Speicher Besuch(e) in Mlada Boleslav: Alle Videos

Zitat von Fitz

Neues Community-Video von Speicher online mit sehr guter Analyse zum Thema "Datenleck".

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Alle externen Inhalte anzeigen

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

Naja, naja. Mal meine Ansicht zu dem Thema Datenleck (Sorry, nicht ansatzweise so reißerisch dargeboten):

* Ja es ist blöd und DSGVO inkompatibel solche Daten ungeschützt in einem öffentlich erreichbaren S3 Bucket abzulegen. Da hat dann "Security by obscurity" nicht funktioniert. Nach meinem Wissen hat der CCC aber nichts davon berichtet das die Daten dort regelmässig aktualisiert wurden. Da liegt dann die Vermutung nahe das da wohl ein Mitarbeiter einen blöden Fehler gemacht hat und vermutlich inzwischen seinen Job los sein dürfte - Spätestens wenn es ans Strafezahlen geht.

* Ja, ich habe die Meldung mit "Online Modus" auch gehabt und davor war ich nur als Gastnutzer angemeldet. Parallel dazu wurde auch mein Nutzer in der App abgemeldet. Auch ja: Ich denke da gab es einen Zusammenhang. Da ich aber an das gute in der VWAG IT glaube, würde ich erwarten das bei der Gelegenheit die im Hintergrund verwendeten IDs und Authentifizierungstoken ausgetauscht wurden um keine Querbezüge zwischen den veröffentlichten Daten und irgendwelchen neuen Sachen herstellen zu können. Vielleicht hat jemand in seiner Heimautomatisierung die Verbindung zum Auto nicht gekappt wie ich und kann das mal evaluieren. Vor 4-5 Jahren (Damals noch mit einer alten App und anderen Protokollen) standen die User-IDs in den Logfiles, vielleicht sieht dort jemand ob sich da was geändert hat zwischen Anfang Dezember und Mitte Januar oder so.

* Zumindest ich habe irgendwann mal zugestimmt das das Navi meine Routen lernen darf um sich selbstständig zu optimieren und an mich anzupassen. Für genau diesen Fall müssen irgendwo Geopositionen und User zusammengebracht werden. Eine Anonymisierung der Userdaten würde zwar immer noch eine Verbesserung der Routen ermöglichen, aber keine Verbesserungen persönlich auf mich bezogen. Selbst die Speicherung der letzten X Ziele inkl. Anzeige von zwei Favoriten benötigt die Kombination aus User-ID und Zielposition. Wie lange man für solche Lernzwecke speichern muss und ob das ausserhalb vom Auto passiert - Das werden dann wohl irgendwelche DSGVO Gelehrten festlegen.

Zitat von Enyaq-Neuling

Döp döp döp dödödöööpdöööpdöööp....

Zitat von Weichenwaechter

Bist Du krank

Zitat von vt1816

Ja es ist blöd und DSGVO inkompatibel solche Daten ungeschützt in einem öffentlich erreichbaren S3 Bucket abzulegen. Da hat dann "Security by obscurity" nicht funktioniert. Nach meinem Wissen hat der CCC aber nichts davon berichtet das die Daten dort regelmässig aktualisiert wurden. Da liegt dann die Vermutung nahe das da wohl ein Mitarbeiter einen blöden Fehler gemacht hat und vermutlich inzwischen seinen Job los sein dürfte - Spätestens wenn es ans Strafezahlen geht.

Ich arbeite ja selber in einem großen Konzern. Da ist klar geregelt, welche MA Zugriff auf welche Daten haben. Diese Daten liegen in der Cloud in Tools mit entsprechenden Zugriffsberechtigungen. Je mehr Zugriffsmöglichkeiten jemand hat, desto besser ist der geschult. Auch werden die Berechtigungen sehr restriktiv gehalten und unter bestimmten Konstellationen von der Geschäftsführung freigegeben. Downloads von Daten können nur sehr wenige Personen machen und die Systeme geben Alarm, wenn ungewöhnliche Aktionen stattfinden und auch wenn bestimmte Security Maßnahmen im täglichen Geschäft nicht beachtet werden und Schulungen nicht durchgeführt werden.

Also mal eben so den MA zu entlassen, weil er einen blöden Fehler gemacht hat, ist sehr kurz gesprungen. Wenn das für einen MA egal in welcher Position mal eben so möglich war, ohne dass Systeme das gemerkt haben und jemand Alarm schlug und es Gespräche gab, dann ist das unprofessionell, fahrlässig und sowas von amateurhaft.

Das wäre Bastelnudenniveau bei einem deutsche DAX Konzern und ganz tief unterhalb des Anspruchs, den ich als Kunde an ein solches Unternehmen hätte. Es reicht mir nicht, wenn nur die Rechtsabteilung professionell aufgestellt ist.

Zitat von GiMichael

Auch werden die Berechtigungen sehr restriktiv gehalten und unter bestimmten Konstellationen von der Geschäftsführung freigegeben

Längst nicht überall! Dazu müssen auch die Prozesse funktionieren. Was auch nicht immer und überall der Fall ist.

Zitat von GiMichael

Da ist klar geregelt, welche MA Zugriff auf welche Daten haben. Diese Daten liegen in der Cloud in Tools mit entsprechenden Zugriffsberechtigungen.

Das wäre wünschenswert, aber siehe oben.

Zitat von GiMichael

Downloads von Daten können nur sehr wenige Personen machen und die Systeme geben Alarm, wenn ungewöhnliche Aktionen stattfinden und auch wenn bestimmte Security Maßnahmen im täglichen Geschäft nicht beachtet werden und Schulungen nicht durchgeführt werden.

Für solche Tools geben viele Führungsebenen ungerne Geld aus. Was sich am Ende rächen kann.

Zitat von GiMichael

Das wäre Bastelnudenniveau bei einem deutsche DAX Konzern und ganz tief unterhalb des Anspruchs, den ich als Kunde an ein solches Unternehmen hätte. Es reicht mir nicht, wenn nur die Rechtsabteilung professionell aufgestellt ist.

Würde man sich mal alle börsennotierten Firmen anschauen, dann wäre man überrascht wie viele fatale Fehler und fahrlässige Prozesse da zu finden sind.

Selbst wenn man sich auf solche spezialisierten Tools verlässt ist man nicht sicher, wie man am Beispiel von Microsoft Azure sehen konnte. Da kann man schon viele solcher Sicherheitstools konfigurieren, aber wenn jemand einen Generalschlüssel hat ist das alles sinnlos.

Der Papst hatte vor kurzem mal das Wort ,, Hirnfäule ,, bei vielen Internetnutzern benutzt ! Man kann seinen Wortschatz immer wieder erweitern !

NicT mir ist schon klar das, dass es oft nicht so ist. Gerade deswegen wollte ich nur darauf hinweisen, dass es nicht damit getan ist, zu sagen, da hat ein Mitarbeiter einfach nur einen Fehler gemacht. Mit dessen Entlassung ist kein Problem gelöst.

Außer natürlich man mein damit einen Mitarbeiter auf höhere Führungsebene, der es versäumt hat die richtigen Prozesse und Maßnahmen einzuführen und diese auch zu schulen, von außen zu testen und Alarme zu proben.

Security ist wie Feuerwehr. Da gibt es Ausbildung, Schulungen, es werden auch mal übungsweise Brände gelöscht und geübt wie man das Gebäude räumt.

Zitat von GiMichael

Security ist wie Feuerwehr. Da gibt es Ausbildung, Schulungen, es werden auch mal übungsweise Brände gelöscht und geübt wie man das Gebäude räumt.

Dann ist es wahrscheinlich auch so, dass kein Einsatz so abläuft wie man es mal geübt hat. Um in Einsätzen richtig gut zu sein hilft nur eins: Einsatzpraxis.

Zitat von Hannes1971

Dann ist es wahrscheinlich auch so, dass kein Einsatz so abläuft wie man es mal geübt hat. Um in Einsätzen richtig gut zu sein hilft nur eins: Einsatzpraxis.

Bei der Cyber wird man doch auch permanent angegriffen. Aber jeden Einsatzfall kann man natürlich nicht real testen. Macht man bei einem bezüglich Brand im Chemiepark ja auch nicht „wir jagen jetzt mal xyz hoch und schauen, was die Werksfeuerwehr und die Feuerwehren in der Umgebung an Heiligabend 18:00 so drauf haben“ 😂

Zitat von GiMichael

Ich arbeite ja selber in einem großen Konzern. Da ist klar geregelt, welche MA Zugriff auf welche Daten haben. Diese Daten liegen in der Cloud in Tools mit entsprechenden Zugriffsberechtigungen. Je mehr Zugriffsmöglichkeiten jemand hat, desto besser ist der geschult. Auch werden die Berechtigungen sehr restriktiv gehalten und unter bestimmten Konstellationen von der Geschäftsführung freigegeben. Downloads von Daten können nur sehr wenige Personen machen und die Systeme geben Alarm, wenn ungewöhnliche Aktionen stattfinden und auch wenn bestimmte Security Maßnahmen im täglichen Geschäft nicht beachtet werden und Schulungen nicht durchgeführt werden.

Ja, spätestens mit UN-ECE ist ja ein Cybersecurity Management System vorgeschrieben. Also wird natürlich alles überwacht, alle Inkonsistenzen und unnormalen Ereignisse gemonitort, alles mehrfach vor Manipulation geschützt, alle kritischen Pfade dokumentiert. Ähm naja, in der Theorie halt.

Wir sind hier nach so ziemlich allen möglichen Normen und Richtlinien der meisten Autohersteller in Europa zertifiziert. Es ist schon absolut spannend wie unterschiedlich da manche Anforderungen sind. Ich weiss auch ehrlich nicht was schlimmer ist: Die laschen Richtlinien von Hersteller "A" die man zu 100% erfüllt und sinnvoll arbeiten kann, oder die praktisch nicht umsetzbaren Anforderungen von "B" die die entsprechenden Abteilungen dieses Unternehmens immer wieder zu Workarounds zwingen um überhaupt (und erst Recht mit Dienstleistern) arbeiten zu können. Gefühlt ist "A" sicherer...

T-Systems hatte mal die glorreiche Idee, Laptops gegen Standorte zu dongeln um zu verhindern das "Fremde" ins Netz kommen. Das Ergebnis war, das alle Mitarbeiter aus anderen Standorten sich die wenigen freigeschaltenen Netzdosen teilen mussten, ein Wirrwarr aus Switchen, WLAN Router... entstand. Natürlich offiziell streng verboten. Nur traut sich kaum ein kleiner Admin oder Abteilungsleiter auf solche Sachen einzuwirken wenn ihm der teure Berater auf der Gegenseite erklärt das er ja gern mal den Auftraggeber (AKA mindestens Standortleitung oder Höher) informieren könne, das er am arbeiten gehindert werde. Wird in jeder Sicherheitsschulung gezeigt, wie man zu reagieren hat. Aber jeder Admin der dafür zweimal beim großen Chef angetanzt ist um einen Rüffel zu kassieren, lässt es beim dritten mal zu.

Insofern bin ich mir nicht sicher ob es sinnvoll ist, das die Geschäftsführung Berechtigungen verteilen sollte. Zumindest kenne ich keine (inkl. meinem Vater als Chef hier) der das alles überblicken kann und Zeit dafür hat.

Zitat von GiMichael

Also mal eben so den MA zu entlassen, weil er einen blöden Fehler gemacht hat, ist sehr kurz gesprungen. Wenn das für einen MA egal in welcher Position mal eben so möglich war, ohne dass Systeme das gemerkt haben und jemand Alarm schlug und es Gespräche gab, dann ist das unprofessionell, fahrlässig und sowas von amateurhaft.

Das wäre Bastelnudenniveau bei einem deutsche DAX Konzern und ganz tief unterhalb des Anspruchs, den ich als Kunde an ein solches Unternehmen hätte. Es reicht mir nicht, wenn nur die Rechtsabteilung professionell aufgestellt ist.

Prinzip Schuldigen suchen halt. Ich weiß auch nicht ob jemand wirklich so perfekt ist, das er so über andere Urteilen kann. Aber so läuft es doch erstmal als Beruhigungsmaßnahme in den meisten Firmen.

Ich habe den CCC Vortrag und alle Unterlagen mir auch nicht im Detail angesehen. Aber wenn ich das richtig in Erinnerung habe, waren da von Struktur und Ablage her wohl mehrere "Datentöpfe" zusammengepackt. Wenn dem so ist, hätten bei Datentöpfe-1 Exporten die DSGVO Prüfungen nicht angeschlagen weil kein Bezug zu einem Nutzer vorhanden.

Aus meiner Studienzeit und Arbeit bei dem großen Autohersteller: An solche Daten kommt man vorbei an allen perfekten Sicherungssystemen sehr einfach durch eine Bratwurstidee. Wenn dem Werksleiter eingefallen wurde dass er eine wesentlich bessere Linienauslastung hinbekommt wenn er Daten A (Verantwortung Q), Daten B (Verantwortung IE), Daten C (Verantwortung P), Daten D (Verantwortung Vertrieb) und E (Personal) zu einem Dashboard verknüpft dann kommt der Montag frohgelaunt zur Praktikantin und gibt der den Auftrag sowas zu bauen. Die läuft nun los und bekommt die Daten von IE und P problemlos weil sie dort regelmässig ist und die Leute kennt. D lässt sich überreden weil so nett gefragt wurde und man ja immer dem Nachwuchs helfen will. E liegt gerade mit der Werkleitung in Diskussionen über mehr Budget und hilft da im Gegenzug für eine positive Erwähnung natürlich gern weiter. Nur A ist penetrant und nervig. Zum Glück ist aber der Altgediente Qualitätschef im Urlaub und die Vertretung will noch Karriere machen und wenn im zweiten Anlauf die nervige blöde Studentin ein Schreiben vom Werkleiter dabei hat will man ja nicht negativ auffallen...

Alle Daten wurden also innerhalb der Prozesse freigegeben, es wurde dokumentiert welcher Stand wohin gegeben wurde, auch wohin und welche Datenklassifizierung die Daten haben. Damit sind die Zugriffe eingeschränkt, anhand der Klassifizierung automatische Löschrichtlinien aktiv. Bedeutet u.a. das ich die Daten vom Personalwesen nicht auf das dienstliche IPad überspielen oder auch nur anzeigen konnte.

Also alles gut? Mitnichten, mit den unterschiedlichen Informationen hätte ich plötzlich die gesamte Werkstruktur ermitteln können, durch diverse Verknüpfungen sogar Gehaltsklassen ermitteln, durch temporäre Umparametrierungen der IE in Verbindung mit den P Planungen und den Q Ist Werten Statistiken über Krankheitswerte in den Produktionsteams erstellen...

Sowas fängt dir so schnell kein System ab. Die entsprechenden Zugriffssysteme werden gewusst haben, das ich bestimmte Daten in meinem entsprechend gesichertem Confluence Bereich habe. Was sich mit meinem Prozess- und Datenwissen aus diesen Daten ermitteln lässt und damit die Erkenntnis das diese Teilmengen an Daten gefährlich sind, damit tun sich selbst KI Systeme schwer. ... und selbst wenn dort eine rote Lampe angegangen wäre, mit dem "Raus aus dem Gefängnissschein" vom Werkleiter wäre die Lampe ausgeschalten worden.

tl;dr:

Vertrauen in Systeme, Richtlinien und die Einhaltung durch alle Beteiligten ist ein gutes Ruhekissen aber ganz sicher keine Garantie für Datensicherheit.

Zitat von vt1816

Ich habe den CCC Vortrag und alle Unterlagen mir auch nicht im Detail angesehen. Aber wenn ich das richtig in Erinnerung habe, waren da von Struktur und Ablage her wohl mehrere "Datentöpfe" zusammengepackt. Wenn dem so ist, hätten bei Datentöpfe-1 Exporten die DSGVO Prüfungen nicht angeschlagen weil kein Bezug zu einem Nutzer vorhanden

Nicht ganz. Siehe Netzpolitik Podcast mit Linus Neumann:
https://logbuch-netzpolitik.de…-des-letzten-jahrhunderts
Der CCC hat zwei Hauptkritikpunkte:

1. Warum wurden überhaupt die Daten personenbezogen (also dem Fahrzeug zugeordnet) erhoben, und warum in diesem Detailgrad (bei VW auf 10m genau, bei Skoda immerhin nur 10km genau)?
2. Warum wurde die "heapdump" debug-Funktion nicht abgeschaltet? Mit dieser wurden die Daten letztlich aus dem S3 bucket herausgetragen.

Das zweite ist dann ein klassischer Programmierfehler, das erste ist ein Designfehler, der nur erklärt, aber nicht entschuldigt werden kann. Vermutung des CCC war, dass die (ohne Einwilligung der Nutzer) erhobenen Daten der Verbesserung des Batteriemanagements dienen könnten.

Absolut daneben ist dann aber der Erklärungsversuch von VW, das seien ja gar keine datenschutzrechtlich relevanten personenbezogenen Daten, da ja nur die VIN , der Standort (GPS-Position) und Zeitstempel geleakt seien.

Da zeigt der Vortrag beim 38C3 aber sehr schön, dass halt doch gewisse sensible Rückschlüsse aus diesen Daten erfolgen können