Beiträge von Raducanu

Zitat von Langstreckenfahrer

Mir erschleicht sich gerade der Gedanke, dass hier einige die Planwirtschaft einführen wollen.

1. Wieso soll der Staat einen Preis festlegen???

2. Wieso sollen Ladekarten abgeschafft werden und nur noch Ad-hoc Laden zulässig sein?

3. Wieso soll man EMSP das Geschäftsmodell kaputt machen?

4. Wie soll P&C ohne Vertrag funktionieren?

5. Zahlt Ihr nicht auch in jedem Café einen anderen Preis für Euer Heißgetränk?

Alles anzeigen

1. Soll er nicht, er muß aber für Preistransparenz sorgen und Lock-In-Modelle verhindern.

2. Ladekarten kann es weiterhin geben (gibt es ja auch im Verbrennerbereich) -> zur Flottenabrechnung (wie UTA / DKV) (also als Kreditkartenersatz). Gerne auch Ladekarten für Kundenbindung. Aber die "Kundenbindung" sollte dann nicht über den Preis (oder besser gesagt unattraktiven Preis für nicht Kunden -> Scheinabo) sondern über Serviceangebote erfolgen (siehe Punkt 4). Gerne auch Cashback ("je 10kWh geladen gibt die 11 kWh Gratis").

3. Weil es überflüssig ist und den Preis nach oben treibt (der EMSP will ja auch Geld verdienen). Bei vernünftige AdHoc Preise in Verbindung mit eine Kredit oder Ladekarte (siehe Punkt 2) besteht keine Notwendigkeit für einen EMSP.

4. P&C braucht ja kein Abo. Es braucht lediglich ein geklärtes Bezahlmodell. Ich kann ja gerne mein KFZ mit Bezahlmodell Bankeinzug/Kreditkarte/Rechnung bei Aral/EnBW hinterlegen und so P&C nutzen.

5. Ja, aber ich wenn ich zu Starbucks gehe, kostet der Kaffee immer das gleiche. Egal ob ich Bar, mit Kreditkarte oder wie auch immer bezahle.

Die Lock-In-Modelle von enBW, Tesla usw verhindern Wettbewerb und führen zu Monopolstellungen.

Zitat von GiMichael

Danke für den Link. Ich habe es jetzt auch endlich geschafft, mal reinzuschauen. Sehenswerter Vortrag, der zeigt mich welch einfachen Mitteln man zumindest auf die ersten ebenen kam. Auch wenn manche sich hier ja drüber lustig machen. Ich finde es gar nicht lustig, wenn VW die Daten der Regierungs- und Sicherheitsbehörden von ganz Europa inklusive der Schwachpunkte vieler dort arbeitenden Personen jedem und somit auch Geheimdiensten offen legen. Und das zu Zeiten eines heißen Krieges in Europa, in den viele dieser Staaten indirekt durch Waffenlieferungen beteiligt sind. Sogar Kiew, Dnipro und Krywyj Rih sind mit einem Blick erkennbar, wenn auch mit weniger Daten. Unverschlüsselt bei AWS mit ungekürzten Geo-Informationen mit Personenzuordnung. Das ist so gar nicht lustig.

Es macht eigentlich nur offensichtlich, dass heutzutage Digitale Spuren hinterlassen. Egal ob sie es wollen oder nicht.

Klassisches Beispiel ist der Mann der zum Bordell mit einem Taxi fährt um VorOrt nicht mit seinem Auto erkennbar zu sein.

Dass das Taxi auch digitale Spuren hinterlässt hat man am Anfang gar nicht auf dem Schirm.

Ich finde die Vorträge des CCC schon extrem wichtig und gut das sowas aufgezeigt wird. Aber ur gibt es so ein Dreieck "Sicherheit, Komfort/Innovation/Tempo, Kosten" und man kann leider nicht alle Ecken erreichen. VW hat nun Vermutlich die beiden Ecken "Komfort/Innovation/Tempo + Kosten" gewählt (Aufgrund des Drucks der Mitbewerber / Markt).

Als anderes Beispiel ist vermutlich die ewige Diskussion um die Digitalisierung in öffenlichen Bereichen. Elektronische Partientakte & Strom Smart Gateway. Da diskutiert man ewigkeiten über das Thema Sicherheit (zurecht) und das geht nicht (oder schwer) zusammen mit den Punkten "Komfort/Innovation/Tempo + Kosten".

Zitat von xmds

Das die Daten ungeschützt und unverschlüsselt "einfach so rumlagen" und man durch systematische Erraten des AWS Pfad an die Daten gelangenn konnte, ist grobfahrlässig! (AWS=Amazon Web Services wo VW die Daten gehostet hat)

Das stimmt einfach nicht. Die Daten lagen nicht ungeschützt in einem S3 Bucket.

Der Bucket war mit Client ID und Secret geschützt. Diese Daten waren bei einer CARIAD Java Anwendung hinterlegt, die leider den Spring Heapdump API Endpunkt aktiv hatte und ohne Schutz im Internet erreichbar war. Aus dem Heapdump (in dem Video als "Schrotthaufen" dargestellt) kommt man nun mit Tools die Client ID und Secret herausfinden.

Zum Vergleich: Du hast einen Geldautomat irgendwo in der Innenstadt, der Tresor des Geldautomats ist mit einem Zahlenschloss gesichert.

In der nächsten Bankfiliale steht nun im Backoffice an der Pinnwand die Kombination des Tresors.

Geldautomat = S3 Bucket

Zahlenschloss = ClientID / Secret

Bankfiliale = Cariad JAVA Anwendung

Backoffice mit PIN = Heapdump mit ClientID/Secret

Geöffnete Tür zum Backoffice ohne Überwachung = Heapdump API Endpunkt der im Internet steht

Kurz zum Background was das "Datenleck" ist (Der 38C3 Vortrag läuft gerade) (zumindest das was im spiegel.de beschrieben steht). Ganz so "da standen alle Daten im Klartext im Internet" ist es dann doch nicht.

Ich beziehe mich auf folgenden Absatz

Zitat

Mit ihnen war es, vereinfacht gesagt, möglich, durch systematisches Raten bestimmte Cariad-Internetseiten und ihre Unterseiten zu finden, auch wenn die für normale Nutzer teilweise unsichtbar sind. Dadurch wurden Pfade sichtbar, die direkt auf Dateien führten, von denen schon an der Endung erkennbar war, dass sie brisante Inhalte haben könnten. Einer dieser Pfade führte zur Kopie des jeweils aktuellen Speicherauszugs einer Cariad-internen Anwendung. Eine solche Datei sollte überhaupt nicht im offenen Internet stehen oder zumindest nicht ohne Passwortschutz. Moderne Sicherheitsprogramme und -prozesse müssten ein solches Versäumnis eigentlich erkennen. Weil das bei Cariad nicht der Fall war, hätten Angreifer den Speicherauszug einfach herunterladen und öffnen können. Darin lagen – einfach zu finden – die Zugangsdaten zu einem Cloudspeicher bei Amazon.

Meine Schlussfolgerung: Es war durch systematisches Raten möglich das LogFile / ConfigDump / ConfigRuntime eines Servers von Cariad öffentlich zugreifen. Diese Datei sollte eigentlich nicht aus dem Internet zugreifbar sein und eine Web Application Firewall hätte den Zugriff eigentlich abfangen müssen.

In dieser Datei standen die Zugriffscredentials für den / die S3 Buckets bei AWS, da die Anwendung auf den/die Buckets zugreift.

Die "Fehlkonfiguration" bezieht sich daher vermutlich nicht auf den S3 Bucket sondern auf darauf das die ConfigRuntime der Anwendung Zugreifbar war.

Ja, das ist Fahrlässig, darf nicht passieren und mehr als Peinlich. Aber die Daten standen nach meinen Verständnis nicht frei zugänglich im Netz.
Der Zugriffsschlüssel zu den Daten war aber öffentlich Zugreifbar (aber man musste zumindest etwas suchen).

Nachtrag: Der Relive Stream ist nun verfügbar.

Relive: Wir wissen wo dein Auto steht - Volksdaten von Volkswagen – 38C3: Illegal Instructions Streaming

Die Cariad Application war eine Springboot Java Application und die Konfiguration war über den heapdumps Endpunkt verfügbar. Amateurhafte Konfiguration einen Application Servers und der eigentlich erwartbare Schutz einer WAF oder IDS/IPS war auch nicht vorhanden.

Den größeren "Skandal" sehe ich darin, warum die Daten überhaupt in dieser Menge, Masse und mit personenbezogenen Daten gesammelt und bei einem Anbieter gespeichert wurde der unter dem Cloud Act fällt

Ein klassischer Autobauer wie VW hat in den letzten Jahrzehnten maximal davon Profitiert die Entwicklung und Fertigung von vielen Komponenten rauszugeben an Zulieferer. Die kann ich mehr im Preis Drücken und gebe viel Risiko raus. Bedeutet aber auch, das jeder Sitz, Scheibenwischer und Rückfahrkamera sein eigenes Steuergerät benötigt welches ebenfalls vom Zulieferer kommt oder dieser zumindest essenziell daran beteiligt ist.

Wie ich schonmal geschrieben habe: hier muss bei VW große Teile der Lieferketten / Sourcing geändert werden

Zitat von Langstreckenfahrer

Das habe ich anders empfunden. Klaus Zellmer hat sehr offen kommuniziert und für mich nachvollziehbar erläutert, dass das im Zusammenspiel mit der Hardware (Anmerkung meinerseits: und im Gegensatz zu bspw. Tesla rund 40 Steuergeräten, die teilweise miteinander interagieren) limitiert ist. Ich finde das wesentlich besser, als den Kunden anzulügen - oder wie Du es sagst, versuchen den Schein zu wahren. Damit würden sie den riesigen Fehler machen, weiter eine Erwartungshaltung zu schüren, die nicht erfüllbar ist. So gesehen, hat Skoda schon über uns und unseren Mittelsmann Speicher gelernt. Also von mir und meinem mit 2.x ausgelieferten sowie auf 3.7 per Update gehievten Enyaq gibts ein Danke an Klaus Zellmer.

Für mich sind das scheinheilige Argumente und man ist meilenweit davon Entfernt was

a. man den Kunden suggeriert hat

b. die Kunden aufgrund von Tesla und anderen Mitbewerbern erwarten

Skoda wirbt sogar mit OTA:
https://www.skoda-auto.de/e-mobilitaet/software-update

"Es ist wichtig, die Software Ihres Fahrzeugs zu pflegen."

"Over-the-Air-Updates sorgen dafür, dass Ihr Fahrzeug über die Fahrzeugnetzwerkkonnektivität auf dem neuesten Stand bleibt. Die Updates sollen die Leistung Ihres Fahrzeugs verbessern und können neue Funktionen enthalten."

Sarkastisch könnte ich nun argumentieren, dass dann Fahrzeuge mit 4.x unsicher sind, sind ja nicht gepflegt. Die "Sicherheits" Argumentation im Video ist scheinheilig und vorgeschoben.

Skoda hat Schiss, dass ein echtes OTA fehlschlägt und man dann ein Teil der Fahrzeugflotte in die Werkstadt schleppen muß und wohlmöglich noch Bauteile tauschen muß.
Es dürften in der zwischenzeit deutlich über eine 250.000 Enyaqs unterwegs sein. Selbst wenn das Update nur bei 2% zu problemen führt bedeutet dass 5000 Kunden ohne Fahrzeug und ggf Hardwareaustausch etc

Die VW Gruppe hat ihre Software absolut nicht im Griff und das weiss ein Zellmer auch. Er ist da aber als Skoda CEO nicht für verantwortlich und er wird in so einen YT Video mit Sicherheit nicht die CARIAD Tochter an die Wand nageln. Sowohl Skoda als auch VW ist von der Truppe noch mindestens die nächsten 3-5 Jahre abhängig.

Trotzdem ist die Kommunikation bzgl. Lifecycle, Qualität und Updatepolitik für einen Weltkonzern wie VW unwürdig.

Ja, die neuste Version der Software im Auto ist deutlich besser geworden und mitlerweise "akzeptabel". Aber kein weiß welches Fahrzeug noch wann welches Update bekommt und ob ältere Fahrzeuge (Gen1) überhaupt noch irgendwelche Features erhalten. Zudem ist die Verfügbarkeit/Stabilität der MySkoda App (oder besser das Server Backend) ein Witz.

Wie schon unter dem Video bei YT geschrieben:
Tolles Video von dir und auch Klaus Zellmer versucht einen guten Job zu machen.

Man merkt das er bei dem E-Fuel als auch bei dem Softwarethema ganz klar eine Richtung hinsichtlich Kommunikation aus Wolfsburg bekommen hat.

Das Thema E-Fuels ist dabei ein reines Politikum was sich früher oder später selbst erledigt. Das Thema Software und CARIAD ist dagegen vermutlich hoch brisant (politisch als auch finanziell):

1. Wenn VW offiziell sagt das die ganze Gen1 Hardware EOL ist (betrifft ja nicht nur den Enyaq sondern auch viele ID3/4), bedeutet dieses einen weiteren massiven Wertverlust für hundertausende Fahrzeuge die noch immer in den Büchern der Leasinggesellschaften (VW Bank) stehen.

2. VW weiß, dass VW OS eine Katastrophe ist und das CARIAD nur eine Teilschuld daran trägt. Das Thema ist viel größer als nur ein schlechte Softwarebude. Falsche Architektur, keine Transformation und fehlende Change Kultur

3. Falls sich RIVIAN als Software im VW Konzern durchsetzen sollte (was ich für keinesfalls als gesichert halte, in VW und sonstwo sitze tausende Manager und Teams die dort massiv Kompetenz abgeben müssen) wird dieses noch Jahre dauern. Auch das ist nicht sonderlich förderlich für den Werterhalt von (Neu)fahrzeugen die mit VW OS 5.x / 6.x oder was auch immer ausgeliefert werden

4. Mit dem Datenleck https://www.spiegel.de/netzwel…bc-493c-96d1-aa5892861027 hat Cariad gerade sowieso ganz andere Probleme und das Thema Datenschutz und allgemein Datenverarbeitung in eAutos wird nochmal politisch hochkochen

Zitat von ichderarnd

Ergänzung: Und im Gegensatz zu jetzt muss das API auf Push-Nachrichten basieren. Dass irgendwann mal hundertausende Fahrzeuge alle paar Sekunden die Server abfragen, ist nicht praktikabel.

Das ist schon längst der Fall. Das Auto spricht mit dem Skoda Server, die App mit dem Server.

Und das erfolgt nicht alle paar Sekunden. Und Skoda/VW/Cariad arbeiten daran bereits.

Die neue MySkoda App verwendet teilweise WebSocket und MQTT.

Aber ich bin grundsätzlich bei dir: Die Softwarequalität und die Möglichkeit die Herstellerschnittstellen in eingene Lösungen zu intergrieren wird zukünftig wichter

Zitat von Speicher

Liebe Foristen

Ich muss hier mal das Thema kurz unterbrechen und euch erneut eine Frage stellen:

Was würdet ihr Klaus Zellmer gerne beantworten hören in einem Interview?

Schreibt mir eure Fragen, beachtet dabei ein wenig die Flughöhe.

Ich kann nicht versprechen das ich alle Fragen unterbringe, wenn ich ein Interview-Slot erhalte, aber evtl. die eine oder andere

Alles anzeigen

Entspricht die aktuelle User Experience in Sachen Software den Qualitätsanforderungen von Skoda an sich selbst?

Konkret gemeint:

- Verfügbarkeit / Ständige Ausfälle der MySkoda App

- Allgemeine Updatepolitik / nicht vorhandere Kommunikation bzgl. Roadmap für die Version 3.x / 4.x / 5.x.

Glaubt Skoda von sich selbst hier einen guten Job zu machen und was hindert sie daran einen besseren zu machen?

Wer sich für das Thema SDV und was der Rivian Deal mit VW macht interessiert kann sich den sehr guten heise (leider + ) Artikel durchlesen.

https://www.heise.de/hintergru…en-bedeutet-10025439.html