Gefahrenanalyse Connected Cars

Aus Winfwiki

Wechseln zu: Navigation, Suche

Fallstudienarbeit

Hochschule: Hochschule für Oekonomie & Management
Standort: Düsseldorf
Studiengang: Bachelor Wirtschaftsinformatik
Veranstaltung: Fallstudie / Wissenschaftliches Arbeiten
Betreuer: Prof._Dr._Uwe_Kern
Typ: Fallstudienarbeit
Themengebiet: Connected Cars
Autor(en): Daniel Janßen, Manuel Laufenberg, Diana Loose
Studienzeitmodell: Abendstudium
Semesterbezeichnung:
Studiensemester: 2
Bearbeitungsstatus: begutachtet
Prüfungstermin:
Abgabetermin:

Inhaltsverzeichnis

1 Abkürzungsverzeichnis

AbkürzungBedeutung
ABMGAutobahn-Maut-Gesetz
ABSAntiblockiersystem
BDSGBundesdatenschutzgesetz
C2CCar to Car
C2ICar to Infrastructure
C3WorldConnected Cars in a Connected World
CANController Area Network
CO2Kohlenstoffdioxyd
DDoSDistributed Denial of Service Angriff
DRMDigitial Rights Management
EDREvent Data Recorder
ESPElektronisches Stabilitäts-Programm
FCDFloating Car Data
GPSGlobal Positioning System
IRCInternet-Relay-Chat
IMInstant Messenger
MAC-AdressenMedia-Access-Control-Adresse
PKWPersonenkraftwagen
UDSUnfalldatenspeicher
UMTSUniversal Mobile Telecommunications System
VWVolkswagen
WLANWireless Local Area Network

2 Abbildungsverzeichnis

Abb.-Nr.Abbildung
1Warnung für den Fahrer auf dem Bordcomputer
2Client-Server-Modell
3Peer-2-Peer-Modell
4Internet --> Globale Vernetzung
5Schematischer Ablauf / Aufbau eines Virusprogramms
6Schematischer Ablauf einer Man in the Middle Attacke
7Schematischer Aufbau einer DDoS Attacke

3 Tabellenverzeichnis

4 Einleitung

Schon länger haben Autofahrer die Möglichkeit technische Funktionen und Geräte wie z.B. Navigationsgeräte oder Bordcomputer, die dem Fahrer z.B. den Verbrauch anzeigen, in ihrem Auto zu verwenden, bzw. sie zu integrieren. Doch ein neues Zeitalter im Hinblick auf die Bordelektronik eines PKW (Personenkraftfahrzeug) ist durch die Möglichkeit der vernetzten Autos, sowohl zu anderen Fahrzeugen als auch zur Umwelt, angebrochen. Dadurch haben Autos die Möglichkeit auf besondere Umgebungen und Besonderheiten zu reagieren, sodass die Fahrsicherheit, aber auch der Komfort maximiert wird. Der PKW wird zu einem zweiten Arbeitsplatz, da er eine rollende Hightech - Dienststätte darstellt und man von dort aus jegliche Businessfunktionen wie z.B. Internettelefonate und Email Versendung per Sprachaufnahme standadisiert verwenden kann.

Wir haben die Thematik der "Connected-Cars" ausgewählt, da sie eine sehr aktuelle Forschungs-Thematik darstellt und dieser Ansatz kontinuierlich d.h. permanent von den unterschiedlichen Autoherstellern weiter entwickelt wird. Des Weiteren sind diese ersten Entwicklungen ein erster Schritt im Hinblick auf die zukünftige Bordelektronik eines Autos, die nach und nach in allen Wagenklassen, d.h. nicht nur in den sehr teuren Oberklassen, Verwendung finden wird. Somit ist das Projekt sehr zukunftsorientiert, erhöht die Sicherheit im Auto und wird bei zahlreichen Software- und Elektronikfirmen in naher Zukunft noch eine hohe Relevanz einnehmen. Bedingt durch diese Aspekte fiel die Themenwahl auf diese Problematik und wurde folglich auf die Gefahrenanalyse hinsichtlich der Connected Cars spezialisiert. Außerdem wurde unser Interesse geweckt, da sich die besagte Branche noch im Anfangsstadium befindet, sodass wir viel Potenzial für die Zukunft in diesem Themengebiet sehen.

Im Hinblick auf die Zielsetzung soll eine genaue Gefahrenanalyse im Hinblick auf die Sicherheit der vernetzten PKW und den damit verbunden Datenschutz erfolgen.

Bei unserer wissenschaftlichen Fallstudie erfolgt zunächst eine Einführung in die Thematik der vernetzten Autos anhand bisheriger Entwicklungserfolge und Innovationen, um danach den Bezug zu den Verteilten Systemen und ihren Eigenschaften, Anforderungen, Vorteilen, Risiken und Beispielen, herstellen zu können. Danach erfolgt der Vergleich zwischen den Verteilten Systemen und den Connected-Cars, im Hinblick auf ihre diversen Merkmale, Angriffpotenziale und Funktionen. Des Weiteren erfolgt die Betrachtung der unterschiedlichen, möglichen Angriffszenarien, sowie die möglichen Folgen und Auswirkungen die sich daraus ergeben und wie man diese verhindern kann. Im Anschluss erfolgt die Erörterung der verschiedenen Datenarten und die Gefahren die sich aus der Problematik der Datensicherung und ihrer gesetzlichen Regelungen ergibt. Letztlich wird eine zusammenfassende Analyse durchgeführt, sodass die wir zu einer Schlussbetrachtung und einer abschließenden Würdigung der Thematik gelangen können.

5 Grundlagen

5.1 Connected Cars

Im Folgenden wird ein erster Schwerpunkt auf die Definition und die bisherigen Entwicklungen der Connected Cars gelegt.

5.1.1 Definition

Bei den sogenannten Connected Cars erfolgt im Allgemeinen ein unmittelbarer Nachrichtenaustausch zwischen zwei Kraftfahrzeugen, wobei in der folgenden Fallstudie lediglich Autos im Fokus der wissenschaftlichen Recherche stehen. Zunächst wird zwischen der Car-to-Car-Kommunikation und Kommunikation mit der restlichen Umwelt, das heißt der Infrastruktur unterschieden, wobei sich beide Varianten durch die Absendung von Daten und Informationen mittels W-LAN (Wireless Local Area Network) und UMTS (Universal Mobile Telecommunications System) auszeichnen. Die Aufgabe eines derartigen Systems, ist die sofortige Inkenntnissetzung anderer Teilnehmer und des Fahrers. Im Ganzen befindet sich die Entwicklungsbranche mit ihrem Lebenszyklus noch in einem primären Anfangsstadium. Stefan Bratzel, Leiter des Center of Automotive an der Fachhochschule der Wirtschaft in Bergisch Gladbach bestätigt die aufgeführte These mit seiner Aussage: "Die Idee des fahrenden Büros hat sich bislang nicht durchgesetzt".[1]

Laut Andreas Lübke, Volkswagen AG, Wolfsburg, Deutschland kann man zwischen folgenden Kommunikationsalternativen unterscheiden:

  • "Car-to-Car Personal Communication"[2]
  • "Car-to-Car Traffic Safety Communication"[2]
  • "Car-to-Infrastructure Personal Communication"[2]
  • "Car-to-Infrastructure Traffic Safety Communication"[2]

Die einzelnen Alternativen zeichnen sich durch die diversen Eigenschaften aus, da sie sowohl Entertainmaint- und Sicherheitsfunktionen besitzen, als auch Funktionen, um mit der Infrastruktur kommunizieren zu können.

Das langfristige Ziel der neuen Technologie, ist die Integration eines Bordcomputer und den dazugehörigen Funktionen wie Bluetooth, Internet, Downloads etc. in alle Wagenklassen von PKW, sodass sie zukünftig zur Serienausstattung gehören und somit zum gewohnten Standard werden und nicht nur in den teureren Preiskategorien bestimmter Hersteller zum Einsatz kommen. Außerdem soll die Übertragungsweite, die momentan zwischen ca. 300 bis ca. 1000 m liegt, zukünftig weiterentwickelt, das heißt vergrößert werden. Außerdem ist für die Zukunft vorgesehen, dass jede Automarke die Signale einer fremden Firma erkennen kann, sodass Daten unabhängig untereinander ausgetauscht werden können und zugleich ein Netzwerk für eine weitverbreitete Kommunikation aufgebaut werden kann. Dabei spielt die Abstimmung von Soft- und Hardware eine entscheidende Rolle, sodass eine einwandfreie Zusammenarbeit auf Dauer gesichert wird. Fakt ist jedoch jetzt schon, dass die Zukunftsautos miteinander kommunizieren werden können. FAZ.net, das heißt Autor Michael Spehr ist der Auffassung, dass: "Frühestens 2015 werden erste Serienfahrzeuge mit der "Car to Car"-Kommunikation ausgerüstet sein"[3].

5.1.2 Bisherige Innovationen und Technologien

Warnung für den Fahrer auf dem Bordcomputer
Warnung für den Fahrer auf dem Bordcomputer

Die Vorläufer sind vor allem Ford und Microsoft, da sich ihre Entwicklung schon in fortgeschritteneren Stadien befindet. Folglich gehört zu ihrem Standard bereits die Einbindung jeglicher Medien in das Elektroniksystem des PKW, sodass eine Vernetzung mit jeglichen mobilen Geräten wie z.B. Handys, Navis etc. möglich ist. Auch die Mobilfunkfirma Alcatel hält an der neuen Innovation fest und möchte ein schnelleres Internet für die Automobilindustrie schaffen. Laut Handelsblatt "[...]erlaubt" das Netz von Alcatel zukünftig "eine Datenübertragung von 20 Megabit pro Sekunde" und "[...]die EU will 18 Mio. Euro in die Entwicklung des Mobilfunkstandards 4G investieren"[4]. Durch die von Alcatel versprochene Datenübertragung von 4G, die eine Weiterentwicklung von UMTS darstellt, sollen bereits in naher Zukunft noch bessere Übertragungsraten erzielt werden.

5.1.2.1 Kommunikationstechniken

Die Voraussetzung, dass die Autos an der Kommunikation teilnehmen können, ist, dass sie GPS (Global Positioning System)-fähig sind, sodass die Fahrzeuge jeder Zeit identifiziert werden können. Damit die vernetzte Kommunikation überhaupt möglich ist muss eine sichere und stabile Datenübertragung geschaffen werden, sodass eine Verbreitung für alle Wagenklassen möglich ist.

5.1.2.2 Forschung

Mit den zuletzt genannten Gesichtspunkten, das heißt mit der besagten Thematik der vernetzten Autos, beschäftigt sich zugleich die Forschungsgruppe C3World (Connected Cars in a Connected World), die eine Kooperation von VW (Volkswagen) mit dem Niedersächsischen Kompetenzzentrum für Informationssysteme darstellt. Das vorrangige Ziel, dass sie verfolgen, ist eine komfortable, stabile und sichere Datenübertragung zwischen Fahrzeugen wie z.B. Autos.

5.1.2.3 Risiko oder Verbesserung der Sicherheit

Es lässt sich die Hypothese aufstellen, dass Autos zunehmend an künstlicher Intelligenz gewinnen und somit vermehrt über eine eigene Denkweise verfügen. Jedoch stellte sich dabei auch die kritische Frage, ob der Fahrer auf Grund einer solchen technischen Ausstattung und der Möglichkeit immer und überall online im Internet zu sein, auf Dauer seine Konzentration und seine Aufmerksamkeit auf den Straßenverkehr richten kann und diese außerdem dauerhaft gewährleistet werden kann. Denn fortlaufend besteht die Gefahr, dass der Fahrer abgelenkt wird und somit über eine minimierte Gefahreneinschätzung verfügt. Jedoch stehen diesem bedenklichem Gedanken auch zahlreiche Gegenbeispiele gegenüber, da diverse folgende Funktionen hauptsächlich die Fahrsicherheit erhöhen, als die Gefahr für den Fahrer zu maximieren. Dieser Meinung ist auch Hans-Georg Frischkorn, tätig bei General Motors und zuständig für die Technologie-Entwicklung, dass sich anhand seines folgenden Zitates belegen lässt: "Mit der Car-to-Car-Technologie erweitern wir den Wahrnehmungsbereich des Fahrers, ohne ihn abzulenken oder gar zu entmündigen"[5]. Außerdem ist der zeitliche Rahmen, indem das Auto die Daten erfasst nur sehr gering, sodass eine sofortige Risiko- und Gefahreneinschätzung vom Fahrzeug selbst erfolgen kann.

5.1.2.4 Weitere Funktionen

Zum einen gibt es die Möglichkeit seine Mails mittels einer Spracherkennung zu beantworten, sodass keine Tastaturbedienung erforderlich ist und gleichzeitig die Aufmerksamkeit weiterhin auf die Straße gerichtet wird. Des Weiteren hat auch die Telekom den Trend wahrgenommen und verfolgt die zukünftige Weiterentwicklung der Connected Cars. Aufgaben die das Auto bald laut T-Systems übernehmen könnte wären: "Automatische Notrufe[...], [und] Fahrzeuge die sich gegenseitig vor Staus warnen[…]"[6]. Ebenfalls soll die "[...]Kommunikation mit Herstellen und Werkstätten während der Fahrt[...]" zukünftig möglich sein[6]. Durch die bereits aufgeführte Notrufabgabe, können Rettungskräfte wie Krankenwagen, Polizei, Feuerwehr und Notarzt schneller vor Ort bzw. an der Unfallstelle sein und Hilfe leisten, da in dieser Situation jede Minute zählt. Die Notfunktionen ermöglichen dem Autofahrer außerdem bei aufgetretenen Risiken bzw. Mängeln das Auto möglichst zeitnah in die nächste Werkstatt bzw. nach Hause zu bringen, sodass ein kompletter Stillstand zunächst verhindert werden kann [7] Bei auftretenden Störungen meldet das System die Fehler, sendet eine Rückmeldung an den Fahrer und hält alle relevanten Daten fest, sodass diese im Anschluss analysiert und ausgewertet werden können. Die Inkenntnissetzung des Fahrzeugfahrers ist ein wichtiger Aspekt und kann zum Beispiel auf dem Bordcomputer oder auf dem Monitor des Navigationsgerät, oder durch spürbare Reaktionen wie Bewegungen, Geräusche bzw. Warnsignale in jeglicher Art erfolgen.

5.1.2.5 Kommunikationspartner

Ein weiterer Forschungszweig umfasst die Kommunikation mit Herstellern, sobald Mängel am Auto auftreten, sodass sie schnellst möglich bemerkt und behoben werden können. Dadurch wird zur selben Zeit auch das Unfallrisiko deutlich geringer. Zugleich gibt es die Remote Funktion mit denen sich die PKW-Führer direkt Hilfe via Internet einholen können und die aufgetreten Fehler oder Mängel selbst versuchen können zu beheben. Allerdings könnte die Weiterleitung der Daten an die Werkstätten auch als Nachteil gesehen werden, da die aufgetretenen Probleme und Fehler eventuell an den Kunden abgetreten werden können. Ein Beispiel könnte sein, dass der Fahrzeughalter weniger Ansprüche bei der Garantieleistung erheben kann, wenn dem Fahrer ein dokumentiertes Fehlverhalten nachzuweisen ist[8].

5.1.2.6 Sicherheitsaspekte

Es existieren bereits laut der "heise"- Recherche "Fahrerassistenzsysteme", die die Verbindung zwischen Fahrzeug und Fahrer, im Hinblick auf die Kommunikation unterstützen. Die Redaktion nennt dazu als Beispiel den so genannten "Spurassistenten", der bei längeren Fahrten den Fahrer entlasten soll, indem dieser die gleichbleibende Spur des Wagens beibehält, sodass Konzentrationsfehler vermieden werden können. Weiterhin können laut der c't Sicherheitsmaßnahmen auch vom Auto selbst aktiviert werden, wie z.B. "[...] das Auslösen der Airbags, das Straffen der Gurte, das Ausrichten der Kopfstützen und etliches mehr"[9], je nach Gefahren-, bzw. Unfallsituation. Die beschriebene Komfortabilität könnte ebenfalls durch die Feststellung eines platten Reifens, bzw. einer genauen Angabe des Öl- bzw. Spritstand über den Bordcomputer, gesteigert werden. Ein weiteres bekanntes Beispiel, dass ebenfalls die Fahrsicherheit des Fahrers und der im Straßenverkehr befindlichen Personen erhöht, ist "BMWs System "Night Vision" mit seiner[...] Personenumrisserkennung, wie es für den 7er angeboten wird[...]"[10]. Zumal können verbundene Hilfsmittel wie Mobilfunkgeräte (Handys, Navigationsgeräte, TomToms etc.) dazu verwendet werden gewisse Service Funktionen bereit zu stellen. Dabei könnten zum Bespiel Navigationsgeräte aktuelle Staunachrichten aufnehmen und an den Fahrer weiter geben, sodass ebenfalls eine neue Route vom Gerät berechnet werden kann. Folglich besteht dann auch die Chance diese Warnmeldung über die dann bestehende Car-to-Car Kommunikation weiter an andere Autos zu verbreiteten, sodass diese ebenfalls einen Stau oder einen Unfall umfahren bzw. umgehen können. Der QNX-Spezialist Marineau-Mes meint: "Das kann soweit gehen, dass das Auto hinter ihm fahrende Wagen vor einem tiefen Schlagloch warnt"[11]. Außerdem könnten auch extreme Wetterbedingungen oder Wettervoraussagungen, im Hinblick auf einen anstehenden Sturm, starken Regenfall, Schnee, Eisglätte oder Nebel, per Navigationsgerät in das Auto getragen werden, um eventuelle Beeinträchtigungen vorauszusagen. Bei Urlaubsreisen in das Ausland könnten dann die Navigationsgeräte zusätzlich auch noch eine Route, mit bespielsweise Sehenswürdigkeiten, zusammenstellen und / oder wichtige Informationen, wie z.B. aktuelle Meldungen, liefern. Zumal besteht die Variante, dass die Navis auch Streckenverläufe speichern können, sodass diese wieder erneut abgerufen werden können, z.B. für eine erneute Verwendung bzw. im Hinblick auf eine Nachweisfunktion, um die Führung eines Fahrtenbuches zu ersetzen. Zunehmend spielt auch der Einsatz von Fahrzeugsensoren eine wichtige Rolle, da sie die Wahrnehmung von Gefahren, Hindernissen etc. erst möglich machen. Im Anschluss ist dann überhaupt erst die Verbreitung der Informationen möglich. Diese Sensoren können zum Beispiel ESP (Elektronisches Stabilitäts-Programm) oder ABS (Antiblockiersystem) sein, da sie selber zahlreiche Daten erzeugen, die sie zugleich selbst speichern können. Die angesprochenen Daten werden im sogenannten CAN (Controller Area Network)-Bus der die Daten seriell überträgt, zur weiteren Entwertung festgehalten.

5.1.2.7 Erweiterte Möglichkeiten

Zusätzlich zu den Sensoren besteht die Möglichkeit Kameras zu integrieren, wie es bereits einige Fahrzeuge höherer Klassen haben, um einen umfassenden Blick um das Fahrzeug herum zu erhalten und Gefahren, für den jeweiligen Fahrzeugführer, zu visualisieren. Des Weiteren können spezialisierte Sensoren vor Diebstahl oder Beschädigung schützen, da sie Daten bzw. Bilder durch die angebrachten Kameras an den Halter bei einer akuten Gefahr senden können.

5.1.2.8 Entertainment

Hinzu kommt die nicht außer Acht zu lassende Entertainment-Funktion, die vor allem für die weiteren Insassen des PKW von Bedeutung sein könnten, da sie bei Fahrten Internet-, Spiele oder DVD/Film/Musikfunktionen nutzen können. Diese können auch vom Fahrer selbst genutzt und verwendet werden, wohingegen seine Fahrsicherheit zunächst im Vordergrund steht. Bei Stillstand des Autos bzw. nach dem Ausschalten des Motors, sind diese Möglichkeiten aber auch für ihn sehr attraktiv.

5.2 Verteilte Systeme

Um den Bezug zu den Connected Cars zu konkretisieren, erfolgt eine Einführung in die Thematik der Verteilten Systeme und ihre prägnanten Eigenschaften und Merkmale in jeglicher Hinsicht, sodass die Relevanz der Verteilten Systeme im Hinblick auf die vernetzten Autos deutlich wird.

5.2.1 Definition

Für die Thematik der Verteilten Systeme liegen diverse Definitionen vor, wie die von Andrew S. Tanenbaum: "Ein verteiltes System ist eine Ansammlung von unabhängigen Rechnern, welche den Benutzern dieses Systems als eine einheitliche Rechnerressource vorkommen"[12]. Zugleich veröffentlichte Zahir Tari folgende Definition: "Ein Verteiltes System ist eine Samlung autonomer Computer, die mittels eines Netzwerks verbunden sind und mit einer Software ausgestattet sind, die eine Koordination von Aktivitäten und einen gemeinsamen Gebrauch von Ressourcen ermöglicht"[13]. Im Allgemeinen kann man an Hand der aufgeführten Definitionen sagen, dass mehrere unabhängige Rechner über eine Nachrichtentechnik miteinander kommunizieren, da sie keinen einheitlichen, verfügbaren Speicher besitzen.

5.2.2 Merkmale

Die Merkmale bzw. die Eigenschaften, durch die sich ein Verteiltes System auszeichnet sind einmal die Ressourcenverwaltung und -einteilung, sowie die Bereitstellung von Diensten und Funktionen für die jeweiligen Clients, Server, da sich die Komponenten des Systems an unterschiedlichen Orten befinden und zum anderen die Gewährleistung von eigenständigen und unabhängigen Systemen. Des Weiteren sollte eine zeitgleiche Verarbeitung bestimmter Arbeitsabläufe möglich sein, sodass ebenfalls eine problemlose und unkomplizierte Aufnahme bzw. Erweiterung von neuen, bereits bestehenden Systemkomponenten realisierbar ist. Trotz der starken Streuung der Hard- und Softwarekomponenten soll eine gemeinschaftliche Verwendung gewährleistet werden. Dieser Aspekt wird auch als Nebenläufigkeit bezeichnet. Ziel dabei ist die optimale Abstimmung zwischen Soft-und Hardware, sodass eine hohe Performance dargeboten und für den Benutzer bereitgestellt wird. Entscheidend für die Performanz eines Verteiltes Systems sind die Werte im Hinblick auf die Zeit und das Volumen des Datentransfers. Letzteres erfolgt nach festgelegten Richtlinien um einen gewissen Standard zu schaffen und auf Dauer halten zu können.

5.2.2.1 Klassifizierung

Generell lassen sich Verteilte Systeme in Client-Server, Peer-to-Peer und n-Tier-Architekturen klassifizieren.

5.2.2.1.1 Client-Server
Client-Server-Modell
Client-Server-Modell

Beim Client-Server-System geht die Initiative vom Client aus, da er um einen Dienst bittet. Erst nach der besagten Frage bzw. Bitte seitens des Clients antwortet der Server d.h. er liefert die entsprechende Antwort auf die Anfrage. Durch dieses Modell wird eine Aufgabenteilung, bzw. Dienste-Verteilung induziert, die generell aus einem Server und n Clients bestehen kann [14].

5.2.2.1.2 Peer-2-Peer
Peer-2-Peer-Modell
Peer-2-Peer-Modell

Im Peer-2-Peer-Modell sind mehrere Rechner gleichberechtigt, d.h. je nach Dienst und Anfrage wird ein Rechner zum Initiator. Somit kann jeder einzelne Rechner, auch Peer genannt, sowohl die Rolle des Clients als auch die Rolle des Servers übernehmen. Danach erfolgt der direkte Austausch von Informationen und Daten ohne die Verwendung eines zentralen Servers, der alle Funktionen und Dienste verwaltet[14].

5.2.2.1.3 Sonstige

Eine alternative Methode stellt das sogenannte Produzent-Verbraucher-Modell dar, bei dem der Produzent Dienste ablegt d.h. ständig zur Verfügung stellt, die dann zu einem unbestimmten Zeitpunkt vom Verbraucher aufgegriffen d.h. genutzt werden können. Als letztes gibt es dann noch die n-Tier-Architekturen, bei denen die diverse Dienste untergliedert und an einzelne Rechner / Komponenten weitergegeben werden[14].

5.2.2.2 Anforderungen

Die Anforderungen, die sich aus der Klassifizierung ergeben, umfassen die ständige und dauerhafte Sicherung aller wichtigen Daten und die Schaffung einer gewissen Transparenz. Beim zuletzt aufgeführten Fakt handelt es sich um die Tatsache, dass die genaue Verteilung für den Benutzer nicht ersichtlich bzw. bemerkbar ist, da der Benutzer der Auffassung ist das er das gesamte System für sich zur Verfügung hat. Nach Friedmann Mattern kann man zwischen den folgenden Arten der Transparenz unterscheiden:

  • "Ortstransparenz"[15], das heißt der Standort ist für den Anwender nicht ersichtlich
  • "Replikationstranparenz"[15], das heißt es ist nicht erkennbar wie viele Kopien es von den Informationen gibt
  • "Concurrency-Transparenz"[15], damit wird die Parallelarbeit garantiert
  • "Leistungstranparenz"[15], es herrscht eine einheitliche Verteilung der Systemleistung
  • "Ausfalltransparenz"[15], der Benutzer erfährt nichts, wenn ein Rechner ausfallen sollte, da es genügend andere im System gibt, die anhand der vorher durchgeführten Sicherheitskopien, seine Dienste übernehmen können.

Laut der Universität RWTH-Aachen sollte das Ziel das: "Verbergen der Komplexität des verteiltes Systems"[16] sein. Zumal sollte die Adaptivität (Flexibilität) des Systems realisiert werden, sodass eine zukünftige Erweiterung keine Umstände bewerkstelligt. Folglich wird auch die Komfortabilität maximiert, da die Verwaltung des Systems im Anschluss nicht mehr so komplex ausgelegt ist.

5.2.2.3 Modelle / Kommunikationsmodelle

Bei der Kommunikation innerhalb des Verteilten Systems werden folgende Kommunikationsmodelle unterschieden: Adressierung, Nachrichtenpufferung und Asynchrone/Synchrone Übertragung.
Bei dem Synchronen, d.h. blockierenden Kommunikationsmodell bleibt die Übertragung aus Sicht des sendenden Rechners blockiert, solange die Nachrichtenübertragung erfolgt und er noch keine Rückmeldung seitens des Empfängers erhalten hat, das heißt wiederum das die Blockierung erst nach vollständiger Abwicklung des Prozesses d.h. nachdem die Nachricht komplett übertragen worden ist, aufgehoben ist[14].

Das Gegenteil zum gerade beschrieben System stellt das Asynchrones, d.h. das nicht blockierende Kommunikationsmodell dar. Anhand eines Puffers können bei dieser Variante mehrere Nachrichten versendet und aufgenommen werden. Die Nachrichten warten auf eine systematische Abarbeitung des Empfängers, der folglich nach und nach eine Antwort zurückliefert. Jedoch ist der genaue Zeitpunkt dabei für den Anwender bzw. Benutzer nicht erkenn- bzw. feststellbar. Bei der Nachrichtenpufferung gehen auf Grund eines Puffers wartende Nachrichten nicht verloren, so lange der Puffer nicht bereits komplett gefüllt ist. In diesem Puffer werden die Nachrichten dann, bis zur Verarbeitung aufbewahrt.

Die Adressierung kann auf direkte oder auf indirekte Weise erfolgen. Bei der ersten Variante ist der Empfänger bekannt und kann somit auch direkt vom Sender angesprochen werden. Bei der anderen Variante kennt der Sender den Empfänger nicht, weshalb er seine Nachricht an eine weitere Instanz schicken muss, die dann die folgende Vermittlung und Weiterleitung der Nachricht vornimmt.

Die Notwendigkeit der Algorithmen, die im Hinblick auf die Zeitverwaltung bei den Verteilten Systemen eingesetzt werden ergibt sich aus der Problemstellung, dass Zeitangaben im System fehlen. Die Lösung dieses Problems sieht eine Einbindung von unterschiedlichen Uhren vor. Entweder wird eine logische Uhr verwendet, bei der die Prozesse einen Zeitstempel erhalten, sodass eine einheitliche Zuordnung möglich ist, oder es wird eine physikalische Uhr eingesetzt, wobei die Uhrzeit des Verteiltes Systems mit internen oder externen Uhrzeiten verglichen wird[14].

5.2.2.4 Algorithmen

Zugleich werden Algorithmen für den Zugriff des Senders auf die Ressourcen des Systems, solange sie verfügbar sind, ansonsten muss er auf eine Antwort des Empfängers warten, vom Verteilten System implementiert. Generell unterscheidet mann zwischen einem Kollaborativen, Broadcast und Heartbeat Algorithmus. Beim zuerst aufgeführten Algorithmus erfolgt eine Unterteilung der einzelnen Prozesse der Komponenten, sodass eine Untergliederung nach dem Prinzip Top Down erfolgen kann. Top Down bezeichnet dabei im Allgemeinen den Untergliederungsprozess der Hauptthematik in einzelne Unterprozesse. Beim Broadcast Algorithmus werden die Daten im verteilten System anhand einer Echo Funktion verschickt. Beim zuletzt genannte Heartbeat Algorithmus geben die Teilprozesse wie bei einem Herzschlag, eine kontinuierliche Rückmeldung ,ob der Sendemechanismus noch aktiv ist[14].

5.2.3 Erläuterung von Aufgaben und Funktionen

Verteilte Systeme haben genau definierte Aufgaben und Funktionen, wie z.B. die ständige Verfügbarkeit des Systems. Des Weiteren muss die notwendige Sicherheit, sowohl zum Schutz des leitenden Systems, aber auch zum Schutz der Nachrichten, gewährleistet sein. Diese Sicherheit kann anhand von einer Authentifizierung, die ein Vorgehen um den Benutzer eindeutig identifizieren zu können beschreibt, realisiert werden, sodass sich kein anderer Zugang zu persönlichen Daten beschaffen kann. Diese Identifikation erfolgt mittels eines Benutzernamen und eines Passwortes. Zugleich erfolgt eine Autorisierung, die die Vergabe der einzelnen Zugriffsrechte für bestimmte Benutzer bzw. Benutzergruppen festlegt. Um den Nachrichten-Verkehr effizienter zu schützen wird auch die Methode der Verschlüsselung vermehrt angewendet, sodass nur der richtige bzw. wahre Sender und Empfänger den Schlüssel kennen und somit die Nachricht lesen können.

Die Datensicherung wird anhand von Sicherheitskopien und der Schaffung einer Redundanz verwirklicht, indem die Daten auf mehreren Rechnern parallel gespeichert und gesichert werden. Dadurch wird zwar eine Redundanz induziert, die Daten werden allerdings langfristig aufbewahrt. Sollte dann ein Client doch ausfallen, so sind die dort gespeicherten Daten nicht vollständig verloren. Die exakte Durchführung wird anhand von mehrfach Kopien der Datenbestände umegsetzt. Dieses Verfahren wird auch Replikation genannt. Eine weitere Möglichkeit ist die Cashing-Methode, bei der alle wichtige Daten in Cache-Speichern bei dem jeweiligen Client vor Ort gesichert werden. Zumal könnte als Zusatz ein so genannter Name-Server eingesetzt werden, der eine Namensverteilung vornimmt und somit alle Objekte, Nachrichten, Prozesse zuordnen und eindeutig erkennen kann. Außerdem können Threads, die die Reihenfolge der Prozesse, die abgearbeitet werden müssen, festhalten, verwendet werden. Um eine optimale Performance zu schaffen, sollte die Ressourcenverteilung von den zur Verfügung stehenden Hardware-Komponenten mit der Software harmonieren.

5.2.4 Vorteile

Im Ganzen ergeben sich das der Verwendung von Verteilten Systemen sowohl zahlreiche Vorteile als auch Nachteile. Zu den Vorteilen zählt unter anderem, dass keine Kosten für einen Supercomputer bzw. einen Großrechner ("Host") anfallen und das eine parallele Entwicklung möglich ist. Zumal wird die globale Zusammenarbeit mit einem verteilten System gefördert. Darüber hinaus können Aspekte wie die große Software-Auswahl und die vorhandenen Ressourcen für jeden Client zur Verfügung gestellt werden. Zugleich stellt die Erweiterung des Systems keine Problematik dar, sodass bestehende Systeme und Prozesse integriert werden können. Zuletzt können Rechnerausfälle, auf Grund der bestehenden Datensicherung, nicht zu einem schwerwiegendem Datenverlust führen. Außerdem ist es vorteilhaft, dass verteilte Systeme zu Verbünden zusammengeschlossen werden können, da dadurch eine noch höhere Leistung und Sicherheit gewährt wird. Neben den Verbünden des Systems, die die Ressourchenverteilung garantieren gibt es noch die Verbünde die lediglich geringere Ausfälle von Rechnern kompensieren können, da eine gewisse Anzahl von Sicherheitskopien vorhanden ist. Der zuletzt genannte Verbund wird auch oftmals als Überlebensverbund bezeichnet[17].

5.2.5 Gefahren, Risiken und Probleme aus der Verwendung

Jedoch zeichnet sich die Verwendung von verteilten Systemen nicht nur durch Vorteile aus. Nachteile, Probleme bzw. Risiken könnten zum Beispiel sein, dass die Datensicherung im Allgemeinen sehr Speicheraufwendig ist, da eine Redundanz induziert wird. Der Aspekt der Administration ist ebenfalls wesentlich komplexer und aufwendiger, da viele Rechner und Server miteinander kommunizieren. Auf Grund der Aufgabenaufteilung ist keiner mehr in der Lage alles über das System und seine Vor- und Nachteile zu wissen. Auf Grund der Tatsache, dass die Sicherheit, bedingt durch die enorm hohe Komplexität, nur sehr schwer zu gewährleisten ist, bestehen Gefahren durch Virenangriffe und illegales Mithören bzw. eine illegale Aufzeichnung der Daten und Informationen, die das Verteilte System zur Verfügung stellt. Die aufgeführten Viren könnten beispielsweise Trojaner, Mailviren etc. sein. Zugleich kann durch externe Angriffe, der Nachrichtenaustausch verhindert werden, oder die Nachrichten werden im Hinblick auf ihren ursprünglichen Inhalt und ihrer Intention verfälscht. Nachrichten sind im Allgemeinen sehr fehleranfällig, da sie zum Teil ohne Grund nicht zugestellt werden können. Damit eine eindeutige Zuordnung erfolgen kann muss die Nachricht anhand von Merkmalen, wie zum Beispiel einem bereits aufgeführten Zeitstempel, identifiziert werden.

Es besteht gleitzeitig die Gefahr, dass Benutzerkonten von anderen unerwünschten Personen verwendet werden. Dadurch kann der nicht zugelassene Nutzer Daten verfälschen bzw. für sich sichern und dann an Dritte weitergeben, sodass der Datenschutz nicht mehr gewährleistet werden kann. Ein weiteres Problem ist die Abarbeitungsreihenfolge, da sie nicht parallel erfolgt, da manche Datenprozesse wesentlich aufwendiger und komplexer sind und somit mehr Zeit bis zur Vollendung benötigen. Letztlich ist auch der Gesichtspunkt der Lokalisation von Fehlern und möglichen Problemen nicht zu verachten, da diese durch die Vielzahl an Clients erschwert wird.

5.2.6 Beispiel

Internet --> Globale Vernetzung
Internet --> Globale Vernetzung

Als bekannte Beispiele für die Thematik der Verteilten Systeme lassen sich das Internet und das Intranet aufführen. Beim Internet handelt es sich um viele Clients und Server, die sich zu einem globalen Netzwerk zusammenschließen, indem sie sich über Nachrichten verständigen. Dieses global verfügbare Netzwerk ermöglicht den gemeinsamer Zugriff auf Internetseiten und Ressourcen der Internetseite wie z.B. Downloads. Außerdem sollte eine weltweite Erreichbarkeit existieren, sodass eine internationale Informationsbeschaffung möglich ist. Zumal muss zeitgleich gearbeitet werden, sodass alle Menschen auf der Welt an einzelnen Prozessen autark mitwirken können. Fakt ist, dass die zunehmende Globalisierung auf das weltweit verbreitete Netz setzt, um eine dauerhafte Kommunikation zu gewährleisten. Die benötigten Ressourcen können über die verschiedenen weltweiten Orte besser verteilt werden, sodass folglich die Performance immer mehr zunimmt. Dadurch haben Netzwerkadministratoren ebenfalls die Chance, an unterschiedlichen Standorten, für die Sicherheit des Systems zu sorgen. Durch Emails können Nachrichten an gezielte Personen versendet werden und eine neue Art der Kommunikation wird möglich. Wenn darüber hinaus Freemail-Anbieter genutzt werden, so kommen keine weiteren Kosten auf den Benutzer zu, da diese eine kostenlose Vergabe von Mailadressen und den dazugehörigen kostenlosen Email-Versand anbieten. Die Unabhängigkeit der Rechner weist den Vorteil auf, dass der Standort des jeweiligen Rechners für die Funktion im Internet nicht relevant ist. Bedingt durch die Tatsache, dass keine einheitliche Ausgangssituation in allen Ländern der Welt vorliegt, da es zum Beispiel unterschiedliche Zeitzonen und Gegebenheiten gibt, muss das verteilte System diese Aspekte kompensieren, sodass der Austausch von Nachrichten und Daten überall auf der Welt problemlos durchgeführt werden kann[18].

Ein weiteres Beispiel ist das sogenannte Intranet, dass über gewisse Ähnlichkeiten mit dem Internet verfügt, nur das der Personen- d.h. der Nutzerkreis eingeschränkt ist. Dieser ausgewählte Kreis kann z.B. eine bestimmte Firma und ihre Tochtergesellschaften sein. Dadurch das nur bestimmte autorisierte Personengruppen Informationen darüber bereitstellen bzw. veröffentlichen können und es zugleich nicht für die Öffentlichkeit zugänglich ist, unterscheidet das Intranet vom Internet. Bedingt durch diese Aspekte gelangen vertraute firmeninterne Informationen nicht an Dritte[18].

5.3 Verteilte Systeme und Connected Cars im Vergleich

In den letzten beiden vergangen Punkten konnten wir Ihnen hoffentlich einen guten Überblick über Verteilte Systeme und Connected Cars vermitteln. Im folgenden wollen wir diese beiden Systeme vergleichen um Ihnen Gemeinsamkeiten, Unterschiede und mögliche Risiken aufzuzeigen.

5.3.1 Merkmale, Aufgaben und Funktionen

Das Hauptmerkmal der Verteilten Systeme ist Ressourcenverwaltung bzw. Einteilung in Kombination mit der Bereitstellung von Diensten für die verschiedenen Clients,Server etc. Ein Connected Car weist in Teilbereichen auch dieses Merkmal auf, denn es stellt ja seine Systeme z.B. dem Fahrer (den man z.B. als Client ansehen könnte) zur Verfügung. Desweiteren weisen Verteilte Systeme das große Merkmal auf, dass Sie an verschiedenen Orten, unabhängig von einander arbeiten und die einzelnen Einheiten untereinander kommunizieren. Nimmt man alle Connected Cars als ein großes System, weist dieses "neue" System das selbe Merkmal auf. Jedes Connected Car ansich ist eigenständig, aber untereinander wird kommuniziert. Aufgrund dessen lassen sich Connected Cars ebenfalls in die Kategorie "Verteilte Systeme" einordnen. Spezifiert man diese Einordnung noch, könnte man das System "Connected Cars" als Peer to Peer System einordnen, da jedes Connected Cars gleicberechtigt ist und sowohl die Rolle des Servers (z.B. beim senden einer Nachricht) als auch die Rolle des Client (z.B. beim empfangen einer Nachricht) einnehmen kann. Eine weitere Gemeinsamkeit lässt sich im Bereich der Definition von Aufgaben und Funktionen feststellen : Per Definition haben verteilte Systeme genau definierte Aufgaben und Funktionen, im Bereich der Connected Cars ist das nicht anders. Natürlich unterscheiden sich die beiden Systeme aber in ihren Ausprägungen der Aufgaben und Funktionen : Während verteilte Systeme z.B. die Aufrechterhaltung des Systems als Aufgabe haben, geht es bei den Connected Cars z.B. um die Fortbewegung oder die Kommunikation der Connected Cars untereinander. Zusammengefasst, ist das System "Connected Cars" ein Verteiltes System und weist damit die gleichen Merkmale, Aufgaben und Funktionen (Definitionen) auf. Es sollte jedoch klar, das die Anwendungsbereiche von Connected Cars und verteilten System gänzlich unterschiedlich sind und sich damit auch die realen Ausprägungen der Aufgaben und Funktionen stark unterscheiden.

5.3.2 Risiken aus der Anwendung

Aus der Anwendung von beiden System resultieren viele verschiedene Risiken. Gelingt es Angreifern eines (egal welches!) der beiden Systeme zu kompromittieren entstehen erhebliche Probleme in den folgenden Bereich entstehen, was natürlich schwerwiegende Folge (werden ab dem Punkt 7.2 behandelt) mit sich bringen kann:

  • Verfügbarkeit
  • Integrität
  • Vertraulichkeit
  • Authentizität
  • Sicherheit

Die Verfügbarkeit beschreibt die "Gewährleistung, dass das IT-System (für befugte Nutzer) zugänglich und funktionsfähig ist"[19]. Das bedeutet, dass befugte Nutzer das Zielsystem (z.B. eine Serveranwendung) immer dann verwenden können, wenn Sie es möchten / brauchen. Das Risiko besteht aus der Möglichkeit, dass in wichtigen Situationen das System nicht Verfügbar und somit evtl. eine gewisse Situation ausser Kontrolle gerät. Unter Integrität versteht man die "Gewährleistung,dass die Daten des IT-Systems nur durch befugte Nutzer verändert werden"[20]. Ein typisches Beispiel hierfür, wäre das nur durch bestimmte Benutzer (die mit Veränderungs Berechtigung) Daten in dem z.B. Serversystem verändert werden. Das mögliche Risiko wird hier sehr deutlich, sind unbefugte Nutzer in der Lage wichtige / sensible Daten zu ändern / manipulieren, können die Auswirkung aus dieser Aktion enorm sein. Witt beschreibt die Vertraulichkeit wie folgt : "Gewährleistung, dass die Daten des IT-Systems nur durch befugte Nutzer interpretiert werden"[21]. Ähnlich zur Integrität, ist ein gutes Beispiel für Vertraulichkeit das nur berechtigte Benutzer Daten in dem Serversystem ansehen / lesen dürfen. Auch im Bereich des Risiko besteht eine große Ähnlichkeit zu dem Risiko bei der Integrität: Können unberechtige Benutzer sensible Informationen einsehen, können auch hier große Risiken folgen. In seiner Diplomarbeit beschreibt Grebe die Authentizität wie folgt : "Nachweis der Identität des Senders bzw. des Empfängers" [22]. Ein gutes Beispiel hierfür ist es, dass z.B. der "angegebene" Sender einer Nachricht auch wirklich der Sender ist. Ist es möglich, z.B. den Absender der Nachricht zu ändern, können große Risiken durch diese Falsche Angabe entstehen. Der letzte Punkt, Sicherheit, bezieht sich auf die Wahrscheinlichkeit, dass das System zweckentfremdet wird um z.B. für Angriffe oder kriminelle Anliegen genutzt zu werden. Das Risiko wird umso größer, desto unsicherer das System ist, da es ja z.B. öfter für Angriffe zweckentfremdet werden kann.

5.3.3 Angriffspotenziale

Die Angriffspotenziale für beide Systeme sind vielfältig. Aufgrund der großen Ähnlichkeit von beiden Systemen sind es aber größteils die selben. Solche System können auf die verschiedensten Arten angegriffen werden :

  • Durch Schadsoftware (z.B. Viren, Trojaner)
  • Durch Angriffe von Außen (z.B. Hacker und Cracker)

Ausfürlichere Informationen zu diesen Arten erhalten Sie ab dem folgendne Punkt 7.1.

6 Typische Angriffsszenarien und Gefahren

"Welches Szenario hätten Sie denn gern – das smarte oder lieber jenes zum Fürchten?"[23] So oder so ähnlich könnte man sich die Frage im Bezug auf die typischen Angriffsszenarien und Gefahren der Connected Cars stellen. Ein Connected Car bietet die typischen Gefahren die wir z.B. aus dem Bereich der Verteilten Systeme kennen - allerdings können hier die Folgen weitaus verheerender sein! Was sind die typischen Angriffszenarien? Welche Folgen und Auswirkungen kann ein Angriff implizieren? Welche Arten gibt es? Kann ich mich schützen? Wie Gefährlich ist das alles wirklich? Im Folgenden versuchen wir Ihnen auf all diese Fragen eine Antwort zu liefern.

6.1 Arten

Wie bereits oben erwähnt wollen wir versuchen Sie über die Arten der Gefahr die von den Connected Cars ausgehen, aufklären. Um Ihnen einen Einblick in diese Thematik zu gewähren, stellen wir im Folgenden die Arten kurz vor.

6.1.1 Viren und Würmer

Die sog. Viren und Würmer sind sich selbst verbreitende Computerprogramme, welche versuchen sich in andere Systeme einzuschleusen und dort zu reproduzieren. Den Namen Virus haben diese Programme durch ihre Verbreitungsweise erhalten. Viren und Würmer verbreiten sich beide in den Systemen unterscheiden sich aber in Ihren Konzepten grundlegend.

6.1.1.1 Viren

Schematischer Ablauf / Aufbau eines Virusprogramms
Schematischer Ablauf / Aufbau eines Virusprogramms

Ein Virus benötigt wie sein biologisches Vorbild ein sogenanntes "Wirtprogramm" um sich zu verbreiten. Es verbreitet sich indem es sich in noch nicht infizierte Wirtprogramme kopiert und diese dann so anpasst, dass das Virus aufgerufen wird sobald das Wirtprogramm gestartet wird. Das Virusprogramm besteht aus 4 Teilen :

  • Viruskennung
  • Infektionsteil
  • Schadensteil
  • Sprungteil

Durch die Viruskennung (im unseren Beispiel 1111) kann das Virusprogramm während der Ausführung des eigenen Infektionsteils erkennen, ob das Programm bereits infiziert wurde oder nicht (im Gegenzug kann ein Virenscanner daran die infizierten Programme erkennen). Bei der Ausführung des Infektionsteils kopiert sich der Virus in den Speicherbereich. Handelt es sich hierbei um den Code einer ausführbaren Datei (z.B. *.exe) wird das Programm modifiziert. Durch die Modifizierung wird die Dateilänge und Einsprungadresse verändert, so das beim Start des Programms zuerst der Virus ausgeführt wird. Damit nach der Ausführung des Virus wieder das normale Programm gestartet wird, beinhaltet der Code in seinem Sprungteil eine Rücksprungadresse. Der Schadensteil wird meist nur gestartet, wenn eine gewisse Bedingung erfüllt oder eben nicht erfüllt wird.[24]. Die Aktionen die durch den Schadcode hervorgerufen werden könnten, reichen von einfachen ungefährlichen Aktionen bis hin zu Formatierungen von Festplatten o.ä.

6.1.1.2 Würmer

Ein Wurm ist ein komplett eigenständig ablauffähiges Programm mit der Fähigkeit zur Reproduktion, was bedeutet, dass es (im Gegensatz zum Virus) kein Wirtsprogramm benötigt. Wurm-Programme bestehen in der Regel aus mehreren Programmteilen, die auch Wurm-Segmente genannt werden. Die Verbreitung des Wurms erfolgt absolut selbstständig, meistens unter Kommunikation mit anderen Wurm-Segementen [25]. Ein wichtiges Unterscheidungsmerkmal für Würmer ist die Verbreitungsmethode. Kurz gesagt, die Art wie ein Wurm seine Kopien auf andere Computer überträgt. Darüber hinaus unterscheiden sich Würmer auch darin, wie sie in andere Systeme eindringen , wie sie ihre Kopie auf dem infizierten Rechner ausführen können, wie sie eventuell den Polymorphismus ausnutzen und was die eingesetzten Maskierungstechnologien sind. Die gängigsten Wurmkategorien (unterschieden an der Verbreitungsmethode) sind:

  • E-Mail Würmer
  • IM (Instant Messenger) Würmer
  • IRC (Internet-Relay-Chat) Würmer
  • Kopieren auf Netzwerkressourcen
  • Einschleusen über Schwachstellen in Betriebssystemen oder Anwendungen
  • Eindringen in öffentlich zugängliche Netzwerkressourceen
  • Parasitäre Nutzung anderer Schadprogramme [26]

Hat ein Wurm erst einmal das System infiziert, wird der Schadcode des Wurms ohne Probleme ausgeführt.

6.1.2 Trojaner

"Ein Trojanisches Pferd ist ein Programm, dessen implementierte Ist-Funktionalität nicht mit der angegeben Soll-Funktionalität übereinstimmt. Es erfüllt zwar diese Soll-Funktionalität, besitzt jedoch darüber hinausgehende, beabsichtigte zusätzliche, verborgene Funktionalität" [27]. Des weiteren besitzen Trojanische Pferde extra verborgene Eigenschaften um so z.B. in ein System einzudringen, Daten zu manipulieren, persönliche Daten auszulesen (z.B. Bankdaten). Um keine Aufmerksamkeit zu erregen wird auf Benutzerebene ein korrektes Verhalten vorgetäuscht. Aktiviert werden Trojanische Pferde bei Programmstart oder durch spezielle Auslöser (dann spricht man von einer logischen Bombe). Die Systembereiche in denen die Trojanischen Pferde auftreten können sind ganz unterschiedlich; diese Reichen von normalen Editieren über Textverarbeitungsprogramme bis hin zu manipulierten Datenbanken. Benutzt man nun die Trojanischen Pferde als normale Anwendungen, können nun z.B. die Inhalte der Textdatei unbemerkt kopiert werden oder vertrauliche Informationen unbemerkt aus der Datenbank gelangen.[28].

6.1.3 Hacker und Cracker

Hacker und Cracker bezeichnen in der Regel eine Gruppe von technisch sehr versierten Angreifern, die zur Durchführung ihrer Angriffe häufig illegale Wege einschlagen. Die Beweggründe sind bei den Gruppen allerdings unterschiedlich. Das Ziel eines Hacker ist es, Schwachstellen und Verwundbarkeiten in IT-System aufzuspüren und diese Schwachstelle mit Hilfe von selbst entwickelten Angriffen (sogennanten Exploits) auszunutzen. Hacker wenden sich dann in der Regel mit diesen Exploits an die Öffentlichkeit um auf die Schwachstellen aufmerksam zu machen. Meistens verfolgen Sie nicht das Ziel Dritten Schaden zu zu fügen. Im Gegensatz dazu benutzt der Cracker seine Angriffe zum eigenen Vorteile oder zum Nachteil eines Dritten. Daher geht von der Gruppe der Cracker eine weitaus größere Gefahr aus wie von der Gruppe der Hacker.[28]

6.1.4 Man in the middle

Schematischer Ablauf einer Man in the Middle Attacke
Schematischer Ablauf einer Man in the Middle Attacke

Mit einer Man in the Middle Attacke bezeichnet man Angriffe von einer unberechtigten dritten Person, über die eine Kommunikationsverbindung zwischen meist zwei Komminikationspartnern verläuft. Beide Kommunikationspartner (Sender und Empfänger) haben keinerlei Kenntnisse darüber, dass ihre Kommunikation über die unberechtigte dritte Person verläuft. Ist der Datenaustausch zwischen Sender und Empfänger nicht verschlüsselt, kann der Angreifer so alle Informationen mitlesen oder diese sogar nach seinen Wünschen modifizieren. [29]

6.1.5 Sniffing

"Unter dem Begriff Sniffing (deutsch: Schnüffeln) - unter Zuhilfenahme eines Sniffers - fast man alle Angriffe zusammen, bei denen durch das Mitlesen von Daten bei einer TCP/IP Übertragung Informationen gewonnen werden." [30] Diese Methode wird meistens genutzt um an wichtige, personenbezogene Daten zu gelangen und diese zum Schaden dieser Person auszunutzen.

6.1.6 (Distributed) Denial of Service

Schematischer Aufbau einer DDoS Attacke
Schematischer Aufbau einer DDoS Attacke

Ein Distributed Denial of Service Angriff (kurz DDoS) ist ein Angriff, wo ein über mehrere Client-Rechner (sogenannte Zombies) koordinierter Angruff auf einzelne Rechner oder ganze Rechnernetze ausgeführt wird, bei dem ein Dienst mit einer Vielzahl von Verbindungsversuchen überflutet wird. Schlussendlich wird der Angegriffene Dienst überlastet, wird abgeschaltet oder fällt aus und ist somit für niemanden mehr zu erreichen. Solche Ausfälle haben z.B. Wirtschaftliche Schäden durch den fehlenden Umsatz zur Folge. Um die Clients zu infizieren, werden über Trojaner und Würmer unbemerkt DDoS Programme eingeschleust,die auf den infizierten Rechnern bis zu einem bestimmten Auslöser inaktiv sind ("schlafen"), um dann mit allen anderen infizierten Clients einen koordinierten Angriff auf das System zu starten. [31]

6.1.7 Manipulation von "innen heraus"

Eine weitere und nicht zu unterschätzende Gefahr ist die Manipulation von innen heraus, sprich durch eine Manipulation der Boardeleketronik während z.B. einer Reparatur des Fahrzeuges in einer Werkstatt. Hier wird die originale Boardelektronik soweit verändert, dass sie zusätzliche, verdeckte Möglichkeiten / Funktionen beinhaltet von denen der Besitzer des Connected Cars nichts weiß und die dazu ausgelegt sind ihm zu schaden. Es wäre z.B. Möglich, sich somit Wege zu schaffen um Steuerimpulse / Steuerpackete direkt in das Kontrollsystem einzuschleusen und somit die Kontrolle zu übernehmen Es wäre aber auch möglich, Bauteile für das Fahrzeug zu manipulieren (z.B. Radios, Navigatiosnsysteme) und sie mit bösartiger Software auszustatten um somit Schadcode in das System zu schleusen[32].

6.1.8 Direkte Angriffe von Außen

Bisher haben wir lediglich Arten durch verschiedenste Schadsoftware und Angriffe von innen heraus kurz beleuchtet. Nun wollen wir kurz die Möglichkeit der direkten Angriffe von Außen beleuchten. In den Fahrzeugen werden zunehmend Geräte für kabellose verbunden integriert sein (z.B. Radios), welche Signale von aussen aufnehmen und verarbeiten. Manche dieser Geräte haben nur kurze , andere wiederrum nahezu unbegrenzte Reichweiten. Schaft man es nun über diese Geräte eine kabellose Verbindung (z.B. später über das Internet) zu den Systemen des Connected Cars herzustellen, wird man unter Umständen auch in der Lage sein das Fahrzeug über das Internet zu steuern [32].

6.1.9 Fehlfunktionen

Eine Fehlfunktion sagt aus, dass ein technisches Gerät nicht mehr so funktioniert wie es geplant bzw. vorhergesehen wurde : z.B. ein Höhenmesser in einem Flugzeug zeigt eine falsche Höhe an, die Bremsen eines PKW bremsen nicht mehr richtig etc. Kommt es in kritischen Systemen zu Fehlfunktionen (wie z.B. der Höhenmesser) kann dies schlimme Folgen mit sich bringen!

6.2 Mögliche Angriffsszenarien

Im Folgenden möchten wir Ihnen einen Ausblick auf ein paar möglichen Gefahrenszenarien bieten. Die Gefahren basieren auf Annahmen durch Fakten die wir während unserer Recherche fanden. Heute sind große Angriffe auf die Systeme der Connected Cars von der technischen Seite her noch nicht möglich da es z.B. keine geregelten Standards für den Zugriff von "außen" gibt und die Technik an sich noch nicht weit genug ist. Der aktuell einzige Schwachpunkt ist das Navigationssystem, allerdings erreicht man von dort aus keine sicherheitsrelevanten Bereiche.[33] Die nun folgenden Szenarien sind daher rein hypothetisch und spielen sich einer ungewissen Zukunft ab.

6.2.1 Szenario 1: Manipulation der Navigation

Angenommen, es gelingt einem Angreifer in die Systeme (in diesem Fall in das Navigationssystem) von außen einzudringen und so die Vorgänge im System zu überwachen / verändern. Gibt eine Person nun eine gewünschte Zieladresse ein, wäre es möglich der Person vorzutäuschen das Sie sich in Richtung ihres Zielortes bewegt, man sie in Wirklichkeit aber zu einem ganz anderen, nämlich zum Wunsch Punkt des Angreifers navigiert um diese Person z.B. dort in einen Hinterhalt oder weit genug vom eigenen Haus zu locken. Die kriminellen Möglichkeiten sind weitläufig.

6.2.2 Szenario 2: Übernehmen der Kontrolle der zur Fortbewegung notwendigen Systeme

Nehmen wir auch hier an, des einem Angreifer gelingt in die Systeme (in diesem Fall alle Systeme die zur Fortbewegung notwendig sind) einzudringen und die Kontrolle zu übernehmen. Das könnte z.B. bedeuten, dass der Fahrer eines Wagens die Geschwindigkeit drosseln möchte aber der Angreifer dies verhindert indem er den Wagen beschleunigt oder die Bremswirkung nicht eintreten lässt. Wendet man dieses Szenario an vielen Fahrzeugen koordiniert und gleichzeitig an, lässt sich z.B. Szenario 3 sehr leicht in die Tat umsetzen.

6.2.3 Szenario 3: Staus künstlich verursachen

In Szenario 2 haben wir bereits einen Weg beschrieben um Staus eventuell künstlich zu verursachen. Darüber hinaus gibt es aber theoretisch noch weitere Wege um das selbe Ziel zu erreichen. Ein Vorteil der Connected Cars ist das Weiterleitung von wichtigen Warnhinweisen z.B. einem Stauhinweis. Schaft man, es das Hinweis System zu kompromittieren und dadurch einmal einen falschen Warnhinweis auszugeben, werden kontinuierlich alle folgenden Fahrzeuge aufgrund ihrer Architektur diesen falschen Hinweis weitergeben. So lässt sich sehr einfach ein künstlicher Stau generieren.

6.2.4 Szenario 4: Provozieren von Unfällen

In den ersten Szenarien konnten wir Ihnen hoffentlich schon einige Möglichkeiten offenlegen. Kombiniert man nun die Gefahren aus diesen Szenarien, fällt schnell auf das es auch ein leichtes wäre Unfälle zu provozieren. So ergeben sich nahezu gespenstische Möglichkeiten! Es wäre z.B. möglich 2 bestimmte Fahrzeuge durch die geschickte Manipulation von Navigationsdaten auf die gleiche Straße zu navigieren. Hier übernimmt der Angreifer die Kontrolle über die zur Fortbewegung notwendigen Systeme. Fahren nun die gewünschten Fahrzeuge in einer Spur hintereinander, leitet der Angreifer im vorderen Fahrzeug eine Vollbremsung ein während er dafür sorgt das das hintere Fahrzeug noch einmal voll beschleunigt. Durch diese Vorgehensweise ist es ein leichtes schlimme Unfälle zu generieren. Des weiteren sind die kriminellen Möglichkeiten so groß das sie nur schwer vorstellbar sind.

6.2.5 Szenario 5: Ausfall der wichtigsten Funktionen durch eine Fehlfunktion

Unter dem Punkt 7.1.7 haben wir bereits erwähnt das eine Fehlfunktion eine große Gefahrenquelle darstellt. Stellt man sich nun einmal vor, dass durch eine Fehlfunktion z.B. irgendein notwendiges System zur Fortbewegung bzw. Kontrolle von Connected Cars ausfällt(z.B. die Bremsen) kann so etwas schlimme Folgen, wie Auffahrunfälle haben was auch Menschenleben kosten kann.

6.2.6 Szenario 6: Übernahme der Kontrolle durch Manipulation der Elektronik

Ein weiteres Szenario kann auftreten, wenn (wie in Punkt 7.1.7 beschrieben) der Angreifer die Möglichkeit besaß, die Elektronik des Connected Cars so zu verändern, dass er nun in der Lage ist, sich durch die manipulierte Elektronik die volle Kontrolle über das Fahrzeug anzueignen. Ist der Angreifer erst einmal im Besitzt der Kontrolle, sind seinen Möglichkeiten keine Grenzen mehr gesetzt! Vom Ausschalten der Bremsen bis hin zur Lenkung des Fahrzeuges ist theoretisch alles denkbar. Die (vor allem) kriminellen Möglichkeiten sind in diesem Szenario unglaublich!

6.2.7 Szenario 7: Durchgängige Ortung

In Szenario 7 beschreiben wir die Gefahren die durch die Möglichkeit der durchgängigen Ortung durch GPS / GRPS entstehen kann. Gelingt es dem vermeintlichen Angreifer das Fahrzeug durchgehend zu orten, kann er z.B. umfangreiche Bewegungsprofile erstellen oder sogar seinem vermeintlicehen Opfer auflauern. Auch die kriminellen Möglichkeiten durch die Profile sind enorm! Dieses Szenario stellt also auch eine große, kriminelle Gefahr dar.

6.2.8 Szenario 8: Diebstahl von Daten

In unserem letzten Szenario wollen wir die Gefahr durch den Diebstahl von Daten erläutern. Gelingt es dem Angreifer das System zu kompromitieren, könnte er in der Lage sein sämtliche gespeicherten Daten aus dem Speicher des Fahrzeugs auszulesen : Name, Adresse, KM Stand etc. Sollten im Fahrzeug noch wesentlich sensiblere Daten wie z.B. Pins gespeichert sein, stellt das alles eine große Gefahr für die Sicherheit dar, da der Angreifer sich evtl. unerlaubten Zugriff auf andere Gegenstände verschaffen kann oder zuviele wichtige Informationen über sein vermeintliches Opfer bekommt und somit einen möglichen Angriff besser planen kann. Auch hier sind die kriminellen Möglichkeiten kaum abzuschätzen.

6.3 Gegenmaßnahmen zur Abwehr und Verhinderung

Wie bereits im vorherigen Abschnitt erwähnt, sind die von uns genannten Angriffsszenarien aktuell noch nicht möglich. Sollten diese aber möglich werden, bedarf es diversen Gegenmaßnahmen zur Abwehr und Verhinderung dieser um die schrecklichen Szenarien nicht Realität werden zu lassen. Die Gegenmaßnahmen, kann man aber durch die nahezu gleichen Angriffsmöglichkeiten gut mit denen von typischen IT Systemen (z.B. verteilten Systemen) vergleichen : Firewalls, Verschlüsselungen, Authentifizierungen, Zugangskontrollen, DRM (Digitial Rights Management) etc. werden dann in die zukünftige Standardausrüstung der Fahrzeuge integriert sein.[33]. Diese Methoden dienen aber nur der Prävention von z.B. Viren. Natürlich müssen diese Systeme dann auch aktuell/ auf dem neusten Stand gehalten werden - was aber ja auch ähnlich zu den verteilten Systemen ist. Um Fehlfunktionen zu verhindern, sollten Reparaturen / Modifikationen nur von renommierten, bekannten Firmen ausgeführt werden. Diese Tatsache bringt auch noch diverse andere Vorteile mit sich, wie z.B.: die Verringerung der Chance auf manipulierte neu Teile bzw. manipulierte Boardeleketronik. Um direkte Angriffe von Außen zu verhindern, müsste es möglich sein (ähnlich zu den heute aktuellen Wireless LAN Komponenten) die drahtlosen Funksysteme zu verschlüsseln und / oder sie mit einem Zugangsfilter (z.B. MAC-Adressen Filter) zu belegen, um so den potentiellen Angreifern den Einbruch in das System zu erschweren und diese Gefahr zu minimieren.

6.4 Auswertung der Gefahren

Sobald wir den nötigen Stand der Technik erreicht haben um Connected Cars in Serie zu produzieren und die Menge der Connected Cars die "kritische" Masse überschritten hat, werden die Angriffs Szenarien sehr interessant werden, da der Aufwand (z.B. für die Erstellung eines Virus / Wurms ) für die Angriffe den Nutzen rechtfertigt. Aktuell, sind Angriffe wie sie in den o.g. Szenarien beschrieben werden aber noch fast undenkbar. Lediglich die Navigationssoftware lässt sich aktuell schon verändern, was aber kein großes Problem darstellt, da man aus dem Navigationssystem in keine wichtigen Bereiche des Systems gelangt. Am realistischsten ist aktuell Szenario 6, da amerikanischer Forschern schon ein Angriff der sehr ähnlich unserem Szenario ist, gelungen ist. Bei dem Testangriff der amerikanischen Forscher, schlossen Sie einen Funklaptop direkt an eine Schnittstelle im Testwagen an. Über diesen Laptop waren Sie dazu in der Lage auf die Systeme des Fahrzeuges zuzugreifen und diese zu Manipulieren. Es gelang Ihnen z.B. die Bremsen zu deaktivieren oder das Auto einfach zu beschleunigen. Bei der Vielzahl ihrer Tests, war es den Fahrern nicht mehr möglich manuell in das Geschehen einzugreifen. Stieg ein Fahrer z.B. auf die Bremse, bremste das Fahrzeug trotzdem nicht[34]. Laut der Meinung von Experten, stellen die von uns gennanten Arten von Angriffen aber keine große Bedrohung dar, da Abgesehen von den etwas verschärften Bedingungen im automobilen Umfeld, was etwa die Robustheit und Haltbarkeit einer Firewall betrifft, dies technisch nicht so schwierig sei.[33] Laut dem Experten Weimerskirch, werden die lebensbedrohlichen Szenarien nicht eintreten, da die Automobilhersteller "die Gefahr sehen und traditionell sehr vorsichtig sind".[35]. Es bleibt lediglich abzuwarten ob die Experten Recht behalten, oder ob die Gefahren doch viel akuter werden als Sie es aktuell zu sein scheinen. Eins steht aber bereits heute fest, sollten die Experten unrecht behalten und die von uns genannten Szenarien Wirklichkeit werden, werden die Connected Cars wohl das gefährlichste Angriffsziel in der Zukunft sein mit einem kriminellen Potential was nahezu unendlich ist.

7 Datenschutzprobleme

Im Bereich Connected Cars werden auch Daten erfasst, gespeichert und verschickt. Somit können diese von Dritten gesammelt und manipuliert werden. Im Folgenden werden wir die Fragen klären, welche Datenmengen und Daten denn überhaupt erfasst und wie sie kommuniziert werden können. Wir stellen auch Vermutungen an, welche Daten in Zukunft betroffen sein könnten. Auch auf die Gesetzeslage zum Datenschutz in Deutschland werden wir eingehen, um dann abschließend die möglichen Gefahren abwägen zu können.

7.1 Unterscheidung der verschiedenen Datenarten

Als Erstes werden wir klären, welche Daten anfallen und wie und wo sie gespeichert werden. Es gilt dabei zu unterscheiden, welche Daten bereits erfasst werden und wie eine mögliche zukünftige Entwicklung aussehen könnte.

7.1.1 Inhalt

Es können verschiedene Fahrzeug- und Umgebungsdaten erfasst und gespeichert werden. So gibt es auf der einen Seite die Möglichkeit technische Fahrzeugdaten zu erfassen und diese auch intern zu speichern. Denn es werden schon standardmäßig der Kilometerstand des Tachometers, die aktuelle Geschwindigkeit, die durchschnittlichem Geschwindigkeit, der Spritverbrauch, verschiedene Temperaturen oder die verbleibende Kraftstoffmenge über den Bordcomputer erfasst und über das Armaturenbrett bei modernen Autos digital dargestellt.

Auch ein UDS (Unfalldatenspeicher) protokolliert Daten. Dieser wurde im Jahre 1993 in Deutschland eingeführt. Laut Einbauanleitung speichert dieser laufend Quer- und Längsbeschleunigungen, Überholmanöver, Schleudern und Kurvenfahrten, aber auch Daten die angeben "wann und wie lange Zündung, Bremsen, Blinker, Licht [...] betätigt wurden"[36]. Durch eine Ringspeicherung werden allerdings immer nur die letzten 30 Sekunden im Speicher festgehalten, die älteren Informationen werden laufend überschrieben. Bei einem Unfall werden diese, sowie noch Daten der nächsten 15 Sekunden gespeichert und dienen somit für eine zeitgenaue Protokollierung des Unfallhergangs[37]. Mittlerweile gibt es auch einen oder mehrere EDR (Event Data Recorder) in vielen Automobilen, die sich von einem UDS dahingehend unterscheiden, dass sie mehr Daten protokollieren und diese auf Dauer gespeichert werden. Auch das Fahrverhalten wird hier von einigen Systemen mitgeschrieben, sodass man später zurückverfolgen kann, wie schonend ein Fahrer mit seinem Auto umgegangen ist[38].

Ferner protokollieren auch einige Navigationsgeräte die Wegstrecken mit, die sie gefahren haben und sammeln so wichtige Daten über das Fahrverhalten, hinsichtlich regelmäßiger Strecken - zum Beispiel kann so der Arbeitsweg nachverfolgt werden- oder der benötigten Zeit für verschiedene Streckenabschnitte.

Aber auch aus der Umgebung können Daten erfasst werden. So gibt es Möglichkeiten der Kennzeichenerfassung durch Überwachungskameras und Mautstationen. Dies wird bereits in einigen Bundesländern wie Hamburg, Bayern und Hessen praktiziert, um die Polizei bei der Fahndung zu unterstützen. Diese werden dann anschließend wieder gelöscht, sobald der Abgleich des Autokennzeichens keinen Treffer ergeben hat[38].

Eine weitere Möglichkeit wäre, die Umgebungsdaten des Autos zu sammeln. Dies wären Daten über die allgemeine Verkehrslage oder das Wetter. Man könnte hierdurch Staus frühzeitig erkennen oder vor Unwetter, Nebel oder Glatteis rechtzeitig warnen. Auch andere Fahrzeuge könnte man über eine Kamera im Auto automatisch erkennen lassen und somit die Verbrechensbekämpfung unterstützen. Denn Fluchtfahrzeuge oder gestohlenen Fahrzeuge kann man so effektiver erkennen.

7.1.2 Menge

Auch anhand der Speicherdauer und des benötigten Speichervolumens lassen sich erzeugte Daten unterscheiden. Denn die einzelnen Autos verfügen nur über eine relativ geringe Speicherkapazität und speichern aus diesem Grund nur einige Daten dauerhaft. Doch durch die Einführung neuer EDR werden mittlerweile immer mehr Daten dauerhaft gespeichert und dadurch für Dritte zugänglich gemacht. Das größte Speicherpotential liegt jedoch bei den Herstellern und dem Staat, denn aufgrund ihrer finanziellen Mittel können diese große Speicher zur Verfügung stellen, um nicht nur Daten einzelner, sondern riesige Datenmengen mehrerer tausend Autos zu speichern und zu verwalten. Hersteller könnten durch eine sinnvolle Auswertung der vorhandenen Daten mögliches Verbesserungspotential ihrer Fahrzeuge ableiten, indem man zum Beispiel die häufigsten (technischen) Ursachen für Unfälle oder Werkstattbesuche empirisch ermittelt und diese Teile dann sukzessive verbessert.

7.1.3 Kommunikationspartner

Neben der Unterscheidung nach Inhalt und Datenmenge kann man die Daten auch dahingehend unterscheiden wie sie mit welchen Kommunikationspartnern ausgetauscht werden.

So gibt es unter anderem die Möglichkeiten des manuellen oder automatisierten Auslesens eines Bordcomputers oder von EDR bei Zugängen zum Auto, zum Beipsiel in Werkstätten. Diese können dann für eine genauere und schnellere Fehlerdiagnose verwendet werden, sodass der Fahrzeughalter Geld bei der Reparatur spart.

Auch zwischen den Autos kann eine Kommunikation stattfinden. Hier spricht man dann von einer C2C (Car to Car) Kommunikation. Vermutlich werden hier eher Umgebungsdaten ausgetauscht, um die Fahrer frühzeitig vor äußeren Gefahren zu warnen[39].

Ferner gibt es Kommunikationsmöglichkeiten zwischen einem Auto und anderen Systemen, dies nennt sich dann C2I (Car to Infrastructure) Kommunikation[39]. Dort gibt es zum Beispiel die FCD (Floating Car Data) Übertragungsweise, die dazu dient, die Verkehrslage zu erfassen. Deshalb senden alle Autos, die an dem Programm teilnehmen, laufend ihre Position, Fahrtrichtung und Geschwindigkeit an eine Zentrale. Dort werden dann die Daten ausgewertet und aus ihnen die Verkehrslage berechnet[40]. Eine weitere Möglichkeit der C2I Kommunikation sind die eCalls. Dies ist ein Notrufsystem, das im Falle eines Unfalls entweder durch Sensoren ausgelöst oder manuell einen Notruf mit allen relevanten Daten wie zum Beispiel den Ort übermittelt. Des Weiteren gibt es noch die Möglichkeit einer Sprachverbindung, sofern der Unfallinsasse noch dazu in der Lage ist[38].

7.2 Gefahren

Nachdem wir die verschiedenen Daten unterschieden haben und die positiven Eigenschaften des Erfassens und Verbreitens dieser Daten aufgezeigt haben, möchten wir nun drohende Gefahren aufzeigen, die sich dabei zwangsläufig ergeben. Diese können auf der einen Seite für den Besitzer an sich und auf der anderen Seite auch für andere Verkehrsteilnehmer oder Dritte eintreffen.

7.2.1 Sammeln

So gibt es Möglichkeiten für den Hersteller die mitprotokollierten Daten im Auto durch EDRs auf Garantieansprüche auszuwerten. So kann dieser beispielsweise bei einem Cabrio erfassen lassen, bei welcher Geschwindigkeit das Dach auf- und zugemacht wurde. Denn bei zu hoher Geschwindigkeit verfallen die Garantieansprüche. Auch andere Daten könnten für den Hersteller von Interesse sein, um von ungerechtfertigten Garantieansprüchen verschont zu bleiben[41]. Doch hier kann ein Nachteil für den Besitzer des Fahrzeuges entstehen, da die Daten durch Dritte verfälscht oder durch Systemfehler entstanden sein könnten und somit der Besitzer für Kosten aufkommen muss, obwohl diese in der Garantie eingeschlossen sind.

Ebenfalls könnte der Staat daran interessiert sein, Daten über Autos und seine Fahrer zu sammeln. So könnte man neben der Bekämpfung der Kriminalität (siehe 8.1.1) auch die gefahrene Geschwindigkeit der Fahrzeuge dahingehend verwenden, um eine Überprüfung auf erhöhte Geschwindigkeiten zu verwenden und somit den "gläsernen Autofahrer" wahrscheinlicher werden lassen. Die erforderlichen Daten könnte man zum Beispiel über eine GPS (Global Positioning System) oder die Kennzeichenerfassung der Mautsysteme bekommen[38]. Der gläserner Autofahrer ist für Datenschützer ein Begriff, der auf negative Weise die Totalüberwachung des Autofahrens durch den Staat meint. Hier weiß der Staat zum Beispiel welches Auto sich zu welcher Zeit wo befindet.

Ferner können Emissionsgrenzwerte des Autos protokolliert werden, um den gesetzlichen Auflagen zu entsprechen. Diese können dann über die On-Board-Diagnose des Fahrzeuges ausgelesen werden, sodass man die Zulassung der richtigen Abgasnorm für das Fahrzeug leichter überprüfen kann[42].

Auch die Versicherungen haben ein Interesse, dass Daten gesammelt werden. Denn aus den Daten der UDS oder EDR lassen sich Unfälle rekonstruieren und der Schuldige kann ermittelt werden. Allerdings besteht hier zur Zeit noch keine Gefahr, da der Einbau solcher Systeme freiwillig ist und solange sie fehlerfrei funktionieren gibt es keine vernünftigen Gründe gegen ihren Einsatz.

Auch für den Halter an sich gibt es sinnvolle Möglichkeiten die eigenen Daten zu sammeln und auszuwerten. So kann man mit ihnen die Fahrweise kontrollieren, indem Spritverbrauch oder Fahrzeiten aufgezeichnet werden. Somit kann der Fahrer seine Fahrweise optimieren, da bei häufig gefahrenen Strecken zum Beispiel die voraussichtliche Ankunftszeit berechnen werden kann. Diese beruhen dann nicht mehr ausschließlich auf Angaben des Navigationsgerätes, sondern auch auf persönliche Fahrerfahrungen. Bei einem Diebstahl könnten diese dem Angreifer jedoch Informationen über den regelmäßigen Tagesablauf des Fahrzeughalters geben. Möglichkeiten, diese Daten zu erhalten, sind der Diebstahl des Autos, wobei der Eigentümer jedoch gewarnt ist, aber auch bei Werkstattbesuchen durch deren Mitarbeiter. Vor allem für reiche Leute, deren Privatleben recht unbekannt ist, kann dieses eine große Gefahr sein, denn sobald man regelmäßig unbewohntes Gebiet befährt, kann die Entführungswahrscheinlichkeit hierdurch ansteigen.

7.2.2 Abhören

Abhören meint das Abfangen der Kommunikation des Autos entweder mit anderen Autos (C2C) oder mit Infrastrukturen (C2I). Verschiedene Parteien könnten Interesse an den Informationen haben, die kommuniziert werden. Diese werden dann für eigene Zwecke gespeichert oder ausgewertet. Sofern die Datenübertragung weder verschlüsselt, noch anderweitig gesichert werden, hat jeder einen einfachen Zugriff auf die Daten.

Dazu gehören Hersteller der Automobile, sowohl der Hersteller des Autos, als auch andere Hersteller. So kann der Hersteller über seine eigenen Fahrzeuge schneller erfahren unter welchen Problemen sie leiden. Dies sorgt für eine schnellere Diagnose, da er zum Beispiel die entsprechende Werkstatt informieren, oder ähnlich wie bei Formel-1-Boliden Einstellungen vom Werk aus ändern und somit das Auto wieder funktionstüchtig machen kann. Auch für die Vertragswerkstatt ist ein solches Szenario denkbar. Andere Hersteller könnten die Daten für Industriespionage nutzen und somit dem eigentlichen Hersteller deutlich schaden. Auch für den Besitzer des Autos ergeben sich zwangsläufig Gefahren, denn durch das Versenden persönlicher Daten wird er sowohl für den Staat als auch für andere Dritte transparent.

7.2.3 Manipulation

Durch den Einsatz von Connected Cars und den dazugehörigen technischen Neuerungen ist es auch leichter und im größeren Umfang möglich Daten zu manipulieren. Bislang lassen sich einige Fahrzeugdaten manipulieren, wie zum Beispiel ein zurückdrehen des Tachometers, um eine Wertsteigerung bei einem Auto zu erzielen. Denn obwohl das Manipulieren des Tachos unter Strafe steht, ist dies wohl die klassische und am häufigsten genutzte Manipulationsmöglichkeit am eigenen Fahrzeug[43]. Doch durch die neuen Technologien hat der Halter bzw. der Eigentümer noch weitere Möglichkeiten das eigene Fahrzeug für sich positiv zu manipulieren, um zum Beispiel einen höheren Wiederverkaufswert zu erzielen. Zum Beispiel lassen sich somit Daten über die Motorenleistung nachträglich aufbessern, die Anzeige des durchschnittlichen Spritverbrauches manipulieren oder aber auch Daten über vorangegangene Unfälle löschen. Dies kann durch einige kriminelle Energie gepaart mit technischem Verständnis vom Eigentümer selber oder aber über einen entsprechenden "Reparaturservice" durchgeführt werden. Benachteiligt sind in diesem Fall vor allem spätere Käufer, die sich dann wundern wie schnell manche Teile verschleißen oder warum bei ihnen das Auto ein anderes Verhalten und andere Materialverbräuche aufzeigt als beim Vorgänger.

Ebenfalls könnte die Werkstatt Daten manipulieren, um einerseits weitere, (im besten Fall) ungefährliche Fehler in die Elektronik einbauen, um eine Einnahme- und Umsatzsteigerung zu erzielen. Ein variabel einstellbarer Timer, der den Fehler auslöst, kann hierbei von Nutzen sein, um keinen Verdacht auf die Werkstatt fallen zu lassen. Da eine Werkstatt über Diagnose-Geräte zum Auslesen der Daten und vermutlich auch über entsprechende Kenntnisse der Technik verfügt, ist es durchaus denkbar, dass dies in großem Stil mit einfachen Mitteln durchgeführt werden kann. Aufgrund sowohl des fehlenden Wissens über die Technik des Autos und seiner Elektronik sowie mangelnder geeigneter technischer Hilfsmittel wird es dem Großteil der Autobesitzer schwer fallen, eine solche Manipulation zu vermuten oder gar nachzuweisen.

Zu guter Letzt können Daten auch manipuliert werden, um einen Angriff auf den Verkehr durchzuführen, wie wir bereits hinreichend unter den möglichen Angriffsszenarien (7.2) beschrieben haben.

7.3 Gesetzliche Regelungen

In diesem Abschnitt widmen wir uns nun der Frage, was gesetzlich erlaubt und verboten ist. Allerdings beschränken wir uns ausschließlich auf die Gesetze zum Datenschutz in Deutschland, also dem BDSG (Bundesdatenschutzgesetz). Die letzte Änderung im Gesetz fand am 14.08.2009 statt, sodass wir uns auf diese Fassung des Gesetzes beziehen. Dieses Gesetz dient dazu, "den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird"[44]. Personenbezogene Daten sind dabei "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" [45]. Das bedeutet, dass diese vor anderen geschützt werden und zwar sowohl vor dem Staat und zugehörigen Organen als auch vor Dritten[46]. Im Bereich der Connected Cars können personenbezogene Daten zum Beispiel Daten über die gefahrene Strecken des Autos (über das Navigationssystem erfasst), den Fahrzeughalter und Besitzer, sowie andere fahrerspezifische Informationen sein. Dennoch wird dieses Gesetz nachrangig behandelt, was bedeutet dass andere Rechtsvorschriften des Bundes vorrangig behandelt werden, sofern sich ein Konfliktpotential aus beiden Gesetzen ergibt[47]. Einer der zentralen Paragraphen des Gesetzes ist §3a. Hier wird definiert, dass Daten nach Möglichkeit vermieden oder zumindest sparsam erhoben, verwaltet und genutzt werden[48]. Jedoch ist diese Sparsamkeit und Anonymität an Daten, weiträumig auslegbar, denn es findet ein Unternehmen oder auch der Staat aus ihrer Sicht gute Gründe, warum die Daten (auch nicht anonymisiert) erfasst werden müssen, sei es zum Zwecke der öffentlichen Sicherheit oder für andere Dinge. Eine Erhebung und Nutzung ist aber nur zulässig, sofern eine freiwillige Einwilligung des Betroffenen vorliegt oder ein Gesetz dies anordnet[49]. Eine solche Einwilligung könnte aber in Zukunft über den Kaufvertrag automatisch eingeholt werden, wenn dies in den AGB festgelegt ist und man ohne Einwilligung sein Wunschauto nicht bekommt. Das Datengeheimnis muss von Allen gewahrt werden, die mit personenbezogenen Daten in Kontakt kommen. Das heißt Daten anderer Personen dürfen nicht ohne deren Wissen weitergegeben werden[50]. Somit dürfen zum Beispiel die Hersteller nicht untereinander über die Autofahrer kommunizieren. Auch Versicherungsgesellschaften dürfen keine Daten über die Versicherten ohne deren Zustimmung austauschen. Auch sind die Daten unverzüglich zu löschen, sobald der Grund für ihre Erhebung entfällt[51]. Das heißt sofern das Auto nicht mehr funktionstüchtig ist, abgemeldet ist oder wenn der Besitzer wechselt, sind die alten Daten aus den Systemen zu löschen, die sich auf den (vorherigen) Besitzer des Fahrzeuges beziehen, wenn diese nicht mehr gebraucht werden.

Ferner wird im Datenschutzgesetz eine Unterscheidung zwischen Datenerhebungen durch öffentliche Einrichtungen und Datenerhebungen durch Dritte unterschieden. Einrichtungen der Bundesregierung, Länder und andere öffentliche Stellen haben mehr Rechte als gewöhnliche Personen oder Unternehmen, da diese auch eine größere Verantwortung haben. Zum Beispiel sind sie verantwortlich für die öffentliche Sicherheit. Auch die Entwicklung des Landes fällt in ihren Zuständigkeitsbereich. Aus diesem Grund dürfen sie diesbezüglich Daten erheben. Ebenfalls zum Zweck der Gesundheitsvorsorge dürfen persönliche Daten erhoben werden[52]. So kann man zum Beispiel verschiedene Szenarien, die schlussendlich zum gläsernen Autofahrer führen, begründen. Zum Schutz der öffentlichen Sicherheit oder zur Erforschung des Verkehrsverhaltens Einzelner oder Gruppen könnte man vielleicht begründen, den Verkehrsraum fahrzeug- und damit personenbezogen überwachen zu können. Jedoch kann sich der Betroffene informieren, welche Daten über ihn und zu welchem Zweck diese gespeichert werden[53].

Nicht öffentliche Stellen, also Unternehmen und Privatpersonen, sowie öffentliche Stellen, die "als öffentlich rechtliche Unternehmen am Wettbewerb" [54]telinehmen, haben dagegen weniger Rechte im Bezug auf die Erhebung und Nutzung personenbezogener Daten. Zum Beispiel dürfen diese nur personenbezogene Daten erheben, wenn "es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt"[55]. Auch zur Strafverfolgung oder zu Forschungszwecken des Unternehmens dürfen diese gesammelt werden[56]. Dennoch muss der Betroffene informiert werden, es sei denn es handelt sich um gesetzliche Vorgaben zur Speicherung oder die Daten wurden aus allgemein zugänglichen Quellen gesammelt[57].

Ein Beispiel für die gesetzliche Speicherung von Daten aus dem Verkehr ist zum Beispiel die Mauterfassung. Hierfür gibt es ein eigenes Gesetz: Gesetz über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen mit schweren Nutzfahrzeugen. Das ABMG (Autobahnmautgesetz) besitzt eigene Paragraphen, die den Datenschutz betreffen. So berechtigt es die Bundesregierung, ein Unternehmen für die Errichtung der Systeme und den Mauteinzug zu beauftragen. Dieses darf dann Daten wie die Höhe der entrichteten Maut, die Strecke, Ort und Zeit der Maut, sowie besondere Merkmale des Fahrzeuges und das Kennzeichens erfassen[58]. Dies geschieht mittels Überwachungskameras, die natürlich auch alle nicht mautpflichtigen Fahrzeuge erfasst. Diese dürfen allerdings nicht gespeichert oder gar verwendet werden[59]. Ferner muss der Betreiber die Daten "unverzüglich nach Abschluss des Verfahrens"[60], also nach der Bezahlung der Maut, löschen. Die Bundesregierung/ das Bundesamt für Güterverkehr dagegen muss diese erst nach 6 Jahren vollständig löschen[60].

Auch, wie bereits oben erwähnt, die Emissionswerte eines Autos müssen gesetzlich angegeben werden. Dies regelt die Verordnung über Verbraucherinformationen zu Kraftstoffverbrauch und CO2-Emissionen neuer Personenkraftwagen. So haben Hersteller, "die neue Personenkraftwagen ausstellen, [...] haben dabei Angaben über den Kraftstoffverbrauch und die CO2 (Kohlenstoffdioxid)-Emissionen [...] zu machen"[61]. Dies soll dem Käufer helfen, umweltschonende Fahrzeuge schon vor dem Kauf zu erkennen und somit diese bevorzugt zu kaufen, da durch geringeren Spritverbrauch auch der eigene Geldbeutel geschont werden kann. Auch ein Leitfaden muss durch den Hersteller herausgegeben werden, indem die offiziellen CO2-Werte und Kraftstoffverbrauche eines jeden in Deutschland angebotenen Fahrzeuges stehen[62]. Um die eigenen Werte auch außerhalb der offiziellen Tests zu untermauern, könnte ein Hersteller die Emissionswerte protokollieren und bei CO2 sparsamen Fahrzeugen gesondert mit diesen Ergebnissen werben.

7.4 Abwägung der möglichen Gefahren

Bei Ansicht der vorhergehenden Abschnitte zur Unterscheidung der Daten, ihren Gefahrenpotentialen und dem zugrundeliegenden Datenschutz, fällt auf, dass eine Vielzahl möglicher Gefahren drohen. Hier werden wir nun die einzelnen Gefahren bewerten und abwägen, um einerseits die Wahrscheinlichsten und andererseits die Gefährlichsten aufzuzeigen. Zweifellos sind die Gefahren am höchsten, wo Menschen körperlich zu Schaden kommen oder gar sterben. Aber auch materielle und monetäre Schäden sind ein Bewertungskriterium. Hier sind an erster Stelle die Angriffe auf den Verkehr zu nennen, denn hier lassen sich Unfälle künstlich erzeugen, die schnell zu Massenkarambolagen mit mehreren Verletzen oder Toten führen können. Auch die materielle und monetäre Schadenshöhe steigt schnell in 6 oder 7 stellige Bereiche, denn es fallen Kosten der beschädigten Autos, ihrer Bergung, die Behandlungskosten der Verletzten, sowie Arbeitskosten an. Dazu gehören neben den Gehaltszahlungen der Einsatzkräfte auch die Arbeitskosten auch die der Fernfahrer, die durch die Unfälle im Stau stehen. Ferner kann es auch zu Verletzten oder Toten bei Manipulationen des Autos kommen. Hier spielt vor allem die Manipulation durch Werkstätten eine Rolle, die künstliche Defekte im Auto provozieren. Doch wenn man davon ausgeht, dass dies nur ungefährliche Manipulationen sind, wie zum Beispiel ein nicht Starten des Motors, so halten sich die Schäden in Grenzen. Es wird niemand verletzt und der monetäre Aufwand beträgt nur die unnötigen Reparaturkosten für den Halter des Fahrzeuges. Dann gibt es noch das Entführungsszenario. Auch wenn dieses auf Grund gesammelter Daten und regelmäßiger Tagesabläufe des Halter sehr abstrakt und aufwendig ist, ist es dennoch gefährlich und könnte irgendwann eintreten. In diesem Fall entsteht immer ein psychologischer und manchmal auch körperlicher Schaden der betroffenen Person; auch ein monetärer Schaden in Form von Lösegeldzahlungen ist möglich.

Bei den übrigen Gefahren kommen in der Regel Menschen nicht körperlich zu Schaden. Doch die monetären Schäden einzelner Beteiligter können dabei in die Millionenhöhe gehen, so zum Beispiel bei der Industriespionage. Hier kann der Herstellerschaden beträchtliche Summen annehmen. Jedoch gibt es hier Probleme, die Schadenshöhe genau zu beziffern, da keine Geldzahlungen statt finden, sondern die Angaben nur auf Schätzungen basieren können. Dagegen fallen bei der Ermittlung der Unfallverursacher und der unberechtigten Garantieansprüche keine unberechtigten Kosten an, da diese der Verursacher tragen muss. Es lauert bei diesen Szenarien viel mehr die Gefahr des gläsernen Autofahrers. Das Risiko wird von verschiedenen Menschen unterschiedlich eingestuft; während es manchen Menschen egal ist, ob der Staat weiß, was er macht oder wo er sich befindet, finden die Meisten dies alles andere als harmlos. Denn hierdurch findet eine Kontrolle des Staates statt, die sich auch negativ auf das Fahrverhalten auswirken kann. Denn durch eine mögliche Verunsicherung des Autofahrers und zu starke Konzentration auf das unbedingte Einhalten aller Verkehrsregeln kann eine Ablenkung eintreten, die das Fahrverhalten beeinträchtigt.

Doch auch die Wahrscheinlichkeit der verschiedenen Szenarien ist unterschiedlich hoch. Grundsätzlich sind sie erst einmal alle denkbar, obwohl viele noch nicht technisch realisiert werden können. So sind bereits erste Schritte zum gläsernen Autofahrer gemacht, denn über LKW-Mautsysteme und andere Verkehrsüberwachungsgeräte werden bereits zahlreiche Daten gesammelt, auch wenn diese (noch) gesetzlich gelöscht werden müssen. Auch Auswertungen von UDS oder ERD geben bereits erste Aufschlüsse über Unfallhergänge oder ungerechtfertigte Garantieansprüche. Dagegen sind die Szenarien des Angriffes auf den Verkehr, sowie Manipulationen noch nicht wahrscheinlich, da die technische Ausstattung der Fahrzeuge noch nicht ausgereift ist.

Doch bei einigen neuen Technologien können auch deutlich die Vorteile bei bewusstem Einsatz überwiegen. So ist eine Verfolgung der Kriminalität mit Hilfe von Überwachungssystemen oder einer Erfassung durch andere Autos grundsätzlich erst einmal positiv zu sehen, denn dies erleichtert die Polizeiarbeit und schützt die Bevölkerung. Hier sollten jedoch klare Gesetze verfasst werden, wann sowas eingesetzt werden darf (zum Beispiel nur bei schweren Straftaten), ansonsten entsteht hierdurch schnell ein Überwachungsstaat. Auch ERD unterstützen grundsätzlich den Fahrer, indem sie vor Gefahren warnen oder wichtige Kennzahlen des Autos anzeigen, doch auch hier bestehen Gefahren einer unerwünschten Auswertung der Daten.

Um einigen Gefahren aus dem Weg zu gehen oder sie zumindest zu kennen wäre eine Transparenz für den Autofahrer wünschenswert, welche Daten erfasst und wer wie darauf Zugriff hat. Auch eine Abschaltung des Protokollierens durch den Halter wäre sinnvoll, um diese Gefahren für möglichst gering zu halten[38]. Auch der Gesetzgeber steht hierbei in der Pflicht, denn eventuell sind neue oder die Überarbeitung und Erweiterung alter Gesetze notwendig, um den Fahrzeughalter vor solchen Gefahren zu schützen. Natürlich bringt nicht nur die Einführung solcher Gesetze etwas, sondern deren Einhaltung muss dann auch anschließend sichergestellt und Vergehen gegen diese bestraft werden.

8 Schlussbetrachtung

In unserer Schlussbetrachtung werden wir unsere erarbeiteten Ergebnisse einmal kurz zusammenfassen und analysieren, um sie dann abschließend würdigen zu können. Dazu gehört auch ein Fazit unserer Fallstudie.

8.1 Zusammenfassende Analyse

Aufgrund der vorliegenden Fallstudie lässt sich feststellen, dass es zwar schon erste Schritte in die Entwicklung von Connected Cars gibt, aber dennoch zukünftige technische Entwicklungen und Innovationen kaum vorherzusehen sind. Die meisten Hersteller legen viel Wert auf zukünftige Technologien, sodass es eigene Entwicklungsabteilungen hierfür gibt. Ferner gibt es verschiedene Forschungsgruppen in der einige Automobilhersteller involviert sind. Zentrale Aspekte bei Connected Cars werden vermutlich die Kommunikationsmöglichkeiten und eine Erhöhung der Fahrsicherheit. Erste lassen sich aufteilen in C2C und C2I Kommunikation, während beim letzteren die Fahrsicherheit eines jeden Fahrzeuginsassen im Vordergrund steht. Auch eine Protokollierung aller technischen Abläufe des Autos könnte Realität werden. Ein Connected Car kann dabei als eine Art von verteilten Systemen angesehen werden, denn sowohl die Merkmale, Aufgaben und Funktionen, als auch die Risiken ähneln sich sehr stark. So arbeiten die einzelnen Clients (bzw. Connected Cars) eigenständig und unabhängig voneinander, nur die Ergebnisse werden kommuniziert. Eine Differenzierung findet durch Connected Cars insofern statt, dass nicht die Aufrechterhaltung des Systems (wie zum Beispiel beim Internet) im Vordergrund steht, sondern die Kommunikation untereinander. Doch auch die Sicherheit aus IT-Sicht darf nicht vernachlässigt werden, denn es ergeben sich zahlreiche Angriffsmöglichkeiten und -szenarien. Einerseits gibt es Möglichkeiten die Connected Cars durch Programme wie Viren, Würmer oder Trojaner zu schädigen, indem man zum Beispiel die Systeme im Auto lahmlegt. Andererseits kann man auch die Systeme als Hacker angreifen, um zum Beispiel den Verkehr lahmzulegen und Staus oder Unfälle zu provozieren. Auch ein technischer Defekt oder ein Ausfall der Systeme kann verheerende Wirkungen haben. Von daher stellen sich Anforderungen an die Sicherheit, die zwingend beachtet werden müssen: Integrität, Vertraulichkeit und Authentizität gehören dazu. Auch der Datenschutz wird ein wichtiges Thema in der Zukunft bei Connected Cars werden. Denn es können eine Vielzahl von Daten erfasst werden, einmal vorwiegend technische Informationen durch das Auto selber und einmal Informationen über den Fahrzeughalter. Unter anderem kann dies sein Aufenthaltsort oder gefahrene Strecken sein. Dieses Sammeln kann auch von außen über Überwachungskameras stattfinden, sodass der Halter des Fahrzeuges kaum eine Chance hat dies überhaupt wahrzunehmen. Ohne Sicherheitsmaßnahmen können diese Daten von externen Quellen unberechtigterweise abgehört, gesammelt oder sogar manipuliert werden ohne dass der Fahrzeugbesitzer hiervon Kenntnis erlangt. Hierdurch können sowohl körperliche Schäden bishin zum Tod aber auch materielle Schäden in beträchtlicher Höhe entstehen. Das BDSG versucht diesen Angriffsmöglichkeiten entgegenzuwirken, so muss zum Beispiel der Fahrzeughalter über die anfallenden Daten informiert werden und der Speicherung dieser zustimmen, sofern keine anderen Gesetze dies verlangen.

8.2 Abschließende Würdigung

Durch die zusammenfassende Analyse des vorherigen Kapitels lassen sich einige Schlussfolgerungen ziehen. So gibt es Möglichkeiten mit einiger krimineller Energie Schäden für Hersteller, Besitzer oder Dritte anzurichten. Jedoch sind die Angriffsszenarien im Moment nur theoretisch möglich, da die technischen Möglichkeiten in den Autos fehlen. Auch eine kritische Masse an Autos mit entsprechenden Technologien müsste erst einmal auf dem Markt sein, um diese für Angreifer interessant zu gestalten. Jedoch machten amerikanische Forscher die Weltöffentlichkeit auf mögliche kommende Gefahren bezüglich Connected Cars schon einmal aufmerksam, da sie die Kontrolle über ein Auto mit vergleichsweise einfachen Hilfsmitteln von außen übernahmen. Dies zeigt, dass die Angriffsszenarien in Zukunft bittere Realität werden könnten. Ein hoher Preis, wo doch eigentlich in Zukunft durch neue Technologien die Autofahrt sicherer werden soll. Von daher müssen die Autohersteller unüberwindbare Sicherheitstechniken einführen, die es potentiellen Angreifern unmöglich macht ihre Pläne durchzuführen. Auch Industriespionage kann über Connected Cars erreicht werden, da die Autos verschiedene Details über sich, wie zum Beispiel technische Werte, durch die Gegend verschicken. Auch hierfür müssen Schutzmechanismen eingerichtet werden, dies kann zum Beispiel über Verschlüsselungsalgorithmen realisiert werden. Auch drohende Datenmanipulationen durch Dritte wird somit vorgebeugt. Firewalls können auch vor unbekannten und unberechtigen Angreifern von Außen schützen und werden ein wichtiges Schutzinstrument für Connected Cars in der Zukunft sein.

Somit ergibt sich als Fazit unserer Fallstudie, dass Connected Cars viele Vorteile mit sich bringen, die den Autofahrer unterstützen. Auch Hersteller und Werkstätten können durch genauere Protokollierung bessere Fehlerdiagnosen durchführen. Sogar Kriminalitätsverfolgung kann durch neue Technologien optimiert werden. Dennoch lauern auch viele Gefahren in diesem Bereich. Die Angriffsszenarien sind vielfältig und erschreckend. Sie reichen vom finanziellen Schaden für Besitzer oder Hersteller bis hin zu physischen Schäden der Verkehrsteilnehmer oder sogar deren Tod. Deshalb müssen die Hersteller dafür Sorge tragen, dass die Daten nicht missbraucht oder gar manipuliert werden. Auch der Gesetzgeber steht hier in der Pflicht, solche Vergehen entsprechend hart zu ahnden und einen gläsernen Autofahrer gar nicht erst Realität werden zu lassen.

9 Literatur- und Quellenverzeichnis

9.1 Fußnoten

  1. Hoenig und Schnettler (2010)
  2. 2,0 2,1 2,2 2,3 Lübke
  3. Spehr (2008)
  4. Alich (2010)
  5. Grundhoff (2010)
  6. 6,0 6,1 T-Systems
  7. Vgl. Vgl. c't (10/2010) , S. 83, vorletzter Abschnitt
  8. Vgl. Abschnitt 8.1
  9. Vgl. c't (10/2010) , S. 81, Bildunterschrift
  10. Vgl. c't (10/2010) , S. 83, Abschnitt Nachttresor
  11. Alich (2010)
  12. Kao (2005/06) und Verteilte Systeme (2007)
  13. Thißen und Spaniol (2002)
  14. 14,0 14,1 14,2 14,3 14,4 14,5 Irmscher (2010)
  15. 15,0 15,1 15,2 15,3 15,4 Mattern (2000)
  16. Thißen und Spaniol (2002)
  17. Mattern (2000)
  18. 18,0 18,1 Kao (2005/2006)
  19. IT-sicherheit kompakt(2006), S.69
  20. IT-sicherheit kompakt(2006), S.72
  21. IT-sicherheit kompakt(2006), S.76
  22. Diplomarbeit : Konzeption eines Mechanismus zur Umsetzung des Sicherheitsziels Integritätsnachweis gemäß dem C2C-CC für C2C Anwendungen (2007) S.05
  23. heise - Plug and Drive (2007), S.01
  24. vgl. Basiswissen IT-sicherheit (2007) S. 203f
  25. vgl. IT-sicherheit(2008) S.63
  26. vgl. Malware(2008) S. 53-56
  27. Malware(2008) S.68f
  28. 28,0 28,1 vgl.IT-sicherheit(2008) S.68f
  29. Wirtschaftsinformatik: Eine Einführung (2010) S. 1058
  30. Basiswissen IT-sicherheit (2007) S. 22
  31. Wirtschaftsinformatik: Eine Einführung (2010) S. 1027
  32. 32,0 32,1 vgl. Experimental Security Analysis of a Modern Automobile (2010), S.4f
  33. 33,0 33,1 33,2 vgl. heise - Plug and Drive (2007), S.05
  34. vgl. Experimental Security Analysis of a Modern Automobile (2010), S.01,9,10
  35. heise - Plug and Drive (2007), S.05
  36. Kienzle UDS (200) S.7
  37. vgl. Kienzle UDS 2.0 S.2
  38. 38,0 38,1 38,2 38,3 38,4 vgl. Schaar (2006)
  39. 39,0 39,1 vgl. Trusted Computing (2008) S. 174
  40. vgl. Sicherheit (2004) S. 371
  41. vgl. c't (10/2010) S. 81
  42. vgl. c't (10/2010) S. 80f.
  43. vgl. Stiftung Warentest (2005)
  44. S. §1.1 BDSG
  45. §3.1 BDSG
  46. S. §1.2 BDSG
  47. S. §1.3 BDSG
  48. S. §3a BDSG
  49. S. §4 BDSG
  50. S. §5 BDSG
  51. S. §6b.5, §20.2 BDSG
  52. S. §13 BDSG
  53. S. §19 BDSG
  54. §27.1 BDSG
  55. §28.2 BDSG
  56. §28 BDSG
  57. S. §33 BDSG
  58. S. §4.2 ABMG
  59. S. §7 ABMG
  60. 60,0 60,1 §9 ABMG
  61. §1.1 Pkw-EnVKV
  62. S. Anlage 3 Pkw-EnVKV

9.2 Quellenverzeichnis

9.2.1 Bücher und Fachzeitschriften

Basiswissen IT-sicherheit (2007) Werner Poguntke: Basiswissen IT-sicherheit: Das Wichtigste für den Schutz von Systemen & Daten, 1. Auflage, W3L, ISBN: 978-3937137650
c't (10/2010) Clemens Gleich: Daten unter der Haube, c't - Magazin für Computertechnik, Heft 10/2010, Heise Zeitschriften Verlag
IT-sicherheit(2008) Claudia Eckert: IT-sicherheit: Konzepte- Verfahren- Protokolle, 5. Auflagen, Oldenbourg Wissenschaftsverlag, ISBN: 978-3486582703
IT-sicherheit kompakt(2006) Bernhard C Witt: IT-sicherheit kompakt und verständlich: Eine praxisorientierte Einführung, 1. Auflage, Vieweg+Teubner, ISBN: 978-3834801401
Malware(2008) Eugene Kaspersky : Malware: Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt, 1. Auflage, Hanser Fachbuch, ISBN: 978-3446415003
Sicherheit (2004) Robert Bosch GmbH (Hrsg.): Sicherheits- und Komfortsysteme, 3. Auflage, Vieweg & Sohn Verlag, Wiesbaden 2004, ISBN 3-528-13875-0
Trusted Computing (2008) Norbert Pohlmann, Helmut Reimer (Hrsg.): Trusted Computing, 1. Auflage , Vieweg & Sohn Verlag, Wiesbaden 2008, ISBN 978-3-8348-0309-2
Verteilte Systeme (2007) Andrew S. Tanenbaum, Maarten van Steen: Verteilte Systeme, 2. aktualisierte Auflage, Pearson Studium, ISBN 978-3-8273-7293-2
Wirtschaftsinformatik: Eine Einführung (2010) Kenneth C. Laudon, Jane P. Laudon,Detlef Schoder : Wirtschaftsinformatik: Eine Einführung , 2. aktualisierte Auflage, Pearson Studium, ISBN 978-3827373489

9.2.2 Herstellerinformationen

Kienzle UDS (2000) Kienzle UDS Montageanleitung, 11/2000 http://www.mobatime.ch/fileadmin/user_upload/PDF/Extranet/Fahrzeuggeraete/UDS/UDS-Einbauanleitung.pdf (13.05.2010, 13:23)
Kienzle UDS 2.0 Kienzle UDS 2.0 o. J., http://www.kienzle-argo.de/fileadmin/pdf/produkte/flottenmanagement/UDS2.0_d.pdf (13.05.2010, 13:35)

9.2.3 Internetquellen

Alich (2010) Mobilfunker bringen Autos zum Surfen, 26.01.2010: http://www.handelsblatt.com/technologie/it-internet/multimedia-mobilfunker-bringen-autos-zum-surfen;2518886 (30.05.2010 10:30)
golem.de Autos und Computer Wissenschaftler hacken Autosysteme , http://www.golem.de/1005/75167.html (17.05.2010 20:18)
Grebe Konzeption eines Mechanismus zur Umsetzung des Sicherheitsziels Integritätsnachweis gemäß dem C2C-CC für C2C Anwendungen, http://www.ci-d.de/Downloads/Diplomarbeit_-_C2C_Integritaetsnachweis.pdf (20.05.2010 18:18)
Grundhoff (2010) Autos schlauer als Fahrer, 01.12.2008: http://www.focus.de/auto/ratgeber/sicherheit/assistenzsysteme/car-to-car-kommunikation-autos-schlauer-als-fahrer_aid_345880.html (23.05.2010 16:45)
heise Plug and Drive , http://www.heise.de/autos/artikel/Plug-and-Drive-792874.html (16.05.2010 18:34)
Hoenig und Schnettler (2010) Das vernetzte Breitband-Auto, 03.03.2010: http://www.heise.de/newsticker/meldung/Das-vernetzte-Breitband-Auto-945712.html (31.05.2010 15:21)
Irmscher (2010) Scriptum zur Lehrveranstaltung, Verteilte Systeme, 01.02.2010: http://www.informatik.uni-leipzig.de/~irmscher/lehre/skripte/VerteilteSystemeScriptum.pdf (31.05.2010 15:09)
Kao (2005/2006) Skript Verteilte Systeme, Wintersemester 2005/06: http://www2.cs.uni-paderborn.de/cs/ag-kao/de/teaching/ws05/vs1/script/vs05_kap1_4seiten.pdf (29.05.2010 11:55)
Lübke Volkswagen AG, Wolfsburg, Deutschland : http://www.network-on-wheels.de/downloads/VDE2004_Luebke_Paper.pdf (31.05.2010 15:25)
Mattern (2000) Verteilte Systeme, Sommersemester 2000,Departement Informatik

ETH Zürich: http://www.vs.inf.ethz.ch/edu/SS2000/DS/VertSys2000_1.pdf (31.05.2010 15:41)

Pree (2007) Softwareentwicklung für verteilte Systeme im Automobil: http://www.softwareresearch.net/fileadmin/src/docs/teaching/SS07/VS/SW_Entwicklung_fuer_verteilte_Systeme_im_Automobil.pdf (31.05.2010 15:39)
Schaar (2006) Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Peter Schaar bei einem ADAC-Fachgespräch am 28. September 2006 in München über "Gläserner Autofahrer unter Generalverdacht? Das Recht auf datenfreie Fahrt": http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/RedenUndInterviews/2006/GlaesernerAutofahrerUnterGeneralverdacht.html?nn=409802 (13.05.2010, 12:00)
Schroeder-Preikschat Verteilte Systeme: http://www4.informatik.uni-erlangen.de/Lehre/SS04/V_VS/Skript/03vs-A5.pdf (15.05.2010, 12:37)
Spehr (2008) Das Auto im unsichtbaren Netz der Sicherheit: http://www.faz.net/s/Rub58F0CED852D8491CB25EDD10B71DB86F/Doc~E516C44DC8CA8498F85F85600B26594C2~ATpl~Ecommon~Scontent.html (24.05.2010 17:01)
Stiftung Warentest (2005) Tachomanipulation: Rückwärts ins Gefängnis, 29.04.2005: http://www.test.de/themen/auto-verkehr/meldung/Tachomanipulation-Rueckwaerts-ins-Gefaengnis-1258819-2258819/ (14.05.2010 16:45)
Thißen und Spaniol (2002) Verteilte Systeme, http://www.nets.rwth-aachen.de/content/teaching/lectures/sub/vs/vsSS02/01_Einfuehrung.pdf(31.05.2010 15:12)
T-Systems Unsichtbar verbunden, http://www.t-systems.de/tsi/de/15296/Startseite/Loesungen/Branchen/Uebersicht-Automotive/Innovationen/SeamlessConnectedCar (16.05.2010 18:01)

9.3 Rechtsquellenverzeichnis

BDSG Bundesdatenschutzgesetz: Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geändert worden ist
ABMG Gesetz über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen mit schweren Nutzfahrzeugen (Autobahnmautgesetz für schwere Nutzfahrzeuge): Autobahnmautgesetz für schwere Nutzfahrzeuge in der Fassung der Bekanntmachung vom 2. Dezember 2004 (BGBl. I S. 3122), das zuletzt durch Artikel 6 des Gesetzes vom 29. Mai 2009 (BGBl. I S. 1170) geändert worden ist
Pkw-EnVKV Verordnung über Verbraucherinformationen zu Kraftstoffverbrauch und CO2-Emissionen neuer Personenkraftwagen (Pkw-Energieverbrauchskennzeichnungsverordnung): Pkw-Energieverbrauchskennzeichnungsverordnung vom 28. Mai 2004 (BGBl. I S. 1037), die durch Artikel 400 der Verordnung vom 31. Oktober 2006 (BGBl. I S. 2407) geändert worden ist
Von „http://winfwiki.wi-fom.de/index.php/Gefahrenanalyse_Connected_Cars
Persönliche Werkzeuge