Freie Fahrt? Mit dem Auto auf die Datenautobahn

Christian Raum,
Megamos Crypto

Jedes Auto bekommt eine IP-Adresse, es erkennt die Stimme seines Fahrers und dessen Fingerabdrücke und es ist ständig mit einem Rechenzentrum verbunden. Mit den Funktionen wachsen auch die Risiken für die Besitzer. Ein Gespräch mit Ramsés Gallego, designierter Vice President bei ISACA.

In den nächsten sechs oder acht Jahren werden immer mehr Dinge mit dem Internet verbunden sein – Autos, Kühlschränke, Autobahnen, Krankenakten. Das “Internet der Dinge” wird eine Welt sein, die immer online ist.

Für Autofahrer ist das zunächst eine beruhigende Vorstellung. So werden sie sich darauf verlassen können, dass sie Hilfe erhalten – wenn sie einen Unfall haben oder wenn der Motor versagt. Polizei oder Rettungskräfte können das Auto problemlos finden und dem Fahrer zu Hilfe kommen.

“Der Autofahrer braucht die Technologie, die ihm diese Hilfe garantiert. Aus dieser Perspektive gesehen ist die Vernetzung der Autos großartig”, sagt Ramsés Gallego, Vice President ISACA und Autor des Whitepapers “Geolocation: Risk, Issues and Strategies”.

“Ein Fahrer muss dem Autohersteller genauso sehr vertrauen können, wie seiner Bank”, fordert Ramsés Gallego, designiertes Mitglied im Board of Directors bei der ISACA.

Doch werden diese Netze noch das Internet sein, das wir heute kennen? Facebook, Google oder auch Apple versuchen ihre Angebote vom Internet abzugrenzen und selber ein weltweites – separates – Netz zu betreiben. Das könnte ein Vorbild werden für Autohersteller, die ihre Fahrzeuge und Kunden innerhalb eines eingegrenzten Netzes weltweit verbinden, gibt Gallego zu bedenken.

“ISACA verfolgt diese Entwicklung des ‚Internet der Dinge‘ aus der Perspektive des Risiko Managements”, erklärt Gallego. “Damit wir die Technologien und ihre Möglichkeiten richtig bewerten können, brauchen wir eine Risiko-Nutzen-Bilanz.”

Risiken des “Internet der Dinge”

Bereits heute “wisse” das Auto, wer der Fahrer am Steuer ist. Etwa weil er zum Öffnen der Türen die Fingerabdrücke abgibt oder das Auto seine Augen scannt. Dieses “Wissen” behalte das Auto keineswegs für sich, sondern schicke es in die angeschlossenen Rechenzentren weiter. Hier sammeln und klassifizieren unter anderem die Geolocation Systeme jede Information über den Fahrer die das Auto im Sekundentakt schickt.

“Und jetzt fangen die Problem und die Nachfragen an – was passiert beispielsweise, wenn der Fahrer nicht will, dass der Serviceprovider weiß, wo er sich aufhält und wohin er unterwegs ist? Vielleicht weil er einen Kunden besucht und nicht möchte, dass jemand davon weiß?”

Dieser Serviceprovider könne ein Autohersteller sein, ein Telekommunikationsanbieter oder der Betreiber eines Cloud-Rechenzentrums.

“Die Informationen laufen über deren Netze und deren Dienste. Und die Geolocation Systeme finden in Echtzeit heraus, wo der Fahrer ist und wo er vorher war”, ist Gallego überzeugt. “Aber die Programme können noch mehr – auf Grund von Statistiken und gespeicherten Daten können sie vorhersagen, wohin er als nächstes fahren wird und welchen Weg er nimmt.”

Auf diese Weise archiviere Geolocation nicht nur die Vergangenheit sondern auch die mögliche Zukunft eines Menschen. “Wenn wir über ‚Vertraulichkeit‘ reden, sehe ich an dieser Stelle ein erhebliches Risiko”, unterstreicht Gallego.

Die Lösung könne sein, dass es eine gegenseitige Vereinbarung gibt – darüber welche Informationen mein Provider sammeln wird. Ob er nur technische Informationen speichert – über den Motor, die Bremsen, die Tankfüllung – oder ob die Daten in einem anderen Kontext stehen. Und darüber wann und wie er die Daten wieder löschen wird.

Neue Vereinbarungen über Nutzung von Daten

“Nehmen Sie an, dass das Auto zur Flotte des Arbeitgebers gehört. Dann muss der Fahrer verstehen, dass seine Spuren montags bis freitags ununterbrochen aufgezeichnet werden. Aber der Arbeitgeber muss akzeptieren, dass der Mitarbeiter am Samstag oder am Sonntag frei hat und mit dem Auto ins Strandbad, zum Fußballspiel oder zum Treffen mit seiner Freundin fährt. Das geht niemanden etwas an.”

In den Verträgen müsse es also Richtlinien geben, die besagen: die Technologie ist da, um zu helfen und wir helfen dem Fahrer mit diesen Informationen – und zwar innerhalb eines bestimmten Zeitrahmens und mit definierten Zielen.

Die Autofahrer sollten sich informieren und dann die “richtigen Fragen zur richtigen Zeit stellen”, so Gallego.

“Wir haben in den vergangenen Jahren gelernt, dass jedes einzelne System auf der Welt gehackt werden kann. Es ist nur eine Frage der Zeit und des Aufwands. Also was wird passieren, wenn ein Krimineller sich mit einem Auto verbindet und in die Bremse tritt – hier geht es um Leben oder Tod”, sagt Gallego.

“Sobald ein Fahrzeug mit dem Internet verbunden ist, hat es seine IP-Adresse. Eine IP-Adresse macht das Auto erreichbar und die Frage ist, was passiert und wer verantwortlich ist, falls ein Auto gehackt wird.”

“Ein Fahrer muss dem Autohersteller genauso sehr vertrauen können, wie seiner Bank”, fordert Gallego. “Dies ist ein ganz neuer Blickwinkel, der mit dem Internet der Dinge eng verbunden ist.”

Ramsés Gallego ist designiertes Mitglied im Board of Directors bei der ISACA, einer Nonprofit-Organisation mit rund 95.000 Mitgliedern in 160 Ländern und dem Fokus auf IT-Sicherheit, Risiko Management und Compliance. Gallego arbeitet als Security Strategist & Evangelist für Quest Software und ist Autor des ISACA Whitepapers “Geolocation Risks and Governance Issues”.