Matthias Speicher: Besuche in Mlada Boleslav, YT-Videos, Kommentare, LinkedIn Beiträge

NicT mir ist schon klar das, dass es oft nicht so ist. Gerade deswegen wollte ich nur darauf hinweisen, dass es nicht damit getan ist, zu sagen, da hat ein Mitarbeiter einfach nur einen Fehler gemacht. Mit dessen Entlassung ist kein Problem gelöst.

Außer natürlich man mein damit einen Mitarbeiter auf höhere Führungsebene, der es versäumt hat die richtigen Prozesse und Maßnahmen einzuführen und diese auch zu schulen, von außen zu testen und Alarme zu proben.

Security ist wie Feuerwehr. Da gibt es Ausbildung, Schulungen, es werden auch mal übungsweise Brände gelöscht und geübt wie man das Gebäude räumt.

Zitat von GiMichael

Security ist wie Feuerwehr. Da gibt es Ausbildung, Schulungen, es werden auch mal übungsweise Brände gelöscht und geübt wie man das Gebäude räumt.

Dann ist es wahrscheinlich auch so, dass kein Einsatz so abläuft wie man es mal geübt hat. Um in Einsätzen richtig gut zu sein hilft nur eins: Einsatzpraxis.

Zitat von Hannes1971

Dann ist es wahrscheinlich auch so, dass kein Einsatz so abläuft wie man es mal geübt hat. Um in Einsätzen richtig gut zu sein hilft nur eins: Einsatzpraxis.

Bei der Cyber wird man doch auch permanent angegriffen. Aber jeden Einsatzfall kann man natürlich nicht real testen. Macht man bei einem bezüglich Brand im Chemiepark ja auch nicht „wir jagen jetzt mal xyz hoch und schauen, was die Werksfeuerwehr und die Feuerwehren in der Umgebung an Heiligabend 18:00 so drauf haben“ 😂

Zitat von GiMichael

Ich arbeite ja selber in einem großen Konzern. Da ist klar geregelt, welche MA Zugriff auf welche Daten haben. Diese Daten liegen in der Cloud in Tools mit entsprechenden Zugriffsberechtigungen. Je mehr Zugriffsmöglichkeiten jemand hat, desto besser ist der geschult. Auch werden die Berechtigungen sehr restriktiv gehalten und unter bestimmten Konstellationen von der Geschäftsführung freigegeben. Downloads von Daten können nur sehr wenige Personen machen und die Systeme geben Alarm, wenn ungewöhnliche Aktionen stattfinden und auch wenn bestimmte Security Maßnahmen im täglichen Geschäft nicht beachtet werden und Schulungen nicht durchgeführt werden.

Ja, spätestens mit UN-ECE ist ja ein Cybersecurity Management System vorgeschrieben. Also wird natürlich alles überwacht, alle Inkonsistenzen und unnormalen Ereignisse gemonitort, alles mehrfach vor Manipulation geschützt, alle kritischen Pfade dokumentiert. Ähm naja, in der Theorie halt.

Wir sind hier nach so ziemlich allen möglichen Normen und Richtlinien der meisten Autohersteller in Europa zertifiziert. Es ist schon absolut spannend wie unterschiedlich da manche Anforderungen sind. Ich weiss auch ehrlich nicht was schlimmer ist: Die laschen Richtlinien von Hersteller "A" die man zu 100% erfüllt und sinnvoll arbeiten kann, oder die praktisch nicht umsetzbaren Anforderungen von "B" die die entsprechenden Abteilungen dieses Unternehmens immer wieder zu Workarounds zwingen um überhaupt (und erst Recht mit Dienstleistern) arbeiten zu können. Gefühlt ist "A" sicherer...

T-Systems hatte mal die glorreiche Idee, Laptops gegen Standorte zu dongeln um zu verhindern das "Fremde" ins Netz kommen. Das Ergebnis war, das alle Mitarbeiter aus anderen Standorten sich die wenigen freigeschaltenen Netzdosen teilen mussten, ein Wirrwarr aus Switchen, WLAN Router... entstand. Natürlich offiziell streng verboten. Nur traut sich kaum ein kleiner Admin oder Abteilungsleiter auf solche Sachen einzuwirken wenn ihm der teure Berater auf der Gegenseite erklärt das er ja gern mal den Auftraggeber (AKA mindestens Standortleitung oder Höher) informieren könne, das er am arbeiten gehindert werde. Wird in jeder Sicherheitsschulung gezeigt, wie man zu reagieren hat. Aber jeder Admin der dafür zweimal beim großen Chef angetanzt ist um einen Rüffel zu kassieren, lässt es beim dritten mal zu.

Insofern bin ich mir nicht sicher ob es sinnvoll ist, das die Geschäftsführung Berechtigungen verteilen sollte. Zumindest kenne ich keine (inkl. meinem Vater als Chef hier) der das alles überblicken kann und Zeit dafür hat.

Zitat von GiMichael

Also mal eben so den MA zu entlassen, weil er einen blöden Fehler gemacht hat, ist sehr kurz gesprungen. Wenn das für einen MA egal in welcher Position mal eben so möglich war, ohne dass Systeme das gemerkt haben und jemand Alarm schlug und es Gespräche gab, dann ist das unprofessionell, fahrlässig und sowas von amateurhaft.

Das wäre Bastelnudenniveau bei einem deutsche DAX Konzern und ganz tief unterhalb des Anspruchs, den ich als Kunde an ein solches Unternehmen hätte. Es reicht mir nicht, wenn nur die Rechtsabteilung professionell aufgestellt ist.

Prinzip Schuldigen suchen halt. Ich weiß auch nicht ob jemand wirklich so perfekt ist, das er so über andere Urteilen kann. Aber so läuft es doch erstmal als Beruhigungsmaßnahme in den meisten Firmen.

Ich habe den CCC Vortrag und alle Unterlagen mir auch nicht im Detail angesehen. Aber wenn ich das richtig in Erinnerung habe, waren da von Struktur und Ablage her wohl mehrere "Datentöpfe" zusammengepackt. Wenn dem so ist, hätten bei Datentöpfe-1 Exporten die DSGVO Prüfungen nicht angeschlagen weil kein Bezug zu einem Nutzer vorhanden.

Aus meiner Studienzeit und Arbeit bei dem großen Autohersteller: An solche Daten kommt man vorbei an allen perfekten Sicherungssystemen sehr einfach durch eine Bratwurstidee. Wenn dem Werksleiter eingefallen wurde dass er eine wesentlich bessere Linienauslastung hinbekommt wenn er Daten A (Verantwortung Q), Daten B (Verantwortung IE), Daten C (Verantwortung P), Daten D (Verantwortung Vertrieb) und E (Personal) zu einem Dashboard verknüpft dann kommt der Montag frohgelaunt zur Praktikantin und gibt der den Auftrag sowas zu bauen. Die läuft nun los und bekommt die Daten von IE und P problemlos weil sie dort regelmässig ist und die Leute kennt. D lässt sich überreden weil so nett gefragt wurde und man ja immer dem Nachwuchs helfen will. E liegt gerade mit der Werkleitung in Diskussionen über mehr Budget und hilft da im Gegenzug für eine positive Erwähnung natürlich gern weiter. Nur A ist penetrant und nervig. Zum Glück ist aber der Altgediente Qualitätschef im Urlaub und die Vertretung will noch Karriere machen und wenn im zweiten Anlauf die nervige blöde Studentin ein Schreiben vom Werkleiter dabei hat will man ja nicht negativ auffallen...

Alle Daten wurden also innerhalb der Prozesse freigegeben, es wurde dokumentiert welcher Stand wohin gegeben wurde, auch wohin und welche Datenklassifizierung die Daten haben. Damit sind die Zugriffe eingeschränkt, anhand der Klassifizierung automatische Löschrichtlinien aktiv. Bedeutet u.a. das ich die Daten vom Personalwesen nicht auf das dienstliche IPad überspielen oder auch nur anzeigen konnte.

Also alles gut? Mitnichten, mit den unterschiedlichen Informationen hätte ich plötzlich die gesamte Werkstruktur ermitteln können, durch diverse Verknüpfungen sogar Gehaltsklassen ermitteln, durch temporäre Umparametrierungen der IE in Verbindung mit den P Planungen und den Q Ist Werten Statistiken über Krankheitswerte in den Produktionsteams erstellen...

Sowas fängt dir so schnell kein System ab. Die entsprechenden Zugriffssysteme werden gewusst haben, das ich bestimmte Daten in meinem entsprechend gesichertem Confluence Bereich habe. Was sich mit meinem Prozess- und Datenwissen aus diesen Daten ermitteln lässt und damit die Erkenntnis das diese Teilmengen an Daten gefährlich sind, damit tun sich selbst KI Systeme schwer. ... und selbst wenn dort eine rote Lampe angegangen wäre, mit dem "Raus aus dem Gefängnissschein" vom Werkleiter wäre die Lampe ausgeschalten worden.

tl;dr:

Vertrauen in Systeme, Richtlinien und die Einhaltung durch alle Beteiligten ist ein gutes Ruhekissen aber ganz sicher keine Garantie für Datensicherheit.

Zitat von vt1816

Ich habe den CCC Vortrag und alle Unterlagen mir auch nicht im Detail angesehen. Aber wenn ich das richtig in Erinnerung habe, waren da von Struktur und Ablage her wohl mehrere "Datentöpfe" zusammengepackt. Wenn dem so ist, hätten bei Datentöpfe-1 Exporten die DSGVO Prüfungen nicht angeschlagen weil kein Bezug zu einem Nutzer vorhanden

Nicht ganz. Siehe Netzpolitik Podcast mit Linus Neumann:
https://logbuch-netzpolitik.de…-des-letzten-jahrhunderts
Der CCC hat zwei Hauptkritikpunkte:

1. Warum wurden überhaupt die Daten personenbezogen (also dem Fahrzeug zugeordnet) erhoben, und warum in diesem Detailgrad (bei VW auf 10cm genau, bei Skoda immerhin nur 10km genau)?
2. Warum wurde die "heapdump" debug-Funktion nicht abgeschaltet? Mit dieser wurden die Daten letztlich aus dem S3 bucket herausgetragen.

Das zweite ist dann ein klassischer Programmierfehler, das erste ist ein Designfehler, der nur erklärt, aber nicht entschuldigt werden kann. Vermutung des CCC war, dass die (ohne Einwilligung der Nutzer) erhobenen Daten der Verbesserung des Batteriemanagements dienen könnten.

Absolut daneben ist dann aber der Erklärungsversuch von VW, das seien ja gar keine datenschutzrechtlich relevanten personenbezogenen Daten, da ja nur die VIN , der Standort (GPS-Position) und Zeitstempel geleakt seien.

Da zeigt der Vortrag beim 38C3 aber sehr schön, dass halt doch gewisse sensible Rückschlüsse aus diesen Daten erfolgen können

Außerdem wurden wohl weiter S3 bitbuckets mit den Zugangsdaten aus dem heapdump geöffnet, die bei entsprechender Kombination dann doch Verknüpfungen zu personenbezogenen Daten (username, email, etc.) und dem entsprechenden Fahrzeug erlaubten.

Zitat von vt1816

T-Systems hatte mal die glorreiche Idee, Laptops gegen Standorte zu dongeln um zu verhindern das "Fremde" ins Netz kommen. Das Ergebnis war, das alle Mitarbeiter aus anderen Standorten sich die wenigen freigeschaltenen Netzdosen teilen mussten, ein Wirrwarr aus Switchen, WLAN Router... entstand. Natürlich offiziell streng verboten. Nur traut sich kaum ein kleiner Admin oder Abteilungsleiter auf solche Sachen einzuwirken wenn ihm der teure Berater auf der Gegenseite erklärt das er ja gern mal den Auftraggeber (AKA mindestens Standortleitung oder Höher) informieren könne, das er am arbeiten gehindert werde. Wird in jeder Sicherheitsschulung gezeigt, wie man zu reagieren hat. Aber jeder Admin der dafür zweimal beim großen Chef angetanzt ist um einen Rüffel zu kassieren, lässt es beim dritten mal zu.

Insofern bin ich mir nicht sicher ob es sinnvoll ist, das die Geschäftsführung Berechtigungen verteilen sollte. Zumindest kenne ich keine (inkl. meinem Vater als Chef hier) der das alles überblicken kann und Zeit dafür hat.

Tja, Änderungen (Einschränkungen) der IT-Möglichkeiten der Mitarbeiter funktioniert nicht per Order-de-Mufti. Das ist ein Projekt mit einer Umsetzung, Feedbacks und laufender Anpassungen während der Umsetzung, bis es so eingeschränkt ist, dass das Unternehmen sicher ist und die MA trotzdem noch arbeiten können.

Zitat von vt1816

Aus meiner Studienzeit und Arbeit bei dem großen Autohersteller: An solche Daten kommt man vorbei an allen perfekten Sicherungssystemen sehr einfach durch eine Bratwurstidee. Wenn dem Werksleiter eingefallen wurde dass er eine wesentlich bessere Linienauslastung hinbekommt wenn er Daten A (Verantwortung Q), Daten B (Verantwortung IE), Daten C (Verantwortung P), Daten D (Verantwortung Vertrieb) und E (Personal) zu einem Dashboard verknüpft dann kommt der Montag frohgelaunt zur Praktikantin und gibt der den Auftrag sowas zu bauen. Die läuft nun los und bekommt die Daten von IE und P problemlos weil sie dort regelmässig ist und die Leute kennt. D lässt sich überreden weil so nett gefragt wurde und man ja immer dem Nachwuchs helfen will. E liegt gerade mit der Werkleitung in Diskussionen über mehr Budget und hilft da im Gegenzug für eine positive Erwähnung natürlich gern weiter. Nur A ist penetrant und nervig. Zum Glück ist aber der Altgediente Qualitätschef im Urlaub und die Vertretung will noch Karriere machen und wenn im zweiten Anlauf die nervige blöde Studentin ein Schreiben vom Werkleiter dabei hat will man ja nicht negativ auffallen...

Alle Daten wurden also innerhalb der Prozesse freigegeben, .....

Auch hier - tja, da braucht es ein vernünftiges RedFlag Management außerhalb der Organisation angebunden an den Vorstand, in der jeder MA Vorgänge melden kann, die dann untersucht werden. Die MA müssen geschult sein, Vorfälle zu erkennen und im Zweifel zu melden, ohne Rechenschaft abliefern zu müssen. Dann kann so ein RedFlag-Management auch den Werksleiter befragen. Das bietet natürlich keine hundertprozentige Sicherheit. aber verbessert sie.

Ich kenne das durchaus auch. Eine sehr fordernde erfolgreiche Person A der globalen Organisation (z.B. aus den vereinigten Emiraten), die unbedingt lokale Kundendaten brauchte und den Sinn der DSGVO gar nicht einsah. Eine andere junge Person B die sich ihrer Zielerreichung gefährdet sah, wenn sie die Daten nicht herunterlädt und weitergibt. Und ich, den B dann um Rat fragte und B sich trotzdem nicht traute das zu melden. Wurde doch gemeldet und 1,5 Wochen später war der Spuk vorbei.

Ansonsten, ja vor 5 Jahren hat man bei uns auch noch ganz anders gearbeitet. So ein Mentalitätsumbau im Unternehmen dauert lange vor allen, wenn es dann auch noch eine globale Umsetzungen weltweit in allen Herren Länder ist. Bei uns ist DE nur ein kleiner Teil. Außerdem sehe ich diese Dinge auch nur als außenstehender Mitarbeiter und bin da keineswegs inhaltlich im Detail involviert. Anfangs dachte ich, lasst mich zufrieden mit dem Cybersec-Krams, ich will hier doch nur arbeiten. Finde ich mittlerweile allerdings gut, wie das umgesetzt wird.

Aber wir driften hier ziemlich ins OT ab

herrnik :

Zu 1.) Siehe z.B. oben von mir: Ich habe mal zugestimmt das Skoda Sachen an mich persönlich anpassen kann wie z.B. Navirouten. Dazu braucht man Start- und Endpunkt und eine persönliche Zuordnung. Nützt ja nichts das meine persönliche Vorlieben für Kreisverkehre auf meinen Nachbarn gemappt werden. Insofern ist die Frage ob die Daten wirklich "ohne Einwilligung der Nutzer" erhoben wurden. Die Frage die dann aber entsteht: Wieso reicht dafür eine Genauigkeit von 10km...

Da sehe ich dann auch den Designfehler nicht den du siehst. Generelles Batteriemanagement verbessern - Ja, da braucht es keinen Nutzerbezug bin ich ja beim CCC.

Zu 2.) Dazu kennen wir wohl alle die Anwendung, deren Status, die Struktur der Verantwortlichkeiten ... zu wenig. Mal sehen ob ich den Link noch finde der beschrieben hat das sich die Daten so in der Struktur unterschieden haben das von unterschiedlichen Ursprungstöpfen ausgegangen wurde.

Ob der "Erklärungsversuch" so daneben ist - Wir werden sehen. Fakt ist dazu: Seitdem es die DSGVO gibt streiten sich Rechtsabteilungen ganzer Unternehmen ob die VIN als Personendatum gilt das generell zu schützen ist, in bestimmten Anwendungsfällen oder eben gar nicht. Wir haben von unterschiedlichen Herstellern unterschiedliche Anforderungen wie die VIN im Rahmen der DSGVO zu betrachten ist - Macht sich super als Dienstleister. Wenn doch die DSGVO mal Leute gemacht hätten, die auch eindeutige Spielregeln hätten definieren können. Wenn die VIN in diesem Rahmen NICHT DSGVO relevant ist dann sind die ganzen Daten ohne Personenbezug. Im Spiegel stand ja so das tolle Beispiel das man ja ermitteln könnte "wer" immer vor einem Gebäude einer bestimmten Behörde stehen würde. Genau das kann man aber auch ohne die VW Daten machen. Einfach an der Reihe der Autos vorbeilaufen und früh die VINs aufnehmen...

Zitat von noizecreator

Wenn mich nicht alles täuscht, gibt es keine normale Steckdose mehr, weder im Elroq noch im Facelift-Enyaq.

Was? Warum? Kann das jemand bestätigen? Aber kann man doch wohl extra bestellen?

Zitat von vt1816

herrnik :

Zu 1.) Siehe z.B. oben von mir: Ich habe mal zugestimmt das Skoda Sachen an mich persönlich anpassen kann wie z.B. Navirouten. Dazu braucht man Start- und Endpunkt und eine persönliche Zuordnung. Nützt ja nichts das meine persönliche Vorlieben für Kreisverkehre auf meinen Nachbarn gemappt werden. Insofern ist die Frage ob die Daten wirklich "ohne Einwilligung der Nutzer" erhoben wurden. Die Frage die dann aber entsteht: Wieso reicht dafür eine Genauigkeit von 10km...

Da sehe ich dann auch den Designfehler nicht den du siehst. Generelles Batteriemanagement verbessern - Ja, da braucht es keinen Nutzerbezug bin ich ja beim CCC.

Eigentlich wollte ich jetzt bei dieser Nörderei entgültig abschalten, und dann kam das Goldkorn für mich.

Ist es wirklich so dass sich mein Auto merkt wie ich in Kreisverkehr oder Abbiegungen einfahre und macht das dann wieder so an gleicher, oder sogar ähnlichen Stellen. Kannst du das mit irgendwas bestätigen? Ich hab es vermutet, weil mein Enyaq im Gegensatz zum Anfang, oft, aber nicht immer mit TA (travel assist) so fährt wie ich. Ich komme auf dem Weg zur Arbeit, - leider zur Zeit viel zu viel mit dem Auto statt mit dem Rad, mit immer weniger Bremsen aus, auf all Fälle fährt er Kreisverkehr so an wie ich es bequem finde. Am Anfang ging das garnicht. Wie läuft das ab, oder bilde ich mir das nur ein und bin bereits in einer M-M-Bubbel.

Trimaster ja das Auto sollte nicht nur lernen wie du fährst, ab ME3.x (ab Werk) wurde auch der TA2.5 (glaube ich wars) vorgestellt: das Auto schickt auch Daten an VW und sammelt und verteilt sie wieder (die genaue Prozedur wie viele Fahrten auf einem bestimmten Steckenabschnitt es dafür braucht usw...) an alle kompatiblen Fahrzeuge und passt so z.b. die Geschwindigkeit an so wie x andere Fahrer diese Strecke gefahren sind. Zumidnest so habe ich es Verstanden dass es funktionieren sollte.

mfg