Sicherheitslücken bei Carsharing Apps erweitern Angriffsmöglichkeiten auf Smartphones. Bild: CC0

Sicherheitslücken bei Carsharing Apps erweitern Angriffsmöglichkeiten

Dass nicht nur Autos selbst, sondern auch Carsharing Apps für die Nutzung von Fahrzeugdiensten gehackt werden können, zeigten unlängst die Forschungsergebnisse der IT-Sicherheitsfirma Kaspersky Lab. Die Experten schlagen Alarm, denn sie haben insgesamt 13 namhafte Carsharing Apps eingängig getestet. Heraus kam, dass alle davon massive Sicherheitslücken aufweisen.

Kaspersky Lab gibt die Namen der Apps nicht bekannt, nichtsdestominder handelt es sich bei den geprüften Apps um die beliebtesten in Europa und zwar diejenigen, die mehr als eine Million Downloads bei Google Play aufweisen.

Breite Streuung von Sicherheitslücken

Die Sicherheitslücken sind breit gefächert. Aus der Überprüfung durch Kaspersky Lab ergaben sich verschiedene Arten der Sicherheitsproblematik.

Die geprüften Apps wiesen keinen Schutz vor Man-in-the-Middle-Angriffen auf. Hierbei wiegt sich ein Nutzer im Vertrauen auf eine sichere Webseite zuzugreifen, wird aber stattdessen auf die Webseite eines Angreifers umgeleitet. Dieser kann vom Nutzer persönliche Daten problemlos abgreifen, wie beispielsweise Login Details oder eine PIN.

Des Weiteren wurde kein Schutz bei Reverse Engineering von Anwendungen festgestellt. Angreifern ermöglicht dies, die Funktionsweise der App nachzuvollziehen. Dadurch können Schwachstellen identifiziert werden, um die Infrastruktur von Servern weiter anzugreifen.

Administrator-Rechte für Angreifer – unattraktives Szenario

Eine weitere Sicherheitslücke ergibt sich über das Fehlen eines Erkennungsverfahrens für Rooting. Root-Rechte ermöglichen den Zugriff auf das komplette Betriebssystem des Handys – eine Administrator-Rolle mit Vollzugriff. Fehlt hier ein Erkennungsverfahren, können Angreifer das Betriebssystem des mobilen Gerätes komplett manipulieren und nach ihren Wünschen entsprechend konfigurieren – ohne, dass dies dem Nutzer direkt auffallen muss.

Nicht zuletzt haben die geprüften Apps keinen Schutz vor sogenannten App-Overlay-Techniken. Dies ermöglicht schadhaften Apps beispielsweise Phishing Fenster über die App zu legen und so Login-Informationen von Nutzern vergleichsweise problemlos abzufangen. Als letzte signifikante Sicherheitslücke nennt Kaspersky Lab die Problematik, dass nicht einmal fünfzig Prozent der untersuchten Apps starke Passwörter verlangen. Somit können Angreifer ein einfaches Brute-Force-Szenario ausnutzen, um sich Zugang zu wichtigen Daten zu verschaffen.

Eigene Sicherheit im Fokus – wie können wir uns trotzdem schützen?

Die Sicherheitslücken sind nun bekannt. Aber wie sollen die Nutzer damit umgehen? Heißt es nun, dass wir die Apps von jetzt an gar nicht mehr benutzen sollten?

Zunächst sei angemerkt, dass bisher noch keine Angriffe auf Carsharing Dienste entdeckt wurden. Dass dies nicht immer so bleiben muss, ist sicher, denn Cyber-Angreifer wissen oft sehr zeitnah welchen Wert Angriffe auf Apps haben können. App-Hersteller sind daher aufgefordert, die Schwachstellen besser heute als morgen zu beseitigen. Bis dies umgesetzt wird, kann ungeachtet dessen auch jeder Einzelne etwas für seine Sicherheit tun.

Die Prüfer der Apps raten zu einfachen Sicherheitstipps: eigene Smartphones sollten niemals gerootet werden (diese Funktion ist standardmäßig bei allen Android Geräten deaktiviert), das jeweilige Betriebssystem sollte stets auf dem neuesten Stand gehalten werden und idealerweise sollte die Verwendung von Antiviren-Programmen auch auf mobilen Endgeräten der Standard sein.

 

Laden beim Discounter - Aldi investiert in Schnellladesäulen. Foto: Aldi Süd

Discounter investieren in Schnellladesäulen – Wer gestaltet die Zukunft der Elektromobilität?

Seit langem gibt es die Warnung, die Investition in die Elektromobilität nicht komplett zu verschlafen. Der Appell ist vor allem an die Automobilindustrie, den Energiesektor und die öffentliche Hand gerichtet. Jetzt kommt ein Vorstoß von einer anderen Richtung. Der Deutsche Discounter Aldi Süd investiert nun in Schnellladesäulen und Ladeinfrastruktur. Doch wie ist es einzuschätzen, dass bereits Lebensmittelhändler im Mobilitätsmarkt mitmischen? Liegt gar die Zukunft darin, dass branchenfremde Unternehmen da anpacken, wo andere gerade schlafen? Wir haben das Vorgehen des Discounters zusammengefasst.

Eine Batterieladung vom Discounter

Die Lebensmitteldiscounter Aldi und Lidl zählen zu den reichsten Konzernen Deutschlands. Sie gestalten ganze Regionen und investieren Millionen in regionale Infrastruktur, Hochschulen und Bildungseinrichtungen. Nicht ganz uneigennützig. Die schnell wachsende Logistik braucht eine immer teurere Infrastruktur, die Städte und Gemeinden so schnell nicht bauen können. Auch qualifizierter Nachwuchs muss erst einmal ausgebildet werden. Doch warum nun Ladeinfrastruktur? Welche Motivation steckt dahinter?

Fehlende Ladesäulen Hauptgrund für Zurückhaltung beim Kauf

Die Reichweite von Elektroautos kommt noch immer nicht an das heran, was bereits vor Jahren versprochen wurde. Gleichzeitig ist die Ladeinfrastruktur in Deutschland noch nicht hinreichend ausgebaut, wie wir bereits berichtet haben. Die Deutschen bleiben daher auch weiterhin zurückhaltend beim Kauf von reinen Elektroautos. 2017 wurden nur knapp über 25.000 E-Autos in Deutschland zugelassen.

Aldi Süd eröffnet erste von 28 geplanten Schnellladesäulen

Zusammen mit dem Technologiepartner Innogy eröffnete Aldi Süd Anfang August die erste von 28 geplanten 50-kW-Schnellladesäulen vor einer Filiale. Ziel sei es, Hauptverkehrsrouten abzudecken und so zu ermöglichen auch lange Strecken zu fahren. An den Säulen können alle gängigen Elektrofahrzeuge aufgeladen werden. Während der Öffnungszeiten kann der Dienst umsonst und ohne Registrierung genutzt werden.

Politik lobt das Vorgehen

Zur Eröffnung der Säule kam auch Mathias Samson, Staatssekretär im hessischen Wirtschaftsministerium. Seine Einschätzung äußerte er zusammenfassend: „Elektromobilität ist alltagstauglich und bietet viele Vorteile. Ich bin überzeugt, dass mehr Fahrer umsteigen würden, wenn es ein dichteres Ladenetz gäbe. Die Initiative von Aldi Süd bringt uns ein Stück weiter auf unserem Weg zu einem klimafreundlichen Verkehrssystem“. Was das Land Hessen im Zusammenhang mit der Infrastruktur plant, darüber ließ er nichts verlauten. Aber dass die Discounter nun ein Thema angehen, das eigentlich in den Ministerien höchste Priorität haben sollte, scheint hingenommen zu werden.

Lidl investiert in Carsharing

Während Aldi Süd Schnellladesäulen installiert und für Kunden zugänglich macht, startet Lidl eine Kooperation mit Mazda. Bis Ende August 2018 will Mazda zusammen mit dem Mobilitätsdienstleister Choice 850 Carsharing-Fahrzeuge auf die Straße bringen. 150 dieser Fahrzeuge sollen ab September auf 50 ausgewählten Lidl-Parkplätzen in Nordrhein-Westfalen stationiert werden.

Discounter haben zunehmend Einfluss

Lidl und Aldi sind die führenden Lebensmittel-Discounter in Deutschland. Die Schwarz Group, zu der Lidl gehört, setzte im Jahr 2017 laut Statista rund 24,3 Milliarden Euro brutto um. Hohe Umsätze und entsprechende Gewinne ermöglichen den Konzernen Investitionen auch über die Branche hinaus.

as Notrufsystem eCall ist seit März 2018 Pflicht in allen Neuwagen in Europa. eCall ist ein fahrzeuginterner Assistent, der Unfälle mit Standortangabe schnellstmöglich an lokale Rettungskräfte weiterleiten soll.

Der gläserne Autofahrer – heute schon Realität?

Das Notrufsystem eCall ist seit März 2018 Pflicht in allen Neuwagen in Europa. eCall ist ein fahrzeuginterner Assistent, der Unfälle mit Standortangabe schnellstmöglich an lokale Rettungskräfte weiterleiten soll. Ziel ist, die Sicherheit im Straßenverkehr deutlich zu erhöhen und die Zeit bis zum Eintreffen von Rettungskräften am Unfallort zu verkürzen. Durch eine automatische Auslösung des Notrufs können bei schweren Unfällen hoffentlich mehr Menschenleben gerettet werden. Das klingt zunächst höchst attraktiv.   

 

Das eCall System ist datenschutzrechtlich geprüft und soweit – theoretisch – in Ordnung. Allerdings machen Automobilhersteller bis dato das Ausmaß an Datensammlung über die eCall Funktion nicht publik. Es ist daher fraglich was genau mit den generierten Daten geschieht, sofern sie erst einmal erfasst sind.

Schnittstelle zum Internet problematisch

 

Für die Datenerfassung zur Ermöglichung eines eCalls ist es bereits heute in allen in Europa zugelassenen Neufahrzeugen Pflicht, ein zusätzliches Steuergerät, eine Antenne, ein GPS Empfänger sowie ein GSM-Modul ab Werk zu verbauen. Diese Grundausstattung rüstet ein Fahrzeug nicht nur für die Ermöglichung des eCalls aus, vielmehr bietet sie die Grundlage für Zusatzdienstleistungen im Fahrzeug. Und genau diese Zusatzdienste geben Grund zur Sorge um die eigenen Daten.

Zusatzleistungen bergen Risiko des Datenmissbrauchs

 

Für die Übermittlung der Daten an den Notfalleinsatz ist eine Schnittstelle zum Internet nötig. Über diese Schnittstelle können auch andere Daten über Fahrzeug, Fahrverhalten und weitere signifikante Daten wie Fahrstrecke, bevorzugte Standorte oder etwa ob Sicherheitsgurte angelegt sind an Fahrzeughersteller übermittelt werden. Die Daten des einzelnen Fahrers können dadurch hoch kommerzialisiert werden, was datenschutzrechtlich durchaus kritisch zu betrachten ist. Insbesondere Versicherungsunternehmen oder Vertragswerkstätten können von den Daten profitieren, die auf Basis der gesammelten Daten Verträge deutlich individualisierter anbieten können (beispielsweise “Pay-as-you-drive”-Verträge).

 

Offene Schnittstelle als Stellhebel für Selbstbestimmung?

 

Allerdings hat der Fahrer des Autos dabei keinerlei Kontrolle mehr, was genau mit seinen persönlichen Daten passiert und wer davon profitiert. Aktuell ist noch unklar ob eine manuelle Deaktivierung der Datenaufzeichnung in absehbarer Zeit umsetzbar sein wird. Die Funktionalitäten sind tief im Bordsystem verbaut und können, zumindest derzeit, nicht einfach ausgeschaltet werden. Daher wird an unterschiedlichen Stellen diskutiert, eine offene Schnittstelle ins Fahrzeug einzubauen, damit die Endnutzer selbst bestimmen können, mit wem und vor allem wann sie ihre Daten teilen. Dies wäre ein wichtiger Schritt weg vom gläsernen Autofahrer hin zu persönlicher Selbstbestimmung. Andernfalls sind Endnutzer an die Angebote des Automobilherstellers gebunden, die dieser mit im System verbaut hat. So wäre beispielsweise denkbar, dass nach einem Unfall nur Abschlepper vom Hersteller zur Verfügung ständen oder Fahrer gezielt für Reparaturen in Vertragswerkstätten gelotst werden. Eine derartiges Daten Monopol würde sog. Drittanbieter deutlich benachteiligen oder sogar ausschließen und Automobilherstellern eine Übermacht an Verkaufsrecht geben.

 

Sicheres Fahren messbar machen

Der magility Partner DEKRA arbeitet aktuell an einem Safety-Index. Auf Basis von generierten Daten aus Fahrzeugen, welche Telematik unterstützte Technik verbaut haben, soll gemeinsam mit dem Startup Pace Telematics ein Standard entwickelt werden, der sicheres Autofahren messbar machen soll. Wer sich bereit erklärt seine Daten zur Verfügung zu stellen kann mit einem Vorteil rechnen. Dorthin sollte der aktuelle Trend bei der Datensammlung und -verwertung gehen.

 

 

 

 

 

 

 

 

 

Daimler stellt Entwicklern Connected Vehicle API zur Verfügung. Bild: Screenshot Mercedes

Daimler veröffentlicht Connected-Vehicle-API für digitale Services und Apps

Geschäfte rund um das Connected Car basieren auf unzähligen Daten, die permanent erhoben werden. Daraus entstehen nützliche Apps, die den Komfort und die Sicherheit des Fahrers erhöhen. Doch wer entwickelt eigentlich diese Apps für vernetzte Fahrzeuge? Um Innovationen anzutreiben, braucht es eine große Zahl von Entwicklern, UX-Experten und Designern, die Anwendungen und Services bauen. Kürzlich hat Daimler die neue Connected-Vehicle Application Programming Interface, kurz API,  zum Abruf von Fahrzeugdaten vorgestellt. Was es mit dieser Programmierschnittstelle auf sich hat und warum sie für das vernetzte Fahren so wichtig ist, erklären wir in unserem Artikel.

Daimler veröffentlicht API

Eine API (Application Programming Interface) ist frei ins Deutsche übersetzt eine Programmierschnittstelle. Durch diese Schnittstelle wird ein Tool für andere externe Programme bereitgestellt, durch welches sich die Programme an das bestehende Softwaresystem anbinden können. Durch APIs können also Daten und Inhalte ausgetauscht und weiterverarbeitet werden und ermöglichen Dritten den Zugang zu zuvor verschlossenen Benutzerkreisen oder Datenpools. Mit der Daimler-API, die sich noch im Entwicklungsstadium befindet, erhalten Entwickler Zugriff auf wichtige Telematikdaten, Statusinformationen und Fahrzeugfunktionen von virtuellen Mercedes-Benz Fahrzeugen. Software Developer werden dazu eingeladen, mit individuellen Statusdaten, vom Kilometerstand bis zum Status der Türen, zu experimentieren und erhalten dadurch eine Vielzahl von neuen Möglichkeiten. Wenn Daimler die Connected-Vehicle-API veröffentlicht, können auch Drittanbieter Apps entwickeln, die mit dem Daimler Betriebssystem kompatibel sind.

Entwickler arbeiten mit authentischer Simulation

Anwendungsentwickler haben dank der Schnittstelle die Möglichkeit, auch ohne ein echtes Fahrzeug ein Gefühl für die vernetzten Fahrzeuge zu bekommen. Durch die Simulation eines Fahrzeugzustands ist es möglich, die User Experience jeder einzelnen Anwendung zu testen, was sowohl für den Entwickler als auch für den Automobilhersteller einen entscheidenden Vorteil darstellt. Im Wesentlichen macht der Simulator den Prozess der Entwicklung einer App für ein vernetztes Fahrzeug deutlich effizienter sowie zugänglicher und sorgt dadurch auch für eine wesentlich geringere Fehlerquote. Des Weiteren ermöglicht die Connected-Vehicle API es Drittanbietern, Apps zu entwickeln, die mit dem Daimler-Betriebssystem kompatibel sind.

High Mobility Plattform

Derzeit kann die API mit einem Simulator von High Mobility, einer Entwickler-Plattform für vernetzte Fahrzeuge, getestet werden. Daimler und andere OEM wie Porsche haben sich High Mobility schon angeschlossen. Gemeinsam mit den OEM arbeitet die Plattform an der Vision, eine standardisierte und leistungsstarke Automobil-API für Developer zur Verfügung zu stellen.

Zum Hintergrund

Doch warum veröffentlicht Daimler eine API und gewährt uneingeschränkt Zugriff auf interessante Fahrzeugdaten? Letztlich geht der Konzern davon aus, bessere Dienstleistungen und Fahrerlebnisse zu kreieren. Doch um den Kunden ein attraktives digitales Produkt zur Verfügung stellen zu können, ist sehr viel Entwicklungsarbeit nötig. Digitale Trends entwickeln sich in einer rasanten Geschwindigkeit weiter. Selbst wenn ein Unternehmen über einen großen Bereich mit Developern und Experten verfügt, können nicht immer alle aktuellen Trends und Entwicklungen abgedeckt werden.

Attraktivität durch viele Services

Für ein Unternehmen wie Daimler macht es also durchaus Sinn, eine API zur Verfügung zu stellen und so Agenturen und Drittanbieter zu animieren, Apps und Services zu programmieren. Dadurch machen sie das eigene System umfänglicher und attraktiver. Das System von Daimler wird besonders ansprechend, wenn dem Kunden eine hohe Anzahl an Wahlmöglichkeiten spezifischer Apps zur Verfügung gestellt wird. Deshalb legt das Unternehmen über die API Daten offen, auch wenn es sich zunächst um eine Entwicklerdokumentation handelt. Am Ende steht, je nach Geschäftsmodell, meist eine Win-Win-Situation.

Sicherheitsrisiko API

APIs zur Verfügung zu stellen hat einen offensichtlichen Nutzen und fast alle Unternehmen, die sich erfolgreich in der digitalen Welt bewegen, haben die Schnittstellen veröffentlicht. Gleichzeitig bieten sie aber auch große Angriffsflächen für Cyber Angriffe. Unsichere APIs sind laut der Cloud Security Alliance eine der größten Gefahren des Cloud Computing.

 

Bei Fragen zu digitalen Geschäftsmodellen und Cyber Security Themen wenden sie sich gerne an unsere Experten von magility.