Archiv der Kategorie: IT Sicherheit

Kompendium der Kryptologie

Als deutlich erweiterter Nachfolger des Buches „Verschlüsselung, Signaturen, Angriffsverfahren“, das Mitte des Monats ausläuft, kommt nun das „Kompendium der Kryptologie“ auf den Markt, und zwar diesmal als Print-Version und als sauber formatierttes eBook.

Ich habe bei der Gelegenheit den Verlag gewechselt. Es ist derzeit nur bei amazon erhältlich, dafür konnte ich den Preis allerdings halbieren. Ich meine, das war es für den Leser und auch für mich – amazon erlaubt wesentlich einfachere Updates und Korrekturen – wert.

Automobile als sicherheitstechnische Zeitbomben

Offener Brief an Verkehrsminister Dobrindt:

Sehr geehrter Herr Minister Dobrindt,

im letzten Bremer Tatort wurde einiges an Zukunftsmusik bezüglich der Entwicklung Künstlicher Intelligenz gespielt, die dort gezeigten Manipulationen an Fahrzeugen sind aber bereits heute bittere Realität, wie mehrere trotz der bekanntermaßen recht erfolgreichen Verschleierungen der Automobilindustrie an die Öffentlichkeit gekommene Vorfälle zeigen. Leider wird man mit Warnungen bislang nicht ernst genommen – vielleicht ändert sich das ja durch solche drastischen medialen Vorführungen.

Automobile entwickeln sich immer mehr zu vernetzten fahrbaren Hochleistungscomputern. In 20 Jahren Professur für IT-Sicherheit musste ich allerdings feststellen: die Anstrengungen bezüglich der IT-Sicherheit sind mehr als erbärmlich. Drastisches Beispiel ist die vom ADAC aufgedeckte völlig unverschlüsselte Verriegelung bei BMW, noch drastischer aus Sicht der IT-Sicherheit die Art und Weise, wie BMW das Problem behoben hat. Ein weiteres drastisches Beispiel ist die weiter steigende Anzahl an KFZ-Diebstählen – sinnvolle elektronische Maßnahmen dürften den gegenteiligen Erfolg haben. Wenn der autonome Verkehr kommt, ist es beim gegenwärtigen Trend nur eine Frage der Zeit, bis ein Terrorist den PKWs Vollbremsung und den LKWs Vollgas befiehlt und der Kölner Ring aussieht wie Aleppo.

Die Automobilindustrie wird freiwillig wie immer nichts tun, zumal sie sich bei Unfällen auch bequem verstecken kann: wird beispielsweise ein Fahrzeug gestohlen, tritt der Halter die Regulierung an die Versicherung ab und ist damit aus dem Rechtsgeschehen ausgeschieden, die Versicherung wiederum wälzt alles auf die Kunden ab und legt sich nicht mit den Konzernen an. Ich halte dies insbesondere in Bezug auf die weitere technische Entwicklung für eine rechtliche Lücke, über die man intensiv nachdenken sollte. Die Konzernhaftung muss deutlich direkter werden.

Aber auch an technischen Vorgaben insbesondere des Gesetzgebers lassen sich andere Weichen stellen:

Die Sicherheitsarchitekturen der Fahrzeugsteuerungen sind offen zu legen, Befehle über den Bus zu authentifizieren. Dieser Teil der IT-Infrastruktur der Fahrzeuge dürfte wenig bis nichts an internem Firmen-Know-How enthalten, vor dessen Offenlegung die Konzerne Wettbewerbsnachteile befürchten müssten. Mit Hochschulen und BSI stehen hierzu auch Fachleute für Entwicklung und Kontrolle zur Verfügung. Personalengpässe dürften hier kein Argument gegen eine solche Entwicklung sein.

Das Fahrzeugcomputer darf nicht länger eine Black-Box sein, in dem die Konzerne teilweise selbst ohne Kenntnis der Fachwerkstätten nach Belieben herumpfuschen können. Der Halter muss die gleiche Kontrolle über die Fahrzeugsteuerung erhalten wie über seinen Home-Computer. Konkret: sicherheitstechnisch relevante Konfigurationseinstellungen und Installation weiterer Geräte dürfen nur menügeführt und mit persönlicher Freigabe des Halters durchgeführt werden. Das darf aus Sicherheitsgründen zwar nur in einer Fachwerkstatt durchgeführt werden, aber mit einem fachkundigen Meister ein Bildschirmmenü durchgehen und Einstellungen beispielsweise durch eine PIN-gesicherte Chipkarte freigeben sollte ja wohl im eigenen Interesse des Halters sein.

Diese abgesehen von den angesprochenen Rechtsproblemen klaren technischen Vorgaben sollten für den Gesetzgeber wenig Aufwand darstellen. Mit der Vorgabe, diese technischen Anforderungen umzusetzen, sind erst einmal die Konzerne in der Bringschuld; die Beurteilung dessen, ob das, was sie vorlegen, reicht, sollte man der Entwicklung überlassen. Übergenaue Festschreibungen im Vorfeld sind technischen Entwicklungen eher hinderlich. Mit der Bindung an die Zulassung autonomen Verkehrs steht auch genau jetzt der passende Hebel zur Verfügung, die Konzerne zum Handeln zu zwingen.

Darüber hinaus – und das Argument halte ich ebenfalls für wichtig – erwächst aus solchen Entwicklungen auch eine neue Chance für die heimische Automobilindustrie: Automotive-IT-High-Security könnte unter geschickter Nutzung der deutschen Ressourcen die eine oder andere Panne weltweit wieder vergessen lassen

Mit freundlichen Grüßen,

Gilbert Brands

Kopie: ADAC, Kommissar für Verkehr der EU