ausgewertet und direkt entsprechende Konfigurationen vorgenommen werden. Genauso könnten mittels statistischer Routendaten ideale Fahrtpläne für regelmäßige Strecken ermittelt und an das Automobil übertragen werden.[10]
Car-to-Enterprise
Eine Schnittstelle für Car-to-Enterprise-Kommunikation würde die Möglichkeit zu Serviceleistungen durch Unternehmen direkt im Automobil bieten.wäre eine interessante Möglichkeit für Unternehmen, u. a. auch um diese als zusätzliche Werbeplatform zu nutzen. Nicht nur für Unternehmenssparten, in denen Kunden tagtäglich mit ihren Autos präsent sind, ergäbe sich ein Fülle an neuen Möglichkeiten.
  • Point of Interest Notification
Für den Fahrer interessante Geschäfte und Attraktionen könnten sich über Point of Interest Notification dem Automobil mitteilen, wenn es sich in ihrer Nähe befindet. Gefiltert wird die eventuelle Masse an Informationen durch Voreinstellungen des Fahrers. Eine weitere Möglichkeit wäre beispielsweise automatisch Informationen über nächstgelegene Tankstellen und deren Preise auszugeben, falls der Kraftstofftank niedrig ist.[18]
  • Remote Diagnostics
Das Konzept Remote Diagnostics sieht, ähnlich dem Anwendungsfall der Heimwartung, eine Fernwartung des Automobils durch damit beauftragte Werkstätten vor. Dadurch wären erste Diagnosen der Werkstatt bereits möglich, ohne diese besuchen zu müssen.[19]
  • In-Route Hotel Reservations
Unter Verwendung des In-Route Hotel Reservations könnte der Fahrer sich auf Wunsch, an der im Navigationsgerät geplanten Route liegende, Hotels anzeigen lassen. Hotels könnten dann Informationen zu aktuell freien Zimmern und Preiskategorien zur Verfügung stellen. Unter Angabe der eigenen Identität könnte dann eine direkte Reservierung stattfinden.[20]

2.2 Technologien

Klassische Mobilfunktechnologien
Technologie GSM UMTS LTE
Generation 2 3 4
Erweiterungen - GPRS EDGE - HSDPA/HSUPA -
Einführungsjahr 1992 2000 2005 2002[21] 2008 2010
Downrate 9,6 kbit/s 115 kbit/s 260 kbit/s 384 kbit/s 7,2 Mbit/s 100 Mbit/s
Uprate 9,6 kbit/s 115 kbit/s 220 kbit/s 384 kbit/s 5,8 Mbit/s 50 Mbit/s
Weitere funkbasierte Übertragungstechnologien
Technologie WLAN Bluetooth
Version IEEE 802.11 IEEE 802.11a IEEE 802.11b IEEE 802.11g IEEE 802.11n IEEE 802.11p 1.0/1.0B/1.1/1.2 2.0/2.1
Einführungsjahr 1997[22] 1999[22] 1999[22] 2003[22] 2009[22] geplant für Juni 2010[22] 1999 2004
Datenraten 2 Mbit/s 54 Mbit/s 11 Mbit/s 54 Mbit/s 600 Mbit/s 27 Mbit/s 1 Mbit/s 2,1 Mbit/s
GSM (Global System for Mobile Communication)
Der Mobilfunkstandard GSM gehört der zweiten Mobilfunkgeneration an und löste die analogen Mobilfunknetze durch digitale Technik ab. Das erste kommerzielle GSM-Netz wurde in Österreich duch die Firma Mobilkom betrieben. Im Jahre 2009 ist das GSM-Netz in 222 Ländern und Regionen der Erde mit mehr als 3,5 Billionen Anwendern vertreten.[23] Im Laufe der Jahre folgten Anpassungen und Erweiterungen des GSM-Standards wie beispielsweise die Standards GPRS (General Packet Radio Service) und EDGE (Enhanced Datarates for Global Evolution), die höhere Datentransferraten (bis zu 260 kbit/s im Downstream und 220 kbit/s im Upstream) ermöglichten, um so dem Zeitalter des World Wide Web gerecht zu werden. Die flächendeckende Verfügbarkeit macht diese Technologie trotz des Alters unabdingbar und stellt bei nicht Verfügbarkeit neuerer Standards eine gute Fallback-Strategie dar.
UMTS (Universal Mobile Telecommunications System)
Im Jahre 2002 nimmt die Firma Mobilkom Austria das erste europäische UMTS Netzwerk in Betrieb.[21] Die neue Technolgie soll die stetig steigende Nachfrage nach Datendiensten und Bandbreiten im Mobilfunkbereich befriedigen. So liefert UMTS mit der Erweiterung HSDPA (High Speed Downlink Paket Access) und HSUPA (High Speed Uplink Paket Access) in der Theorie maximale Datenraten von 7,2 Mbit/s im Downlink sowie 5,8 Mbit/s im Uplink. Neben der Geschwindigkeit und vielen anderen Neuerungen wurden auch Sicherheitslücken entfernt. Während sich im GSM-Netz nur der Teilnehmer gegenüber dem Netzbetreiber authentifizieren musste, erfolgt bei dem UMTS auch eine Authentifizierung des Netzbetreibers gegenüber dem Teilnehmer. Am 28. Januar 2010 feierte die 3G/UMTS Familie ihren 500 Millionsten Kunden [24] (562,817 Millionen Kunden Stand 06.06.2010 15:40, aktuelle Kundenanzahl lässt sich unter http://www.umts-forum.org/ ablesen).
LTE (Long Term Evolution)
LTE, Mobilfunkttechnik der 4. Generation, soll der Nachfolger des UMTS-Standards werden. Die Frequenzen wurden in diesem Jahr versteigert [25] und erste Testbetriebe laufen seit Ende letzten Jahres.[26] Vorteile gegenüber UMTS sind, neben der zehnfachen Datenrate (100 Mbit/s im Downlink sowie 50 Mbit/s im Uplink), verringerte Anwortzeiten sowie eine effizientere Nutzung der Frequenzbandbreite. LTE bietet somit Übertragungsraten, die nahe an kabelgebundenen Netzwerken liegen und ermöglicht neue Dienste im Bereich des Mobilfunks wie beispielsweise das Internet-TV.
WLAN (Wireless Local Area Network)
Neben den Mobilfunktechnologien übernimmt vorallem das Wireless LAN eine tragende Rolle in dem C2C-CC System. Ob die Kommunikation eines Automobils mit dem Heim, der Infrastruktur oder mit anderen Fahrzeugen, solange sich der Kommunikationspartner in unmittelbarer Nähe befindet, soll das WLAN zum Datenaustausch verwendet werden. Standardisiert durch das IEE (Institute of Electrical Engineers) in der Norm IEEE 802.11 wurde das Funknetzwerk vor allem durch seinen Gebrauch in privaten Haushalten bekannt, in denen es mittlerweile zentraler Bestandteil vieler Multimediaanwendungen ist. In der aktuellsten Fassung (IEEE 802.11n) sind Datenraten von (theoretisch) bis zu 600 Mbit/s möglich. Für die Anwendung in Fahrzeugen wird zur Zeit eine eigene Norm unter dem Namen IEEE 802.11p entwickelt, die für MANET (Mobile Ad Hoc Netwerke) optimiert wird. Ziel ist es die Anforderungen an die hoch dynamische Netzstruktur, die kurzen Kommunikationszeitfenster und die möglichen hohen Geschwindigkeiten zu erfüllen.[27] Die Entwicklung des Standards ist zu 99 Prozent abgeschlossen.[22]
Bluetooth
Zur Anbindung externer Geräte an das Fahrzeug soll der Industriestandard IEEE 802.15.1 mit dem Namen Bluetooth verwendet werden. Dieser wurde in den neuziger Jahren für die Firma Ericsson entwickelt. Ziel war es eine Kommunikationstechnologie zu schaffen, welche im Bereich geringer Distanzen Kabelverbindungen ablöst. Bekannt wurde die Technologie im Mobilfunkbereich. Bluetooth bietet dem Handybesiter Daten wie Visitenkarten, Bilder, Klingeltöne, etc. auszutauschen. Die Anbindung von externen Geräten via Bluetooth in Fahrzeugen ist keine Neuerung. So wird beispielsweise bei namenhaften Herstellern eine Bluetooth-Schnittstelle verwendet um das Handy mit dem Fahrzeug zu verbinden.

2.3 Datenschutz

Bereits im Jahr 1215 wurde das erste Gesetz zum Schutze personenbezogener Daten in Form des Beichtgeheimnisses im Kirchenrecht verankert. Die Thematik des Datenschutzes ist seit der Entwicklung der Computertechnologien umso aktueller. Durch die elektronische Verarbeitung und Vorhaltung von Daten sind die Möglichkeiten des Missbrauchs drastisch gestiegen. Daher wurde 1978 das BDSG (Bundesdatenschutzgesetz) verabschiedet, welches den Umgang mit personenbezogenen Daten regelt. Nach §1 Absatz 1 ist Zweck des Gesetzes, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. So haben natürliche Personen nach § 6 Absatz 1 beispielsweise die unabdingbaren Rechte auf Auskunft, Berichtigung, Löschung und Sperrung ihrer personenbezogenen Daten.

Nach §3 Absatz 1 werden personenbezogene Daten definiert als "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)". Folglich unterliegen Daten, die nicht direkt einer natürlichen Person zugeordnet sind, über welche diese Person aber ermittelbar wäre, ebenso dem Datenschutz.

Zusätzlich gibt es landes- und bereichsspezifische Regelungen, die das BDSG erweitern oder sogar teilweise aufheben können. Im Bereich der elektronischen Informations- und Kommunikationsdienste legt das TMG (Telemediengesetz) die dort geltenden bereichsspezifischen Regelungen fest.
Wesentlicher Bestandteile des TMG ist, dass nach § 12 Absatz 1 personenbezogene Daten nur in Ausnahmefällen[28] oder mit ausdrücklicher Einwilligung des Nutzer durch Diensteanbieter erhoben werden dürfen.

Datenvorhaltung ist jedoch sowohl für Staat als auch Unternehmen notwendig, denn viele Vorgänge, z.B. automatische Rechnungsstellungen, sind ohne die Speicherung von personenbezogenen Daten nicht möglich. Dennoch stehen Staat und Unternehmen oft in der Kritik der Datenschützer, beispielsweise aufgrund der staatlichen Vorratsdatenspeicherung und Onlinedurchsuchungen, welche mit dem Ziel der besseren Verbrechensbekämpfung begründet werden. Auch Unternehmen sind durch illegale Mitarbeiterüberwachung oder Erstellung von Kundenprofilen in Verruf geraten. Beweggründe hierfür sind unter anderem vermeindliche Effizienssteigerung und die Entwicklung gezielter Marketingstrategien.[29][30][31]

Bei der automatisierten Erhebung von personenbezogenen Daten sind nach der Anlage zu §9 Absatz 1 des BSDG folgende Schutzmaßnahmen, unter Einbezug der IT-Sicherheit, zu treffen:

  1. Zutrittskontrolle - Zutritt zu Datenverarbeitungsanlagen ist nur befugten Personen zu gestatten[32]
  2. Zugangskontrolle - Nutzung der Datenverarbeitungssysteme darf nur durch befugte Personen möglich sein[32]
  3. Zugriffskontrolle - bei der Nutzung von Datenverarbeitungssystemen durch berechtigte Nutzer dürfen diese nur auf Daten zugreifen, für welche sie berechtigt sind. Personenbezogene Daten dürfen zu keinem Zeitpunkt unbefugt gelesen, kopiert, verändert oder entfernt werden können.[32]
  4. Weitergabekontrolle - personenbezogene Daten dürfen bei Übertragung über elektronische Netzwerke oder Datenträger nicht gelesen oder manipuliert werden können. Der Transport muss nachvollziehbar sein.[32]
  5. Eingabekontrolle - Datenverarbeitungssysteme müssen die Möglichkeit bieten schreibende, ändernde und löschende Tätigkeiten durch Nutzer nachvollziehen zu können[32]
  6. Auftragskontrolle - im Auftrag zu verarbeitende Daten dürfen nur nach Weisung des Auftraggebers verarbeitet werden können[32]
  7. Verfügbarkeitskontrolle - personenbezogene Daten müssen vor Verlust und zufälliger Zerstörung geschützt sein[32]
  8. Zweckbestimmung - zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können[32]

Diese Maßnahmen beziehen sich auf die konkrete Realisierung datenverarbeitender Systeme. Sie können daher nicht eindeutig dem reinen Datenschutz oder der reinen Datensicherheit zugeordnet werden. So muss zum Beispiel zur Realisierung einer ausreichenden Zugriffkontrolle zunächst ein dem Datenschutz gerecht werdendes Konzept entworfen werden. Auf Basis dieses Konzeptes kann dann ein System entwickelt werden, dass im Zuge der Datensicherheit den technischen Anforderungen entspricht.

2.4 Datensicherheit

Während Datenschutz "den Schutz personenbezogener Daten vor dem Missbrauch durch Dritte"[33] meint, befasst sich die Datensicherheit (auch Informationssicherheit) mit dem Schutz von Daten "hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität"[34].Bei der Definition von Datensicherheit ist der Passus "hinsichtlich gegebener Anforderungen" maßgeblich. Der IT-Leiter einer Bank stellt andere Anforderungen an die Sicherheit der vorliegenden Daten und Systeme als beispielsweise ein Handwerksbetrieb. Je nach Einsatz eines Systems ergeben sich demnach unterschiedliche Anforderungen an die Datensicherheit. Im Folgenden werden die grundlegenden Begrifflichkeiten in Hinsicht auf die Datensicherheit definiert:

Vertraulichkeit
"Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen."[35]
Verfügbarkeit
"Die Verfügbarkeit [...] von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können."[35]
Integrität
"Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen."[35]
Authentizität
"Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein."[35]

Datensicherheit kann folglich mit dem Schutzziel der Vertraulichkeit dazu beitragen geltende Datenschutzrichtlinien zu erfüllen bzw. umzusetzen, bezweckt jedoch weitaus mehr (Vgl. Abb.1.2). Wie Eingangs beschrieben ergeben sich bezüglich des vernetzten Fahrzeuges spezielle Anforderungen an die Datensicherheit. Zum einen spielt die Verfügbarkeit von Informationen und Diensten eine untergeordnete Rolle, da das System grundsätzlich unterstützenden Charakter hat. Auf der anderen Seite ist es umso wichtiger die Echtheit und Glaubwürdigkeit der Daten zu gewährleisten. Szenarien in denen ein Angreifer das System missbraucht um sein Opfer durch falsche Informationen über eine wenig befahrene Straße zu lotzen um es anschließend auszurauben dürfen nicht realisierbar sein. Um diesen Anforderung Rechnung zu tragen wird neben der Vertraulichkeit, der Verfügbarkeit und der Integrität als viertes Schutzziel die Authentizität definiert.

3 Datenschutz

Abb.3.1 Sensorik
Abb.3.1 Sensorik

Das Konzept der Connected Cars setzt den hochfrequenten Austausch von Daten voraus. Um eine datenschutzspezifische Risikoanalyse durchführen zu können, müssen zunächst umfassend die im System vorhandenen Daten identifiziert und auf ihre datenschutzrechtliche Relevanz überprüft werden. Die zu kommunizierenden Daten sollen von den Fahrzeugen größtenteils selbstständig durch umfassende Sensorik (s. Abb. 3.1) erfasst werden.

Die Daten, die das System des Automobils über sich selbst ermitteln können, umfassen beispielsweise:

  • Position[36]
  • Geschwindigkeit[36]
  • Fahrtrichtung[36]
  • Warnblinker[36]
  • Bremsstärke / Fahrzeugverzögerung[36]
  • Daten von ABS, ESP und ASR Sensoren[36]
  • Regensensor/Scheibenwischer-Status[36]

Dabei gilt, dass mit der Verbesserung der Sensoren- und Messtechniken auch der Umfang der Datenerfassung steigt, wodurch eine noch breitere Datenbasis möglich wird.[36]

3.1 Datenfluss

Abb.3.2 Beispiel Datenfluss beim Enhanced Route Guidance and Navigation
Abb.3.2 Beispiel Datenfluss beim Enhanced Route Guidance and Navigation

Um potenzielle Schwachstellen in Bezug auf Datenschutz aufdecken zu können, muss zunächst analysiert werden, welche Informationen über das System verfügbar sind und übertragen werden. Im Folgenden soll daher auf Dateninhalte, Datenherkunft und Datenaustauschfrequenz der vier zuvor vorgestellten Anwendungsgebiete und -fälle eingegangen werden. Es werden nur Daten berücksichtigt, die zur vollen Funktion der betrachteten Anwendungsfälle unbedingt notwendig sind. Die Übertragung zusätzlicher Daten ist theoretisch zwar möglich, es wird aber nach §3a des BDSG vom Prinzip der Datenvermeidung und Datensparsamkeit ausgegangen. Außerdem soll betrachtet werden, in welchen Fällen eine Datenvorhaltung durch RSUs, Dienstanbietern und Fahrzeugen notwendig ist. Der tatsächliche Datenfluss und die Datenspeicherung innerhalb der Anwendungen ist von der umgesetzten Implementierung abhängig. Die vorgestellten Anwendungsfälle sind derzeit jedoch rein szenarienbasiert und nicht ausgereift. Daher können die fließenden Dateninhalte und deren Speicherung nur rein fiktiv ermittelt werden. In Abb. 3.2 wird beispielsweise der notwendige Datenfluss beim Anwendungsfall des Enhanced Route Guidance and Navigation dargestellt.

Grundsätzlich soll die Anonymität des Autofahrers während des gesamten Informationsflusses gewahrt und eine Nachverfolgung verhindert werden. Gleichzeitig muss die Vertrauenswürdigkeit aller Informationen sichergestellt sein, indem Nachrichten über Zertifikate überprüft werden können. Anhand eines immer gleich bleibenden Zertifikats wäre aber eine eindeutige Identifizierung möglich. Selbst ein Zertifikat, dass über eine dritte Stelle die Anonymität des Nutzer wart, würde eine Nachverfolgung der Fahrzeugaktivitäten ermöglichen. Daher ist der derzeitige Lösungsansatz des C2C-CC die Vergabe von temporären, eindeutigen Zertifikaten mittels RSUs. Für die Vergabe der Zertifikate soll eine vertrauenswürdige Stelle zuständig sein. Ein Fahrzeug besäße ein einziges festes Zertifikat, welches nur zur Anfrage von temporären Zertifikaten benötigt würde. Die Identität des Zertifikatnehmers wäre nur der zuständigen Vergabestelle bekannt. Eine anonymer und dennoch sicherer Austausch soll so gewährleistet werden. Bei allen sicherheitskritischen Datenübertragungen muss dieses anonyme, aber eindeutige, Zertifikat mitversandt werden. Außerdem müssen sich die Kommunikationspartner für eine bidirektionale Kommunikation über eindeutige Identifikatoren wiederfinden können, welche in diesen Fällen ebenfalls mit übetragen werden müssten. Diese, für die Kommuniktion rein technisch notwendigen und nicht personenbezogenen Daten, werden im Folgendem nicht explizit mit aufgeführt.[37]

3.1.1 Car-to-Car

  • Pre-Crash Sensing/Warning
Dateninhalte Position, Fahrtrichtung, Geschwindigkeit, Bremsstärke / Fahrzeugverzögerung[13]
Datenherkunft/-empfänger Alle Fahrzeuge in näherer Umgebung empfangen und senden Daten.[13]
Datenfrequenz Möglichst schnelle Übertragung im Sekundentakt.[13]
Datenvorhaltung Keine dauerhafte Speicherung, aber evt. temporäre Zwischenspeicherung.[13]
  • Hazardous Location V2V Notification
Dateninhalte Position, Fahrtrichtung, Warnblinker, Daten von ABS, ESP und ASR Sensoren, Regensensor/Scheibenwischer-Status, empfangene Warnungen[14]
Datenherkunft/-empfänger Alle Fahrzeuge in näherer Umgebung empfangen und senden Daten.[14]
Datenfrequenz Sehr schnelle Übertragung im Sekundentakt.[14]
Datenvorhaltung Speicherung der empfangenen Warnungen[14]
  • V2V Merging Assistance
Dateninhalte Position, Fahrtrichtung, Geschwindigkeit, Maße/Größe, Manöverinformationen/ gewünschte Position[15]
Datenherkunft/-empfänger Alle Fahrzeuge in näherer Umgebung empfangen und senden Daten.[15]
Datenfrequenz Daten werden nur in der entsprechenden Situation versandt. Dann sehr schnelle Übertragung im Sekundentakt.[15]
Datenvorhaltung Keine dauerhafte Speicherung, aber evt. temporäre Zwischenspeicherung der Manöver.[15]

3.1.2 Car-to-Infrastructure

  • Enhanced Route Guidance and Navigation
Dateninhalte statistische Daten über das tatsächliche und erwarterte Verkehrsaufkommen, geplante Route[16]
Datenherkunft/-empfänger Alle Fahrzeuge und RSUs in näherer Umgebung empfangen und senden Daten.[16]
Datenfrequenz Schnelle Übertragung im Sekundentakt.[16]
Datenvorhaltung Speicherung der gemessenen Daten des Verkehrsaufkommens.[16]
  • Green Light Optimal Speed Advisory
Dateninhalte Position, Fahrtrichtung, Geschwindigkeit, Schaltungszeiten von Ampeln[17]
Datenherkunft/-empfänger RSU an Ampel sendet Daten an alle Fahrzeuge in der nähereren Umgebung.[17]
Datenfrequenz Schnelle Übertragung im Sekundentakt.[17]
Datenvorhaltung Keine dauerhafte Speicherung, da die RSUs in diesem Fall keine Daten empfangen.[17]

3.1.3 Car-to-Home

  • Info- und Enternainment
Dateninhalte Audio, Filme, Spiele[10]
Datenherkunft/-empfänger Eigenes Fahrzeug und/oder weitere Endgeräte senden und empfangen.[10]
Datenfrequenz Daten werden nur auf Anforderung versandt.[10]
Datenvorhaltung Audio, Filme, Spiele[10]
  • Wartung und Konfiguration
Dateninhalte Daten zum Fahrzeugzustand wie z.B. Tankmenge und Ölstand, Systeminformationen, System-Historie, statistische Routen-Daten[10]
Datenherkunft/-empfänger Eigenes Fahrzeug und/oder weitere Endgeräte senden und empfangen.[10]
Datenfrequenz Daten werden nur auf Anforderung versandt.[10]
Datenvorhaltung Systeminformationen, System-Historie, statistische Routen-Daten[10]

3.1.4 Car-to-Enterprise

  • Point of Interest Notification
Dateninhalte Informationen über lokale Geschäfte, Attraktionen, Services[18]
Datenherkunft/-empfänger Private und kommerzielle Sendestationen senden, alle Fahrzeuge in der Umgebung empfangen.[18]
Datenfrequenz Schnelle Übertragung im Sekundentakt.[18]
Datenvorhaltung Keine dauerhafte Speicherung.[18]
  • Remote Diagnostics
Dateninhalte Systeminformationen[19]
Datenherkunft/-empfänger Eigenes Fahrzeug und/oder weitere Endgeräte des Dienstleisters senden und empfangen.[19]
Datenfrequenz Daten werden nur auf Anforderung versandt.[19]
Datenvorhaltung Systeminformationen[19]
  • In-Route Hotel Reservations
Dateninhalte Routen-Daten, Hotelinformationen wie Preise oder Kategorie[20]
Datenherkunft/-empfänger Kommerzielle Sendestationen senden, Fahrzeuge empfangen. Bei Buchung sendet auch das Fahrzeug.[20]
Datenfrequenz Daten werden nur auf Anforderung versandt.[20]
Datenvorhaltung Buchungsdaten im Falle einer Reservierung.[20]

3.2 Risikoanalyse

Diese Risikoanalyse soll, anhand der zuvor ermittelten Datenströme, auf Gefährdungspotenziale im Bereich Datenschutz bei Connected Cars eingehen. Sie unterteilt sich dabei in die Schritte Gefährdungsidentifizierung, Gefährdungsanalyse und Ursachenanalyse.

Die zuvor identifizierten Datenflüsse können kaum als vollständig betrachtet werden. Sie dienen lediglich einem Überblick über die personenbezogenen Informationen die, nach dem aktuellen Entwicklungsstand bei Connected Cars, bei der Kommuniktion fließen könnten. Die Risikoanalyse soll einen allgemeinen Überblick über datenschutzrechtlich kritische Bereiche geben und hierbei Bezug auf die ermittelten Datenflüsse nehmen. Die Risikoanalyse besteht zu großen Teilen aus selbstständig erarbeiteten Ergebnissen, da bislang keine entsprechenden Quellen vorliegen.

3.2.1 Gefährdungsidentifizierung

Die Gefährdungsidentifizierung soll zunächt wertungsfrei mögliche datenschutzrechtliche Probleme im Allgemeinen, sowie innerhalb der Anwendungsgebiete aufdecken. Anhand einer Überprüfung der möglichen Umsetzungen der in der Anlage zu §9 des BDSG aufgeführten Maßnahmen, kann eine erste Gefährdungsidentifizierung vorgenommen werden.[32] Hierbei werden nur solche Punkte berücksichtigt, die vornehmlich die Thematik des Datenschutzes betreffen und als kritisch bewertet werden.

Im Bereich der Car-to-Home-Anwendungsfälle könnten, bei Nutzung eines Fahrzeugs durch mehrere Personen, Schwachstellen im Bereich der Zugriffskontrolle entstehen. Wenn für den Zugriff auf die Daten des Automobils keine differenzierbare Berechtigungsstruktur möglich ist, könnten theoretisch alle Fahrzeugnutzer mit Zugriffsrechten, auf die während der Fahrt erhobenen Daten zugreifen. Dadurch wäre z. B. die Kontrolle aller gefahrenen oder geplanten Routen der Fahrzeugnutzer möglich. Eine weitere Gefahr besteht bei einem Wechsel des Fahrzeughalters. Eine fehlende Möglichkeit zur Löschung aller bis dahin erhobenen Daten, würde es dem nachfolgendem Besitzer evt. ermöglichen auf die bestehenden Daten zuzugreifen. In Hinblick auf eine ausreichende Auftragskontrolle bestehen ähnliche Risiken wie bei der Zugriffskontrolle. Auch hier besteht die Gefahr der mangelnden Steuerung und Differnzierbarkeit von Zugriffsrechten und Sichtbarkeiten von Daten, so dass die Sichtbarkeit von personenbezogenen Daten z.B. durch beauftragte Werkstätten nicht genügend steuerbar ist.

Außerdem wäre eine sichere physische Zutrittskontrolle nur in Grenzen zu realisieren, da Fahrzeuge in der Regel Bestandteil des öffentlichen Lebens sind. Auch bei einem Fahrzeughalterwechsel würde eine Zutrittskontrolle unmöglich werden. Desweiteren ist eine Eingabekontrolle von empfangenen Daten, auf Grund der Anonymität der Verkehrsteilnehmer, unmöglich.

Problematisch wäre auch die Sicherstellung der Zweckbindung der Daten, da diese öffentlich zugänglich wären. Insbesondere im Bereich der Anwendungsfälle von Car-to-Car und Car-to-Infrastructure werden sehr viele Daten als Broadcast versendet. Die dort übermittelten Daten wären zwar anonym oder nicht personenbezogen, dafür aber in sehr großen Mengen vorhanden. Jede Empfangsstation mit den entsprechenden technischen Vorraussetzungen könnte Daten aufnehmen und verarbeiten. Eine Kontrolle des nicht zweckgebundenen Empfangen und Verarbeiten von Daten wäre nicht möglich. Außerdem wäre trotz temporärer Zertifikate zumindest eine kurzweilige Nachverfolgung der Bewegungen eines Automobils denkbar.

Nicht zuletzt wäre eine vollkommen anonyme Nutzung des Systems auf Basis des derzeitigen Sicherheitskonzeptes nicht möglich. Eine eindeutige Identifizierung eines Verkehrsteilnehmers wäre für die Vergabestelle der temporären Zertifikate jederzeit möglich.

3.2.2 Gefährdungsanalyse

Die Folgen der identifizierten Risiken werden in der Gefährdungsanalyse qualitativ und quantitativ bewertet, damit eine Vorstellung über Tragweite und Wahrscheinlichkeit der Risiken entstehen kann.

Eventuelle Schwachstellen im Bereich der Zugriffskontrolle könnten zu immensen Problemen im Bereich des Datenschutzes führen. Neben der eventuellen Kontrolle von Systemdaten des Automobils durch Familienmitgliedern, die dasselbe Auto nutzen, wäre ein anderer Fall beispielsweise die Kontrolle von Routen-Daten in Firmenfahrzeugen. Dies ist insbesondere rechtlich kritisch, wenn die betroffene Person nichts von dieser Kontrollmöglichkeit weiß. Nach § 4 des BDSG ist „die Erhebung, Verarbeitung und Nutzung personenbezogener Daten [..] nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.”[38]

Eine mangelnde Möglichkeit der Löschung von personenbezogenen Daten ist ein weiteres Problem, insbesondere beim Wechsel des Fahrzeughalters. Theoretisch könnten Zwischenhändler, die in Besitz der Zugangsdaten zum System des Automobils sind, personenbezogene Daten an Datenhändler verkaufen. Ebenso besteht die Gefahr des illegalen Datenhandels über beauftragte Werkstätten, die auf Grund fehlender Zugriffsdifferenzierung alle Daten erreichen können.[39] Die Gefahr der nicht ausreichenden Zugriffkontrolle basiert aber nicht ausschließlich auf fehlender Steuerbarkeit des Berechtigungssystems und der bestehenden Daten, sondern könnte ebenfalls durch Anwenderverschulden entstehen. Eine mangelnde Sensibilierung, fahrlässiges Verhalten oder fehlende Kenntnisse über die Systemwartung könnten Gründe für die ungewollte oder gleichgültige Weitergabe von persönlichen Daten sein.

Problematisch ist auch das generelle Problem der Realisierung einer echten Anonymität. Eine solche wäre mit dem derzeiten Konzept nicht gegeben, denn für die Vergabestelle der Zertifikate wäre eine Verfolgung und Überprüfung der Identität der Zertifikatnehmer jederzeit möglich. Eine staatliche Zertifikatsstelle hätte dadurch die Möglichkeit, den Verkehr vollkommen zu überwachen und beispielsweise Aufenthalte und Fahrstil von Verkehrsteilnehmern zu überwachen. Denkbar wären elektronische Strafzettel, die automatisch bei Geschwindigkeitsüberschreitung oder beim Überfahren einer roten Ampel erstellt werden. Mittels RSUs wären hierzu nichtmal mehr Blitzer oder dergleichen nötig. Die Daten über Position und Geschwindigkeit würde das Fahrzeug selbstständig an die Empfangsstationen senden. Bei Unfällen könnten aufgrund gespeicherter Daten Unfallhergang und Fahrstil der Fahrer beurteilt werden. Sämtliche Aufenthalte von Fahrzeugen könnten rekonstruiert und bei der Verbrechensaufklärung verwendet werden. Ohne klare gesetzliche Regelungen über den erlaubten Verwendungszweck der erfassten Daten, wäre eine solche Nutzung nicht auszuschließen. Das konkrete Ausmaß der Überwachungsmöglichkeiten durch die entstehenden Daten ist abhängig von den Informationen, die letzendlich tatsächlich während der Kommunikation fließen. Jedoch zeigt sich schon das Potenzial der Möglichkeiten in der Annahme der umfassenden Aufenthaltskontrolle mittels GPS-Daten.

Gefahr der Nutzung der Daten zur illegalen Überwachung, auch wenn die Anonymität des Datenurhebers gegenüber Dritten gewahrt bliebe, bestünde nicht nur durch die Vergabestelle. Da der Großteil der Daten frei zugänglich wäre, wäre das Sammeln und Analysieren und damit auch ein Missbrauch sehr leicht. Selbst wenn die Automobile nicht über längere Strecken identifzierbar wären, könnten sie doch kurze Zeit nachverfolgt werden. In Kombination mit großen Datenmengen könnten unter Umständen mit relativ geringem Aufwand doch aussagekräftige Statistiken aufgestellt werden. Relevant könnten solche Möglichkeiten beispielsweise im Bereich der Industriespionage werden.

Nicht zuletzt ist es nur in Grenzen möglich eine sichere physische Zutrittskontrolle zu realisieren, da Autombile in der Regel Bestandteil des öffentlichen Lebens sind. Auch bei einem Wechsel des Fahrzeughalters würde eine Zutrittskontrolle unmöglich werden. Desweiteren wird eine Eingabekontrolle von empfangenen Daten, auf Grund der Anonymität der Verkehrsteilnehmer, unmöglich sein. Da jedoch nur Daten empfangen werden sollen und Kommunikationspartner keine Zugriffsrechte auf den Datenbestand haben würden, ist dies nicht datenschutzrechtlich relevant.

3.2.3 Ursachenanalyse

Die Ursachenanalyse soll die Ursprünge der identifizierten Risiken aufgedecken und quantifiziert betrachten.

Für einen Großteil der Risiken im Bereich Zugriffkontrolle wäre ein fehlendes oder mangelhaftes Berechtigungs- und Verwaltungssystem verantwortlich. Die Wahrscheinlichkeit hierfür wäre durch eine Sensibilisierung der Hersteller, sowie entsprechende gesetzliche Vorgaben eher gering. Größeres Problempotenzial hat jedoch die Ausführung durch den Anwender, denn wenn die breite Masse der Fahrzeughalter ihre Fahrzeugsysteme nicht ausreichend schützt, wie z.B. durch triviale Passwörter, nützt auch ein eigentlich gutes System nichts. Jedoch wäre dies nicht allein eine Problematik im Bereich Connected Cars.[40][41]

Wie auch bei der Zugriffskontrolle wäre häufige Ursache für mangelnde Auftragskontrolle ein unflexibles Berechtigungssystem. In der Praxis würden wahrscheinlich viele Fahrzeughalter unbedacht ihr Automobil in dritte Hände geben, auch wenn sie theoretisch die Möglichkeit einer Sicherheitskonfiguration hätten. Das bewusste Verhaltend der Anwender wäre in diesem für einen funktionierenden Datenschutz unumgänglich. Beispielsweise das blinde Vertrauen in den seriösen Umgang eines Unternehmen mit den eigenen Daten, dürfte nicht zu Fahrlässigkeit bei der Konfiguration der Zugriffsberechtigungen führen.

Ursache für die starke Gefährdung der Daten duch zweckfremden Gebrauch ist, dass eine technische Lösung zum Schutze der Daten kaum möglich sein wird. Die Daten wären öfftenlich zugänglich und anonym empfangbar. Eine Verhinderung des zweckfremden Gebrauchs wäre lediglich durch gesetzliche Regelungen möglich. Ein entsprechendes Gesetz hierzu gibt es bereits. Dennoch könnten Daten illegal erhoben und verwendet werden. Verwendung der Daten für polizeiliche Zwecke könnte durch ein Gesetz, das die Daten einzig an den Verwendungszweck Verkehrssicherheit und -optimierung bindet, verhindert werden. Dennoch stellt dies keine vollkommene Sicherheit dar. Ein solches Gesetz könnte genauso wieder aufgehoben werden.

Nicht zuletzt wäre eine vollkommen anonyme Nutzung des Systems auf Basis des derzeitigen Sicherheitskonzeptes nicht möglich. Eine eindeutige Identifizierung eines Verkehrsteilnehmers wäre für eine Vergabestelle der temporären Zertifikate jederzeit möglich.

3.3 Auswirkungen

Abb.3.3 Demonstration für den Datenschutz 2007 in Berlin
Abb.3.3 Demonstration für den Datenschutz 2007 in Berlin

Vor einer Einführung der Connected Cars in Verbindung mit einer flächendeckenden Verbreitung von RSUs, müssten zunächst wesentliche Fragen im Bereich des Datenschutzes geklärt werden. Eine Debatte über die Notwendigkeit der Erhebung bestimmter Daten müsste dazu führen, dass nur die notwendigsten Daten erhoben werden. Berechtigten Befürchtungen vor dem „gläsernen Autofahrer”[42] müsste mit entsprechenden technischen und gesetzlichen Maßnahem begegnet werden. Eindeutige Gesetze, die den Gebrauch der Daten durch Dritte verhindern, auch durch Staat und Polizei, müssten eingeführt werden.

Außerdem müsste eine intensive Sensibilierung der Fahrzeugnutzer auf den Umgang mit personenbezogenen Daten stattfinden. Der Informationsgehalt von Fahrzeugen sollte in das Bewusstsein der Fahrern und Fahrzeughaltern treten. Eine hohe Wahrscheinlichkeit für Proteste gegen die Einführung der Connected Cars ist dennoch gegeben. Denn trotz aller Datenschutzmaßnahmen ist es ein zusätzliches System, dass die Möglichkeit zur Überwachung bietet und größtenteils nur durch gesetzliche Rahmenbedingen einschränkbar ist. So fand beispielsweise im Jahr 2008, unabhängig vom Thema Connected Cars, in Berlin eine Demonstration unter dem Motto "Freiheit statt Angst - Stoppt den Überwachungswahn", mit der Forderung nach mehr Datenschutz und weniger Datenspeicherung, statt[43]. Bereits im Jahr zuvor wurde, ebenfalls in Berlin, unter dem Motto "Meine Daten gehören mir", siehe Abb. 3.3., die größte Datenschutz-Demo seit 20 Jahren veranstaltet[44]. Eine ähnliche Mobilisierung der Bevölkerung gegen eine datenschutzrechtlich zweifelhafte Umsetzung von Connected Cars wäre denkbar.

Problematisch wären zudem die unterschiedliche Rechtsgrundlagen innerhalb Europas. „In einigen Ländern ist Privatsphäre auf Kundenweisung oder per Gesetz verpflichtend. In anderen Ländern ist eine technische Möglichkeit zur Identifikation des Fahrers in jeder Situation gesetzlich vorgeschrieben. Konsequenterweise muss das Car2X System mit den unterschiedlichen Anforderungen an Anonymität und Sicherheit innerhalb Europas umgehen können.”[45] Eine Klärung der rechtlichen Bestimmungen wäre für den allgemeinen Datenschutz wichtig. Geregelte Reisebestimmungen über Zugriffe auf Daten aus Fahrzeugen von Reisenden müssten eingeführt werden.

3.4 Kritische Bewertung

Connected Cars bieten gute Möglichkeiten um den Verkehr sicherer, fließender und komfortabler zu machen. Dennoch verbergen sich einige Gefahren hinter diesen Vorteilen, denn es müssen erhebliche Mengen an Daten getauscht und erhoben werden. Ein sensibler Umgang mit diesen Daten, mit Blick auf den Datenschutz, ist unumgänglich. Eine Sensisibilisierung der Bevölkerung in Hinsicht auf den Datenschutzes ist zwar bereits im Gange, dennoch wird in aller Regel noch zu leichtfertig mit persönlichen Daten umgegangen. Im Bereich Connected Cars wäre dies sicherlich nicht anders.[43][44]

Neben einer möglichst gering zu haltenden Menge an verarbeiteten Daten, nach dem Prinzip der Datenvermeidung, muss vor allen Dingen auch auf eine entsprechende Gesetzesgrundlage geachtet werden. Diese sollte den Verwendungszweck der Daten auf konkrete Anwendungsfälle eingrenzen. Eine Überwachung der Fahrzeuge durch das System mit elektronischen Strafzetteln und ähnlichem sollte nicht möglich sein. Die Gefahr einer Auflösung solcher Gesetze bleibt dennoch bestehen. Die Möglichkeiten der umfassenden Überwachung des gesamten Verkehrs wären nach dem Ausbau des Systems immens. Das Wissen um vorhandene Daten weckt auch immer das Interesse an diesen. Eine Diskussion um die Aufhebung von gesetzlicher Zweckbindung der Daten gab es bereits beim Maut-System.[46]

Neben gesetzlich notwendigen Maßnahmen ist auch die anwenderfreundliche Umsetzung der Administrierungssoftware von Bedeutung. Eine Entmündigung des Fahrzeughalters durch komplizierte Bedienung ist dringend vorzubeugen. "Die Freigabe und Übertragung der Daten muss durch den Betroffenen selbst, den Halter bzw. den Fahrer geschehen und darf nicht von irgendwelchen Dritten vorgenommen werden."[42] Der Fahrzeughalter muss selbst in der Lage sein Zugriffsrechte und Datenfluss zu bestimmen.

Eine vollkommen anonyme Umsetzung des Systems ist derzeit nicht möglich. Noch so strenge Gesetzte können nichts an der Tatsache ändern, dass sie doch wieder aufgehoben werden könnten. Hier müssten klare Zeichen aus der Bevölkerung gesetzt werden.

Das C2C-CC formuliert ihre derzeitge Datenschutz-Prämisse folgendermaßen:"[...] muss das Level des Schutzes der Anonymität des Fahrzeugs und des Fahrers vergleichbar sein mit dem Stand, mit dem sich auch Mobilfunknutzer heutzutage wohlfühlen."[47] Jedoch ist auch über das Mobilfunknetz bei eingeschaltetem Mobilfon eine relativ genaue Bestimmung des Aufenthaltortes möglich.[48] Daher sind die Möglichkeiten der Verfolgung der Bewegungen und übetragenen Mobilfunkinhalte einer Person bereits heute vorhanden. Auch hier besteht die Gefahr der zweckfremden Nutzung der entstehenden Daten durch den Staat, da "zur Abwehr von drohenden Gefahren für die freiheitliche demokratische Grundordnung [...] die Verfassungsschutzbehörden des Bundes und der Länder, das Amt für den militärischen Abschirmdienst und der Bundesnachrichtendienst berechtigt [sind], den Fernmeldeverkehr zu überwachen und aufzuzeichnen (§ 1 Abs. 1 Nr. 1 G 10)."[49]

Zudem beherbergen bereits heute Fahrzeuge eine große Menge an personenbezogenen Daten. Diese sind jedoch nicht so sehr im Bewusstsein der Autofahrer und der Zugriff auf diese ist nur mit entsprechender Fachkunde möglich. Der Wesentliche Unterschied besteht darin, dass diese Daten nur mit direktem, physischem Zugriff auf das Automobil fassbar sind.[50]

4 Datensicherheit

Abb.4.1 Netzplan Car 2 Car Communication Consortium
Abb.4.1 Netzplan Car 2 Car Communication Consortium

Die Gegebenheiten bei der Verbindung zwischen zwei oder mehreren Fahrzeugen und/oder der Infrastruktur, stellt die Entwickler vor neue Herausforderungen. Während die Kommunikationspartner in klassischen Szenarien feststehende Größen sind, trifft dieser Aspekt auf die vorliegende Thematik nicht zu. Die Kommunikationspartner bewegen sich teils mit hoher Geschwindigkeit und nicht zwangsweise in eine Richtung. Dies wiederum zieht sehr kurze Kommunikationszeitfenster nach sich. Erschwerend kommt hinzu, dass sich die Anzahl der Kommunikationspartner hoch dynamisch verhält. Trotz der technischen Komplexität darf die Datensicherheit nicht vernachlässigt werden. Vor allem nicht, wenn man bedenkt, dass über dieses System Sicherheitswarnungen übertragen werden, aufgrund derer ein Fahrer riskante Fahrmanöver einleiten könnte.[51]

Eine grobe Anforderung an die Sicherheit stellt das C2C-CC an sein System wie folgt:"

  1. All information communicated in the network needs to correct and trustworthy
  2. The C2C-CC system must be extremely robust and must not fail to work
  3. The C2C-CC system participants' privacy must be ensured".[51]

Im Folgenden wird das Konzept des C2C-CC System anhand der vier Kriterien der Datensicherheit (Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität) überprüft. Im ersten Schritt werden die verwendeten Kommunikationstechnologien im Hinblick auf die allgemeinen Anforderungen der Datensicherheit untersucht. Anschließend erfolgt eine Risikoanalyse in der möglichen Gefahren des gesamten Systems identifiziert, analysiert und bewertet werden. Als Grundlage dient die Abbildung 4.1, die das Zusammenwirken der einzelnen Komponenten schematisch darstellt.

4.1 Übertragungstechnologie

Das C2C-CC setzt in einem Großteil der Anwendungsfälle auf die Kommunikationstechnologie des WLAN und sieht andere Kommunikationswege als optional an.[52] Aus diesem Grund soll bei der Analyse das Hauptaugenmerk auf diese Übertragungstechnologie gelegt werden.

In den Anwendungsbereichen, die die Verkehrssicherheit sowie die Verkehrseffizienz betreffen, setzt das C2C Consortium auf die verschiedenen Normen des WLAN. Je nach Verfügbarkeit ist der Einsatz der Normen IEEE 802.11 a,b,g und p möglich. Für die Absicherung WLAN-basierter Kommunikation stehen Authentifizierungs- und Verschlüsselungsmechanismen wie WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) oder der Nachfolger WPA2 zur Verfügung. Jedoch ist keiner dieser Mechanismen vorgesehen.[53] Das C2C Consortium legt fest, dass kein Bedarf besteht die zu übertragenden Informationen zu verschlüsseln um so Verkehrseffizienz und Verkehrssicherheit zu steigern.[54] Begründet liegt diese Aussage maßgeblich in dem knappen Faktor Zeit. Komplexe Verbindungsaufbauszenarien, wie sie bei den vorliegenden Sicherheitsmaßnahmen der Fall sind, sowie die Entschlüsselung von Informationen, kosten Zeit. Das könnte dazu führen, dass Sicherheitswarnungen dem Empfänger erst zu spät angezeigt werden und somit ihren Informationsgehalt verlieren. Zusammenfassend lässt sich sagen, dass das Schutzziel der Vertraulichkeit an dieser Stelle hinten angestellt wird, um die Verfügbarkeit überhaupt erst gewährleisten zu können.

4.2 Risikoanalyse

Die folgende Risikoanalyse soll im ersten Schritt mögliche grundlegende Gefahren identifizieren die das C2C-CC System mit sich bringt. Anschließend werden in Kapitel 4.2.2 die identifizierten Gefahren auf mögliche Folgen hin analysiert. Zuletzt werden in Kapitel 4.2.3 Ursachen für die Gefährdungen ermittelt. Auch hier besteht die Risikoanalyse zu großen Teilen aus selbstständig erarbeiteten Ergebnissen, da bislang keine entsprechenden Quellen vorliegen.

4.2.1 Gefährdungsidentifizierung

Die potentiellen Gefährdungen lassen sich in Verletzungen der vier zuvor definierten Schutzziele gliedern und sind folgend aufgelistet. Die Liste der Gefährdungen hat auf Grund des Umfangs dieser Ausarbeitung nicht den Anspruch auf Vollständigkeit. Sie soll vielmehr grundlegende Gefahren identifizieren.

Verletzungen der Vertraulichkeit:

  • Abfangen von Informationen um Bewegungsprofile zu erstellen, sie für einen anderen Zweck zu verwenden (Zweckentfremdung) oder sonstigen Missbrauch zu betreiben

Verletzungen der Integrität:

  • Aktives Senden falscher Information
  • Empfangene Informationen werden absichtlich oder durch unerwartete Systemzustände (bspw. defekte OBU) verändert und weitergeleiten
  • Empfangene Informationen werden nicht weitergeleitet

Verletzungen der Authentizität:

  • Verleugnen eines Kommunikationsvorgangs
  • Identitätsklau (temporäre Zertifikate eines anderen beschaffen und verwenden)
  • Veraltete Blacklist eines Teilnehmers

Verletzungen der Verfügbarkeit:

  • Ausfall einer einzelnen Systemkomponente (RSU, OBU (On-Board Unit), AU)
  • Ausfall der Public Key Infrastruktur (PKI)
  • Ausfall des gesamten Systems
  • Überlastung des Systems (mutwillig oder durch kapazitive Engpässe)

Die Verletzung der Vertraulichkeit wurde bereits im Kapitel 3.2 und Kapitel 4.2 eingehend behandelt und wird aus diesem Grund an dieser Stelle nicht weiter betrachtet.

4.2.2 Gefährdungsanalyse

Die Folgen der identifizierten Gefährdungen werden ermittelt.

Senden falscher Informationen
Das Senden falscher Information kann, handelt es sich um Daten die die Verkehrssicherheit betreffen, fatale Folgen haben. Von Rückstaus auf einem Streckenabschnitt bis hin zu einem Verkehrsunfall mit vielleicht verheerenden Folgen sind viele Szenarien denkbar. Auch der Multiplikatoreffekt ist nicht zu unterschätzen. Schafft es ein Angreifer eine Nachricht abzusetzen wird diese im Worst-Case durch andere Verkehrsteilnehmer weitergeleitet. So multipliziert sich die Nachricht fortlaufend und wird durch das Weiterleiten eines vertrauenswürdigen Teilnehmers zusätzlich legitimiert.
Informationen werden verändert und weitergeleitet
Die Manipulation erhaltener Daten kann die gleichen Folgen wie das initiale Senden einer Nachricht mit falschem Informationsgehalt haben. Im Idealfall sind in einem solchen Szenario mehrere Autos zugegen und haben bereits die originale Nachricht erhalten. Dies hätte zur Folge, dass ein hinzukommendes Fahrzeug die manipulierte Nachricht verwirft, da alle anderen Autos gegensätzliche Informationen liefern. Somit würde sich das System selbst bereinigen. Jedoch sollte nicht von dem Idealfall ausgegangen werden.
Informationen werden nicht weitergeleitet
Das Wegbleiben von Informationen zieht keine direkten Konsequenzen nach sich, da es sich um ein den Fahrer unterstützendes System handelt. Ein älteres Auto ohne Kommunikationstechnologie würde eine Nachricht ebenfalls nicht weiterleiten können. Es stellt dadurch aber kein Risiko für neuere Fahrzeuge mit dieser Technik dar.
Verleugnen eines Sendevorgangs
Ist es möglich den Versand von Informationen abzustreiten, können potentielle Angreifer nicht aus dem System ausgeschlossen werden, da eine eventuell illegale Handlung nicht nachgewiesen werden kann. Somit stünden Tür und Tor offen für den Missbrauch des Systems.
Identitätsklau
Gelingt es einem Angreifer mit einem Zertifikat eines anderen Teilnehmers zu kommunizieren, ist eine Rückverfolgung des Angriffs nicht nur unmöglich, sondern führt außerdem dazu, dass im schlimmsten Fall unschuldige Teilnehmer einer Straftat bezichtigt werden, die sie nicht begangen haben.
Veraltete Blacklist
Eine veraltete Blacklist führt dazu, dass eventuell schon bekannten Angreifern weiterhin vertraut wird. Handelt es sich bei dem Szenario nur um wenige Teilnehmer, ist das Risiko verhältnismäßig unerheblich. Die Wahrscheinlichkeit, dass der Angreifer und die Teilnehmer sich in Kommunikationsreichweite befinden ist sehr gering. Sollte das dennoch der Fall sein, kann dies ebenfalls verheerende Folgen haben. Abgeschwächt wird dieses Risiko durch die temporären Zertifikate. Ein Teilnehmer, der sich auf der Blackliste befindet, erhält kein neues Zertifikat nach Ablauf des Alten. Von der anderen Seite betrachtet wird die Blacklist des Teilnehmers mit der veralteten Liste bei Abholung eines neuen Zertifikates synchronisiert. Diese Mechanismen machen eine solche Konstellation unwahrscheinlich aber nicht unmöglich.
Ausfall einzelner Systemkomponenten
Mit Systemkomponenten sind an dieser Stelle die Komponenten AU, OBU und RSU gemeint. Ein Ausfall einer RSU oder einer AU führt dazu, dass nur noch eine Teilmenge der Dienste zur Verfügung stehen. Bei einer RSU ist dieser Ausfall ortsbezogen. Der Ausfall der Komponenten die sich in der in-vehicle-domain befinden (AU, OBU), stellen keine Gefahr für das System dar. Der Fahrzeughalter kann schlichtweg nicht mehr kommunizieren oder bestimmte Anwendungen nicht mehr nutzen. Das Gefahrenpotential ist sehr gering und ein Risiko für den Verkehr kann ausgeschlossen werden.
Ausfall der PKI
Ein Ausfall der PKI bedeutet in klassischen Szenarien, dass keine Zertifikate mehr verteilt werden können und auch eine Prüfung ausgestellter Zertifikate nicht möglich ist. In dem Kozept des C2C Consortiums ist jedoch auf Grund der Netzstruktur eine Prüfung der Zertifikate ohne Zugriff auf die PKI vorgesehen. Das reine Vorhandensein eines Zertifikates, welches temporärer Natur ist, reicht aus um sich gegenüber anderen zu authentifizieren. Dies hat zur Folge, dass sich nach einem Ausfall der PKI Fahrzeuge mit noch nicht abgelaufenen Zertifikaten weiterhin authentifizieren können. Fahrzeuge mit abgelaufenen Zertifikaten können in einem solchen Fall keine neuen Zertifikate beantragen und sind somit für die Dauer des Ausfalls vom System ausgeschlossen. Da keine Informationen über die geplante PKI in Bezug auf Ausfallsicherheit und Redundanz vorliegen, ist es an dieser Stelle nicht möglich das Risiko eines solchen Falles zu bewerten.
Ausfall des gesamten Systems
Ein Ausfall des gesamten Systems, beispielsweise durch Viren oder durch höhere Gewalt, hätte zur Folge, dass keine der Dienste mehr zur Verfügung stehen. In Bereichen in denen durch das C2C-CC System eine Verbesserung der Verkehrseffizienz erzielt wurde, kann es zu Verkehrsstauungen kommen. Für die Fahrzeughalter bedeutet ein solcher Ausfall die erneute Herausforderung ohne Informationen durch das System den Straßenverkehr meistern zu müssen.
Überlastung
Eine Überlastung des Systems kann nicht nur zu Verletzung der Verfügbarkeit sondern auch zu Verletzungen anderer Schutzziele führen, wenn beispielsweise für die Authentizität relevante Mechanismen auf Grund der Überlastung nicht mehr reagieren. Weitergehend kann eine Überlastung zu einem Ausfall des Systems führen wodurch äquivalente Folgen eintreten könne wie oben beschrieben.

4.2.3 Ursachenanalyse

Die Ursachenanalyse soll identifizieren wie zuvor genannte und betrachtete Gefahren zustande kommen können und welchen Ursprung sie haben.

Für die Gefährdungen, die eine Integritätsverletzung darstellen, liegt der Ursprung in Hinsicht auf die Komponente bei der OBU oder der RSU. Das initiale Senden einer Nachrichte durch einen Teilnehmer findet sich in der OBU. Diese stellt die Kommunikationszentrale in dem Fahrzeug dar. Schafft es ein Angreifer diese zu manipulieren, ist er in der Lage falsche Informationen zu versenden, erhaltene Informationen zu manipulieren oder Informationen, die weiterleitungswürdig sind, zu verwerfen. Dies kann er in dem Fall solange tun, bis er auf der Blacklist landet. Resultat daraus ist, dass eine manipulationssichere, nicht imitierbare OBU ein solches Szenario vermeiden kann. Eine Nachricht kann ihren Ursprung auch in einer RSU haben. An dieser Stelle gilt das Gleiche wie bei der OBU, wobei die Auswirkungen erheblicher wären. Die RSU sollte vor Missbrauch und Imitation geschützt werden. Das Gelingen eines solchen Angriffes hängt bei dem vorliegenden System auch vom Empfänger ab. Auf Seiten des Empfängers wird geprüft ob es sich um einen C2CC validierten Sender handelt, das Zertifikat noch gültig ist und ob der Sender nicht auf der Blacklist steht.[55] Die Prüfung wird durch die OBU durchgeführt und durch anschließende Plausibilitätsmechanismen ergänzt.[56] An dieser Stelle greifen demnach Sicherheitsmechanismen die bei nicht manipulierter OBU/RSU schadhafte Nachrichten abweisen. Auf Absenderseite besteht die Möglichkeit der digitalen Signatur, vergleichbar mit einem Siegel, um die Integrität zu wahren. Diese kann auf Empfängerseite überprüft werden.

Die Ursachen für die Verletzung der Authentizität sind vielfältig. Ein Datenverlust auf Seiten der PKI macht es beispielsweise unmöglich temporäre Zertifikate den originalen Zertifikaten und somit dem Besitzer zu zuordnen. Kommunikationsvorgänge könnten in dem Fall abgestritten werden. Der Kommunikationsvorgang zur Übertragung eines neuen temporären Zertifikates kann abgefangen werden, wodurch der Angreifer ein frisches Zertifikat zur weiteren Verwendung hat. Durch die Netzstruktur sowie der Tatsache, dass ein Fahrzeug nicht immer mit der Infrastruktur in Kontakt steht, ist es unumgänglich, dass eine Kopie der Blacklist eines Teilnehmers nicht immer aktuell ist. Der Vollständigkeit halber sei auch erwähnt, dass die Entwendung des privaten Schlüssels zu einem Zertifikat, besonders dem des Wurzel-Zertifikats aber auch jeglicher anderer Zertifikate, eine Ursache für immense Verletzungen der Authentizität nach sich ziehen kann. Zusammengefasst gehören zu den möglichen Ursachen für die Verletzung der Authentizität eine unzureichend geschützte Kommunikation bei der Übertragung der temporären Zertifikate, Datenverlust, eine nicht aktuelle Blacklist und ein unzureichend geschützter privater Schlüssel der Zertifikate.

Der Ausfall einzelner Systemkomponenten oder gar der Ausfall des gesamten Systems sowie eine mögliche Überlastung, stellen grundlegende Gefahren im Hinblick auf die Verfügbarkeit dar. Die Konsequenzen von Systemausfällen halten sich in Grenzen solange keine zentralen Knotenpunkte ausfallen. Mögliche Ursachen für einen Ausfall des Systems oder einzelner Komponenten können in einem technischen Defekt, einem Stromausfall oder einer Überlastung begründert liegen.Eine weitere Ursache stellt höherer Gewalt dar. Redundanz und Notstromaggregate lassen die ersten beiden Punkte hinfällig werden. Liegt die Ursache in der in-vehicle-domain wird es nicht nur teuer sondern auch zeitaufwendig. Ist die OBU beispielsweise einem Verkehrsstau mit hunderten von Autos kapazitiv nicht gewachsen, zöge dies eine Rückrufaktion der Fahrzeughersteller nach sich. Um dieses Risiko zu mindern, hat das C2C-CC eine Priorisierung von Nachrichten auf der Kommunikationsebene vorgesehen. So können beispielsweise sicherheitsrelevante Informationen bevorzugt behandelt werden.

4.3 Kritische Bewertung

Während im Hinblick auf den Datenschutz und somit dem Aspekt der Vertraulichkeit, wie in Kapitel 3.3 beschrieben und in Kapitel 4.1 untermauert, noch großer Klärungsbedarf besteht, wurde bei der Konzeption des Systems großer Wert auf die Sicherstellung der Integrität, der Authentizität und, eingeschränkt durch den noch zu leistenden flächendeckenden Ausbau, auch auf die Verfügbarkeit gelegt.

Die Risikoanalyse zeigt zwar zahlreiche potentielle Gefahren auf. Deren Risiko läßt sich jedoch in einem Großteil der Fälle aufgrund greifender Sicherheitsmechanismen als gering einstufen. Die größte Gefahr geht von Angreifern aus, die das System nutzen um falsche Informationen zu verbreiten um so im schlimmsten Fall ein Verkehrschaos anzurichten. Nicht zuletzt aus diesem Grund befindet das C2C-CC die Nachrichtenintegrität als einen der wichtigsten Sicherheitaspekte, die es in der Konzeption zu berücksichtigen gilt.[57] Resultat ist eine Public-Key-Infrastruktur mit temporären Zertifikaten, die fest an die Hardware gekoppelt sind. Fällt ein Teilnehmer des Systems negativ auf, so wird ihm die Berechtigung genommen an diesem System teilzunehmen (Blacklist). Jedoch lässt sich auch bei derartigen Sicherheitsmaßnahmen ein Restrisiko nicht ausschließen.

Der Aspekt des Restriskos bei noch so gut konzipierten Systemen, wird viele Kritiker auf den Plan rufen. Berechtigt, da es schließlich um die Verkehrssicherheit geht und damit auch um menschliches Leben. Ein Systemfehler kann zum Tode führen. Ist das so? Nein, es darf nicht vergessen werden, dass ein solches System lediglich unterstützenden Charakter für den Fahrzeugführer hat. Es soll den Fahrer auf Gefahren hinweisen und nicht Gefahrensituationen lösen. Die Verantwortung für ein beispielsweise vorschnelles Ausweichmanöver aufgrund von Informationen die über das C2C-CC System erhalten wurden, trägt alleine der Fahrer und nicht das System.

Präkerer wird es bei der Verkehrseffizienz. Welcher Weg von A nach B der Schnellste ist, entscheidet heute in vielen Fällen das Navigationssystem. Was ist jedoch wenn die Fakten, die zur Berechnung der Route herangezogen wurden so manipuliert sind, dass nur eine ganz bestimmte Strecke übrig bleibt. So kann es unter sehr ungünstigen Umständen theoretisch möglich sein, dass ein Fahrzeug den durch den Angreifer zuvor ausgewählten Streckenabschnitt verwendet. Die Einschränkungen zeigen, dass ein solches Szenario eher unwahrscheinlich, zumal auch ineffektiv ist. Ein Umleitungsschild erzielt den selben Effekt.

Bleibt zuletzt noch die unverschlüsselte Übertragung der Daten. Dieser Sachverhalt ist kritisch zu sehen. Sie bietet die Möglichkeit alle Informationen mit einem handelsüblichen Laptop mitzulesen. Man muss lediglich in Kommunikationsreichweite befinden (300m - 1000m). Das C2C-CC meint dazu, dass kein Bedarf besteht die Daten zu verschlüsseln und so Verkehrseffizienz und Verkehrssicherheit gesteigert werden können.[54] Datenschutzrechtler werden die Situation sicherlich anders einschätzen. Es mangelt jedoch an kryptografischen Methoden, die für einen solchen Einsatz effizient genug und auch noch sicher sind.

Zusammenfassend lässt sich sagen, dass das C2C-CC System unter der Prämisse eines unterstützenden Systems zu sein, in Sachen Datensicherheit viele Anforderung erfüllt. Die Vertaulichkeit wurde jedoch hintenangestellt, um Verfügbarkeit gewährleisten zu können. Hier wird es noch Diskussionsbedarf geben.

5 Schlussbetrachtung

Der Einsatz von Kommunikationstechnologien in der Domäne des Automobils, ein Bereich der immer mehr auf informationstechnologische Systeme zurückgreift, war zu erwarten. Die möglichen Anwendungsgebiete und die daraus resultierenden Vorteile für Verkehr und Nutzer versprechen einige Erleichterungen des alltäglichen Lebens. Aber vor allem könnte eine Steigerung der Verkehrssicherheit sowie eine Optimierung des Verkehrs ohne Ausbau der Infrastruktur durch das System des C2C-CC erreicht werden. Auf den Punkt gebracht bieten Connected Cars, Funktionen, die den Verkehr sicherer, fließender und komfortabler machen.

Trotz aller Vorteile müssen eventuelle Gefahren durch ein solches System berücksichtigt werden. Informationen erhalten einen immer höheren Stellenwert in der Gesellschaft. Diese gilt es zu schützen. Es muss sichergestellt werden, dass Informationen nicht in die falschen Hände geraten und das Systeme nicht kompromittiert werden können. Die Analysen bezüglich Datenschutz und Datensicherheit haben aufgezeigt welche Gefahren ein solches System mit sich bringen kann und welche Konsequenzen sich daraus ergeben.

Die Analyse in Hinsicht auf den Datenschutz hat ergeben, dass es in diesem Bereich noch offene Fragen gibt. Da eine Umsetzung des Systems ohne Entstehung von personenbezogenen Daten nicht möglich ist, müssen diese durch eindeutige gesetzliche Regelungen geschützt werden. Die Einführung der Connected Cars würde zwar eine zusätzliche Quelle personenbezogener Daten bedeuten, dennoch gibt es bereits Systeme mit ähnlich kritischem Datenaufkommen. Das Mobilfunknetz bietet beispielsweise ebenfalls die Möglichkeit der Ortung, vorausgesetzt das Mobiltelefon wird mitgeführt und ist eingeschaltet. Im Mobilfunk entstehende personenbezogene Daten dürfen sogar in entsprechenden Fällen durch staatliche Institutionen überwacht und aufgezeichnet werden.[49] Daher würde die Gefahr einer Überwachung durch den Staat mit der Einführung der Connected Cars nicht wesentlich ansteigen. Einzig die Frage nach dem Umfang der Straftaten, welche mittels der entstehenden Daten verfolgt werden dürfen wäre zu klären. Eine direkte Ahndung von Verkehrsdelikten wie Geschwindigkeitsüberschreitungen wäre schließlich im Rahmen der Möglichkeiten. Die Akzeptanz eines solchen Systems durch die Bevölkerung sei jedoch dahingestellt. Außerdem erheben bereits Fahrzeuge im heutigen Straßenverkehr während der Fahrt eine große Menge an Informationen. Dies ist dem Fahrer in der Regel lediglich nicht Bewusst.[50] Daher würde sich selbst in diesem Bereich ein eher geringer Unterschied zur aktuellen Situation ergeben.

Außerdem bleibt die Anonymität der Kommunikationsteilnehmer untereinander, durch das Prinzip einer zentralen Zertifikatsstelle, gewahrt. Daher sind die Datenflüsse in diesem Bereich eher unkritisch zu sehen. Dennoch könnten die frei empfangbaren Daten gesammelt und anaylsiert werden. Der Nutzen der sich daraus ergibt ist jedoch fraglich und wahrscheinlich nur in sehr wenigen Fällen von Relevanz. Solange die Anonymität gewahrt werden kann, sind die Daten nicht personenbezogen und damit datenschutzrechtlich nicht relevant.

Im Hinblick auf die Datensicherheit lässt sich abschließend sagen, dass das C2C-CC System viele der Anforderungen erfüllt. Zur Sicherung der Authentizität wird eine Public-Key-Infrastruktur in Zusammenhang mit temporären Zertifikaten verwendet. Ergänzt durch digitale Signaturen und Plausibilitätsprüfungen von Nachrichten wird die Integrität gewahrt. Die Verfügbarkeit wird durch neue Standards in der Kommunikationstechnologie gewährleistet. Dies geschieht allerdings auf Kosten der Vertraulichkeit. Das System sieht keine Verschlüsselung der zu übertragenden Daten vor. Begründet wird dies zum einen durch einen nicht vorhandenen Bedarf der Verschlüsselung zum anderen durch eine daraus resultierende Steigerung der Verkehrssicherheit und der Effizienz.

Grundsätzlich sind bei der Einführung eines Systems mit hohem personenbezogenen Datenaufkommen die Vor- und Nachteile abzuwägen. Im Bereich Connected Cars kann gesagt werden, dass die Vorteile, bei entsprechendem Umgang mit den entstehenden Daten, gegenüber den Risiken für den Datenschutz und die Datensicherheit überwiegen.

6 Fußnoten

  1. Kremp (2007)
  2. Vgl. C2C-CC (2007), S.12
  3. Forschungszeitraum bei AKTIV von 2006-2010, bei NOW von 2004-2008
  4. Vgl. Borchers (2008)
  5. AKTIV Webseite
  6. NOW Webseite
  7. Vgl. C2C-CC (2007), S.9 f. u 91
  8. Vgl. Volkswagen (a)
  9. Vgl. Volkswagen (b)
  10. 10,00 10,01 10,02 10,03 10,04 10,05 10,06 10,07 10,08 10,09 10,10 Vgl. Volkswagen (c)
  11. Vgl. C2C-CC (2007), S.84
  12. Vgl. Hilfsmittel IT-Sicherheit (2007), S.1 f.
  13. 13,0 13,1 13,2 13,3 13,4 Vgl. C2C-CC (2007), S.13 f.
  14. 14,0 14,1 14,2 14,3 14,4 14,5 Vgl. C2C-CC (2007), S.14
  15. 15,0 15,1 15,2 15,3 15,4 Vgl. C2C-CC (2007), S.16
  16. 16,0 16,1 16,2 16,3 16,4 Vgl. C2C-CC (2007), S.15
  17. 17,0 17,1 17,2 17,3 17,4 Vgl. C2C-CC (2007), S.15 f.
  18. 18,0 18,1 18,2 18,3 18,4 Vgl. C2C-CC (2007), S.17
  19. 19,0 19,1 19,2 19,3 19,4 Vgl. C2C-CC (2007), S.17 f.
  20. 20,0 20,1 20,2 20,3 20,4 Vgl. C2C-CC (2007), S.57
  21. 21,0 21,1 Vgl. Mobilkom Austria (2002), S. 3]
  22. 22,0 22,1 22,2 22,3 22,4 22,5 22,6 Vgl. IEEE Timetable (2010)
  23. Vgl. GSM World Coverage (2009)
  24. Vgl. UMTS-Forum (2010)
  25. Siehe Bundesnetzagentur (2010)
  26. Vgl. WDR(2009)
  27. Vgl. Shrestha (2008) Seite 3
  28. Siehe § 11 Absatz 1
  29. Vgl. Spiegel Online (2008)
  30. Vgl. Focus (2007)
  31. Vgl. Welt Online (2008)
  32. 32,0 32,1 32,2 32,3 32,4 32,5 32,6 32,7 32,8 Vgl. Hilfsmittel IT-Sicherheit (2007), S.10
  33. Leitfaden IT-Sicherheit (2009), Seite 8
  34. Leitfaden IT-Sicherheit (2009), Seite 8
  35. 35,0 35,1 35,2 35,3 BSI Glossar (2010)
  36. 36,0 36,1 36,2 36,3 36,4 36,5 36,6 36,7 Vgl. C2C-CC (2007), S.23 f., Übersetzt von Anne Sandhoff
  37. Vgl. C2C-CC (2007), S.81 bis 84
  38. Siehe BDSG § 4
  39. Vgl. Brendel (2008)
  40. Vgl. Müller, Schmalholz (2002)
  41. Vgl. NIFIS (2009)
  42. 42,0 42,1 Vgl. Schaar (2006)
  43. 43,0 43,1 Vgl. Spiegel Online (2008)
  44. 44,0 44,1 Vgl. Focus (2007)
  45. „In some countries privacy is mandatory due to customer request or by law. In other countries laws enforce the technical capability of driver identification in every situation. Consequently the Car2X System must incorporate the different requirements for anonymity and security across Europe.” Übersetzt von Anne Sandhoff, nach C2C-CC (2008), S.21
  46. Vgl. Spehr (2008)
  47. "On the other Hand, anonymitiy of the vehicle and its driver must be protected to a level at least comparable to which users of mobile phones feel comfortable with, today." Übersetzt von Anne Sandhoff, nach C2C-CC (2008), S.21
  48. Vgl. das ELKO
  49. 49,0 49,1 Vgl. Hülsmann, Mörs, Schaar (1994) S.25
  50. 50,0 50,1 Vgl. Gleich (2010)
  51. 51,0 51,1 Vgl. Kosch(2005), S. 8
  52. Vgl. C2C-CC (2007), S. 25
  53. Vgl. C2C-CC (2007), S. 36
  54. 54,0 54,1 Vgl. Vögel (2006), S. 6
  55. Vgl. Volkswagen (2006) S. 5
  56. Vgl. Kosch (2005), S 9
  57. Vgl. Rosch (2005), S. 8

7 Abkürzungsverzeichnis

Abkürzung Bedeutung
AKTIVForschungsinitiative „Adaptive und Kooperative Technologien für den Intelligenten Verkehr“
BDSGBundesdatenschutzgesetz
BSIBundesamt für Sicherheit in der Informationstechnik
C2CCar-to-Car
C2C-CCCAR 2 CAR Communication Consortium
DABDigital Audio Broadcasting
LTELong Term Evolution
NOWNetwork On Wheels
NIFISNationale Initiative für Informations- und Internet-Sicherheit e.V.
PKIPublic Key Infrastruktur
RSURoad-Side Unit
TMGTelemediengesetz
UMTSUniversal Mobile Telecommunications System
V2V Vehicle-to-Vehicle
WLANWireless Local Area Network
GSMGlobal System for Mobile Communications
GPRS General Packet Radio Service
IEEEInstitute of Electrical and Electronics Engineers
EDGEEnhanced Datarates for Global Evolution
HSDPAHigh Speed Downlink Paket Access
HSUPAHigh Speed Uplink Paket Access
WEPWired Equivalent Privacy
WPAWi-Fi Protected Access

8 Abbildungsverzeichnis

Abb.-Nr. Titel Quelle
1.1Connected Cars /
1.2Schnittmenge IT-Sicherheit und Datenschutz Bundesamt für Sicherheit in der Informationstechnik, Maßnahmen der IT-Grundschutz-Kataloge, August 2007, S.2 (03.06.2010, 23:40)
2.1Pre-Crash Sensing/Warning CAR 2 CAR Communication Consortium, Pre-Crash Sensing/Warning, (03.06.2010, 23:40)
2.2Info- und Enternainment Volkswagen AG, Car-to-Home, (03.06.2010, 23:40)
3.1Beispiel Datenfluss beim Enhanced Route Guidance and Navigation Volkswagen AG, Beispiel Datenfluss beim Enhanced Route Guidance and Navigation, S.9, (03.06.2010, 23:40)
3.2Datenfluss Volkswagen AG, Sensorik, S.26, (03.06.2010, 23:40)
3.3Demonstration für den Datenschutz 2007 in Berlin Spiegel Online, Demonstration für den Datenschutz 2007 in Berlin, (03.06.2010, 23:40)
4.1Netzplan Car 2 Car Communication Consortium CAR 2 CAR Communication Consortium: C2C-CC Manifesto, Version 1.1, 28. August 2007, Seite 27

9 Literatur- und Quellenverzeichnis

ADAC (2008) ADAC e.V., Datenschutzgrundsätze für elektronische(Kontroll-)Systeme im Verkehr und im Fahrzeug, Januar 2008, (04.06.2010, 23:02)
AKTIV Webseite „AKTIV - Adaptive und Kooperative Technologien für den Intelligenten Verkehr“, (25.05.2010, 10:24)
Borchers (2008) Detlef Borchers, Connected Cars und intelligente Verkehrsschilder gegen den Verkehrskollaps, 25.06.2008, (01.06.2010, 22:30)
Brendel (2008) Matthias Brendel, Datenhandel - Von Opfern und Tätern, 30.08.2008, (05.06.2010, 21:37)
Bundesnetzagentur (2010) Bundesnetzagentur, Ergebnis Frequenzversteigerung, (06.06.2010, 17:42)
BSI Glossar (2010) Bundesamt für Sicherheit in der Informationstechnik, Glossar und Begriffsdefinitionen, (06.06.2010, 18:00)
C2C-CC (2007) CAR 2 CAR Communication Consortium,C2C-CC Manifesto, Version 1.1, 28.08.2007, (30.04.2010, 13:00)
das ELKO das ELektronik-KOmpendium,Ortung und Positionsbestimmung mit Mobilfunk, (06.06.2010, 13:07)
Focus (2007) fe, AFP, Größte Datenschutz-Demo seit 20 Jahren, 23.09.2007, (06.06.2010, 12:31)
Gleich (2010) Clemens Gleich, Daten unter der Haube, aus CT Ausgabe 10/2010, 26.04.2010
GSM World Coverage (2009) GSM Association & Europa Technologies Limited, GSM World Coverage 2009, (06.06.2010, 15:49)
Hilfsmittel IT-Sicherheit (2007) Bundesamt für Sicherheit in der Informationstechnik, Maßnahmen der IT-Grundschutz-Kataloge, August 2007, (03.06.2010, 23:40)
Hülsmann, Mörs, Schaar (1994) Franz Werner Hülsmann, Sven Mörs, Peter Schaar, Mobilfunk und Datenschutz, 01.12.1994, (03.06.2010, 23:40)
IEEE Timetable (2010) Institute of Electrical and Electronics Engineers, OFFICIAL IEEE 802.11 WORKING GROUP PROJECT TIMELINES, 25.05.2010, (06.06.2010, 15:40)
J. Eberspächer, H. Arnold, R. Herrtwich (2009) J. Eberspächer, H. Arnold, R. Herrtwich (Hrsg.), Das vernetzte Automobil, 1. Auflage, Hüthig, Heidelberg 2009
Kosch (2005) Timo Kosch, Technical Concept and Prerequisites of Car2Car Communication, 2005, (04.06.2010, 17:12)
Kremp (2007) Matthias Kremp, Vom Funk-Knochen bis zum iPhone, 11.09.2007, (04.06.2010, 21:52)
Kruth (2004) Wilhelm Kruth, IT-Grundlagenwissen für Datenschutz- und Security-Management, 2. Auflage, DATAKONTEXT, Frechen 2004
Leitfaden IT-Sicherheit (2009) Bundesamt für Sicherheit in der Informationstechnik, Leitfaden IT-Sicherheit, Januar 2009, (03.06.2010, 23:00)
Mobilkom Austria (2002) Mobilkom Austria Group, Jahresrückblick 2002, (03.06.2010, 17:20)
Müller, Schmalholz (2002) Eva Müller, Claus G. Schmalholz, Datenschutz fängt beim Passwort an, 27.02.2002, (03.06.2010, 21:40)
NIFIS (2009) NIFIS e.V., Deutsche Unternehmen glauben an guten Datenschutz trotz mangelhafter Aufklärung von Datenmissbrauch, http://www.nifis.de/Newsbeitrag.38.0.html?&tx_ttnews[pointer]=2&tx_ttnews[tt_news]=37&tx_ttnews[backPid]=35&cHash=aa9059abaaca0ca6d27a09559fc90f35, 01.08.2007, (05.06.2010, 14:54)
NOW Webseite „NOW - Network On Wheels“, (25.05.2010, 10:37)
Spiegel Online (2008) sac, Reuters, dpa, Demonstration für Datenschutz - Proteste gegen "Stasi 2.0", 11.10.2008, (06.06.2010, 11:37)
Schaar (2006) Peter Schaar, Gläserner Autofahrer unter Generalverdacht? Das Recht auf datenfreie Fahrt., 28.09.2006, (01.06.2010, 22:54)
Shrestha (2008) Barsha Shrestha, Wireless Access In Vehicular Environments Using Bit Torrent And Bargaining, September 2008, (03.06.2010, 23:00)
Spehr (2008) Michael Spehr, Das Auto im unsichtbaren Netz der Sicherheit, 23.04.2008, (01.06.2010, 22:14)
Steudten (2007) Thomas Steudten, Car 2 Car: Die Vision kommunizierender Fahrzeuge, 11.09.2007, (01.06.2010, 21:16)
UMTS-Forum (2010) The UMTS Forum (umts-forum.org), 3G/UMTS family welcomes its 500 millionth customer, 28.01.2010, (06.06.2010, 18:00)
Volkswagen (a) Volkswagen, Connected World, (04.06.2010, 21:23)
Volkswagen (b) Volkswagen, Car-to-X, (04.06.2010, 21:12)
Volkswagen (c) Volkswagen, Car-to-Home, (04.06.2010, 21:12)
Volkswagen (2006) Volkswagen (2006), Security Requirements of C2C Applications, 19.11.2006, (06.06.2010, 09:30)
Vögel (2006) Vögel H.J., 1st C2C-CC Public Workshop on Security - Welcome and Agenda Setting, 16.11.2006, (04.06.2010, 22:12)
WDR(2009) Westdeutscher Rundfunk Köln, Pressemitteilung: Testbetrieb mit neuartiger Mobilfunk-Technik am WDR-Sender Nordhelle gestartet, 09.11.2009, (06.06.2010, 18:00)
Welt Online (2008) AFP, dma , Auch Schlecker soll Mitarbeiter bespitzelt haben, 30.03.2008, (06.06.2010, 14:10)

10 Rechtsquellenverzeichnis

BDSG Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I

S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist, (04.06.2010, 12:48)

G 10 Gesetz zur Beschränkung des Brief-, Postund Fernmeldegeheimnisses Artikel 10-Gesetz vom 26. Juni 2001 (BGBl. I S. 1254, 2298), das zuletzt durch Artikel 1 des Gesetzes vom 31. Juli 2009 (BGBl. I S. 2499) geändert worden ist", (03.06.2010, 18:30)
TMG Telemediengesetz vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1

des Gesetzes vom 31. Mai 2010 (BGBl. I S. 692) geändert worden ist", (03.06.2010, 18:30)

11 Links

Von „http://winfwiki.wi-fom.de/index.php/Datensicherheit_und_Datenschutz_im_Bereich_Connected_Cars
Persönliche Werkzeuge