BMW CarDATA - Was BMW über unsere Autos alles weiß

  • logopower :


    meine fahrzeuge/fahrzeugdetails/zu bmw car data/datenarchiv anfordern -> warten auf mail

    ich danke dir, nach 2 Fehlercodemeldungen habe ich jetzt die CarData + den Transaktionsreport mal angefordert.

    habe soetwas eigentlich noch nie für wichtig erachtet, aber anschauen kann man sich das ja mal.

    warum/wofür auch immer

    Gruß Lothar
    BMW was sonst, seit vielen vielen vielen Jahren :thumbsup:

    E30(320i/323i) E34 (520i) E46 (328ci) G20 (330i)

  • In einem meiner Projekte hat ein Kollege erzählt, dass er mal relativ abschüssig stand und telefoniert hat, als sich ein BMW Mitarbeiter meldete um zu fragen, ob alles ok wäre, da sich das Fahrzeug "in einer ungewöhnlichen Lage" befinde.

    Der erste Eindruck, wenn man so etwas hört, mag vielleicht ein wenig creepy sein, aber so etwas kann ja in der Tat Leben retten.

    Und seien wir mal ehrlich. Was soll es in so einem Fall für ein Missbrauchspotential geben, dass ein BMW Mitarbeiter auf seinem Bildschirm angezeigt bekommt, dass einer von ein paar Millionen BMW Fahrern gerade abschüssig steht.


    nur mal so zur Erinnerung:

    seit Jahren oder sogar Jahrzehnten wissen Banken und Mobilfunkunternehmen, wie auch Telefon- und Internetanbieter, wo man was kauft, wo man sich befindet, wann man welchen Websiten besucht (Stichwort DNS Abfragen), mit wem man in Kontakt ist, etc.

    Das hat lange Zeit irgendwie niemanden interessiert und wird auch aktuell mehr oder weniger als selbstverständlich hingenommen.


    Aber ja, zu hinterfragen, wer welche Daten von einem hat und was damit gemacht wird, wie hier bzgl. BMW, ist sicherlich nicht verkehrt.


    Gerade große Unternehmen sind sich ihrer Verantwortung bewusst, und auf Vergehen, auch von einzelnen Mitarbeitern, stehen teilweise hohe Strafen.

    Dieses Risiko würde ich persönlich daher als sehr gering einschätzen.

    Problematischer wird es jedoch, wenn man an Hacks denkt und dann, um beim Beispiel BMW zu bleiben, z.B. jeder, der ein Bordell besucht hat, damit erpresst wird.

  • Problematischer wird es jedoch, wenn man an Hacks denkt und dann, um beim Beispiel BMW zu bleiben, z.B. jeder, der ein Bordell besucht hat, damit erpresst wird.

    Gegen Hacks gibt es keine ultimative Sicherheit. Es ist eigentlich nicht die Frage ob Hacker irgendwie ins System eindringen, sondern wann und welchen Schaden sie damit anrichten. Wer eine gute Sicherheitsarchitektur hat, hat dafür gesorgt dass Angriffe frühzeitig erkannt werden und weitgehend wirkungslos bleiben. Das traue ich BMW zu, denn als börsennotiertes Unternehmen hat man sehr viel zu verlieren, wenn man nicht für Sicherheit und Compliance sorgt.


    Die größte Gefahr ist noch immer der Mensch. Die Möglichkeit dass ein frustrierter Mitarbeiter seine Dienste an die dunkle Seite verkauft, besteht immer und überall. Noch größer ist die Gefahr von Social Engineering. Man glaubt gar nicht wie erschreckend einfach es für psychologische geschulte Leute ist an sensible Information von Mitarbeitern bis hin zu Zugangsdaten für Systeme zu kommen.

    Und manchmal ist es noch viel einfacher. Man stellt einfach eine Webcam auf dem Parkplatz des Bordells auf und zeichnet die Kennzeichen auf. ?

    G21 330d Luxury Line Bj. 06/2020, Dravitgrau Metallic, Leder Merino Tartufo, Dekorleisten: Eiche offenporig, Sommerräder: 18’‘ LMR Vielspeiche Bicolor, Michelin PS4 ZP, RFT, Softwarestand 11/2022.27

  • Gegen Hacks gibt es keine ultimative Sicherheit. Es ist eigentlich nicht die Frage ob Hacker irgendwie ins System eindringen, sondern wann und welchen Schaden sie damit anrichten. [...]

    Genau die Aussage hat unser Oberchef auch immer gesagt ... es ist nicht die Frage ob, sondern wann und wie ;)

    Aber ich denke und hoffe, dass BMW da gut vorgesorgt hat. Gibt ja genug Früherkennung, wenn man nur will.

  • Und manchmal ist es noch viel einfacher. Man stellt einfach eine Webcam auf dem Parkplatz des Bordells auf und zeichnet die Kennzeichen auf. ?

    Dann müsste man aber noch an die Daten der Kennzeichenhalter ran kommen.

    Ein Hack vom Connected Drive Server wäre da weitaus einfacher und man hätte auch gleich die Daten von Millionen BMW Fahrern und allen Bordells auf der Welt.

  • Dann müsste man aber noch an die Daten der Kennzeichenhalter ran kommen.

    Diese Information bekommt man ziemlich schnell wenn man weiß wie. Ich sag nur Social Engineering. Oder man kennt jemanden bei der Zulassungsstelle, den man einschüchtert. Dazu braucht man nicht mal einen Computer oder einen Schulabschluss, nur kriminelle Energie.

    Ein Hack vom Connected Drive Server wäre da weitaus einfacher und man hätte auch gleich die Daten von Millionen BMW Fahrern und allen Bordells auf der Welt.

    Das glaube ich aber so gar nicht. Wenn BMW es richtig macht, wovon ich sicher ausgehe, braucht es schon erhebliche kriminelle Energie, KnowHow und technische Möglichkeiten über die eigentlich nur staatliche Organisationen verfügen. Aber solche Angriffe werden regelmäßig schon von Geheimdiensten entdeckt bevor sie ihr volles Potential entfalten können. Ich bin mir ziemlich sicher, dass sich ein Unternehmen wie BMW nicht so hacken lässt, dass die Daten von Million von Kunden geklaut werden können. Sowas lässt sich mit einer guten Sicherheitsarchtektur wirksam verhindern. Diejenigen, denen das passiert machen ihren Job nicht richtig. Da sowas existenzbedrohend sein kann, wird sich ein börsennotiertes Unternehmen wie BMW dagegen wirksam schützen.

    G21 330d Luxury Line Bj. 06/2020, Dravitgrau Metallic, Leder Merino Tartufo, Dekorleisten: Eiche offenporig, Sommerräder: 18’‘ LMR Vielspeiche Bicolor, Michelin PS4 ZP, RFT, Softwarestand 11/2022.27

  • Das glaube ich aber so gar nicht.

    Das glaubten Größen wie Sony, Yahoo, eBay, Dropbox, Target, die JP Morgan Bank, Anthem Insurance (der größte Krankenversicherer in den USA), Linkedin, und noch weitere auch nicht, bis es passiert ist! ;)


    Sowas lässt sich mit einer guten Sicherheitsarchtektur wirksam verhindern.

    Das ist (nur) Theorie.


    Diejenigen, denen das passiert machen ihren Job nicht richtig.

    Teilweise können aber die Verantwortlichen nur bedingt etwas dafür, weil z.B. bisher unbekannte Sicherheitslücken in einer eingesetzten Komponente ausgenutzt werden.

    Oder würdest du z.B. einem BMW Mechaniker schlecht gemachte Arbeit unterstellen, obwohl die Ursache ein Material- oder Produktionsfehler des verbauten Teils war?

  • Ich sag nur « Ransom as a Service », staatliche Akteure braucht man sicherlich nicht. Alleine schon deswegen weil die die was können nicht für Peanuts beim Staat arbeiten würden.


    Um beim Thema zu bleiben: kann mein File nicht runterladen, sonst noch wer?

  • Das glaubten Größen wie Sony, Yahoo, eBay, Dropbox, Target, die JP Morgan Bank, Anthem Insurance (der größte Krankenversicherer in den USA), Linkedin, und noch weitere auch nicht, bis es passiert ist! ;)

    Absolut richtig. Daraus sind aber auch wertvolle Erkenntnisse entstanden. ?

    Das ist (nur) Theorie.

    Naja, wenn man sich darüber im Klaren ist, dass es nicht möglich ist Eindringlinge auszusperren, muss man eben dafür sorgen, dass sie nicht weit kommen, wenn sie drin sind und keinen oder nur begrenzten Schaden anrichten können.

    Natürlich lassen sich alle Systeme irgendwie in der Theorie hacken. In der Praxis muss es aber auch in vertretbarer Zeit und mit vertretbarem Aufwand machbar sein. Wenn die Hacker ewig brauchen, ist die Chance, dass der Angriff entdeckt wird, hoch und die Systeme werden zur Not soweit runtergefahren, dass es für die Halunken nicht weitergeht. Ich bin mir sicher, dass der russische oder der chinesische Geheimdienst oder der Mossad alles hacken können Die rumänische Pishing Mafia allerdings nicht.


    Teilweise können aber die Verantwortlichen nur bedingt etwas dafür, weil z.B. bisher unbekannte Sicherheitslücken in einer eingesetzten Komponente ausgenutzt werden.

    Oder würdest du z.B. einem BMW Mechaniker schlecht gemachte Arbeit unterstellen, obwohl die Ursache ein Material- oder Produktionsfehler des verbauten Teils war?

    Das ist eben ein Wettlauf mit der Zeit. Unternehmen, die es gut machen, suchen selbst aktiv nach Sicherheitslücken und sind mit den Microsofts, Amazons, Intels und was auch immer im permanenten Austausch. Und meistens ist es ja auch nicht die eine Sicherheitslücke, sondern eine Kombination aus Sicherheitslücke im Betriebssystem, Schwächen in der Applikation und/oder einem suboptimalen Sicherheitskonzept in Bezug auf die Zugriffsrechte. Und das sollte eben permanent geprüft und optimiert werden. Kommt ein Hacker dann durch eine Lücke, kommt er bestenfalls nicht weiter. Wer die Ausnutzung von mehreren Lücken zulässt, macht seinen Job in der Tat nicht richtig. Dementsprechend hat nicht der Mechaniker seine Arbeit schlecht gemacht, sondern das Qualitätsmanagement beim Zulieferer oder bei BMW, der Einkäufer, die Endkontrolle. Der Mechaniker ist nur teil der Prozesskette. Der kann da nichts dafür. Dem hätte man gar nicht erst ein fehlerhaftes Teil geben dürfen, was er dann einbaut hat.

    Die absolute Sicherheit gibt es natürlich nicht. Aber man kann viel machen um nicht wie Sony zu enden.

    G21 330d Luxury Line Bj. 06/2020, Dravitgrau Metallic, Leder Merino Tartufo, Dekorleisten: Eiche offenporig, Sommerräder: 18’‘ LMR Vielspeiche Bicolor, Michelin PS4 ZP, RFT, Softwarestand 11/2022.27