Amazon.de Widgets

Autokauf trotz Blogger-Rant

Fehler in der Matrix

Wir müssen uns einfach daran gewöhnen. Der Blogger an sich, der ist da. Der geht auch nicht mehr weg. Ganz penetrant: Diese Auto-Blogger. Also Menschen, die Spaß an Autos haben und dann darüber erzählen möchten. 

2011 wurde dieser Blog gegründet. Seitdem blogge ich nur noch über Autos. Blogge ich? Bin ich? Schreibe ich? Urteile ich? Bin ich nicht doch eher ein Journalist? Das „über Autos bloggen“ hat sich verändert. Zumindest habe ich mich verändert. Als das mit dem „Auto bloggen“ ernster wurde, war mir klar: Ich muss mich anpassen. Okay. Nicht zu viel. Aber ich muss zumindest in den Strudel der Automobil-Journalisten. Nachdem mich die „motorpresse“ 2009 nicht haben wollte, fing ich an, in Eigenregie zu schreiben. Autos waren ja schon immer mein Ding. Und im Gegensatz zu vielen anderen Journalisten war ich kein Journalist, sondern jemand, der einen Vergaser zerlegen, eine Spur einstellen und die OBD-Schnittstelle findet. Kurzum: Ich kam vom Auto. Nicht von der Journalisten-Schule. Und ich kann ein Auto um ein paar Pylonen scheuchen. Recht flott. Das also musste reichen für den Weg zum Auto-Blogger.

Als Auto-Blogger wollte ich aber auch ernst genommen werden. Wollte mich gar anpassen. Der „Verband der Motorjournalisten“ nahm mich auf. Gab mir eine Obhut. Und ich passte mich an. Weg vom Blog, hin zu einem Magazin. Weg vom „Blogger-Stil“, hin zum Motor-Journalisten. Doch mit jedem Fahrbericht, der den Blog füllte, kamen auch die Zweifel.

Bist du im recht mit deiner Meinung? Was ist eigentlich die Meinung des Auto-Journalisten wert? Was glauben wir, bewegen zu können?

Der Journalist an sich ist ein kaum fehlbares Wesen. Habe ich schnell lernen müssen. Der Auto-Journalist an sich, der ist noch weniger fehlbar. Der Experte. Der Profi. Seine Meinung immer objektiv. Sicher. Unrüttelbar. Fest gemeißelt sein Urteil. Der Rest der Welt richte sich nun bitte danach.

Lächerlich.

Egal, wie sehr ich mich mühte, objektiv zu sein, es war doch immer ein Stück meines Weltbilds schuld am jeweiligen Urteil. Alles andere wäre auch zu naiv zu glauben. Der einzelne Autor ist ein „Einzelner Autor“. Objektivität ein Wunsch. Nicht das Ergebnis. Was also tun? Die Schläge von den „Fach-Redaktionen“ kassieren? Stellt man sich dort doch nur all zu gerne hin als „die letzte Instanz der Unfehlbarkeit“.  Je länger ich das nun tue, zu bloggen, als Auto-Journalist meine Meinung in diese Welt zu posaunen, desto mehr fällt der Vorhang. Wir kochen alle nur mit Wasser. Wir haben alle nur eine Meinung. Eine Momentaufnahme.

Und der Leser? Den kümmert es doch?

Ja, sicher.  Wenn er der gleichen Meinung ist. Ist er einer anderen Meinung, dann ist der Autor ein Depp. Aber halt. Blogger sind Influencer. Journalisten sind Meinungsbildner. Nicht? Ja. Aber. Das wirkt alles viel subtiler. Die Wirkung ist vergleichbar mit der medizinischen Wirkung von Homöopathie. Die Meinung des einzelnen Auto-Journalisten nur ein Tropfen einer Zehner-Potenz im Atlantik der Meinungen.

kommentar seat ateca
Da rantet man über das Auto? Und? Der Kunde kauft es dennoch!

Die Bestätigung landet in den Kommentaren

Einen Rant nennt man das meinungspralle, negativ intonierte „geblogge“. Wenn der Autor zur Polemik greift, entfernt er sich weit vom Journalismus. Die Kolumne des Proletariats, würde der Bildungsbürger wohl sagen. Dafür muss in einem Blog Platz sein. Denn hier bestimmt der Blog-Inhaber. Keine Redaktion siebt, verdünnt, filtert und kontrolliert die höchst subjektive Meinungsmache (a.k.a. den objektiven Auto-Journalismus). Das pralle Leben. Dafür lesen die Menschen Blogs. Gänzlich frei von jedweder Rücksicht auf die Marketing-Budgets lässt es sich im Blog noch wunderbar ehrlich, frei von der Leber schreiben. Denn ein Blog hat ja keine Angst vor wegbrechenden Werbe-Einnahmen.

Oder doch? Egal. Hier muss man es dürfen. Hier muss es passieren. Die Meinung. Ehrlich dazu stehend. Und denkt denn niemand an das Produkt? Die Arbeitsplätze? Ein Rant über ein neues Auto? Was mag die Presse-Abteilung denken? Nimmt denn niemand mehr Rücksicht?

Der Kunde liest, nimmt wahr und kauft dennoch

Je länger ich versuche, Profi zu sein, desto dünner wird die Luft der Glaubwürdigkeit. Desto müder das eigene Lob für die tolle Arbeit. Denn was zählt am Ende die eigene Meinung? Für den Leser ist es eine. Unter vielen. Und so verpufft der Rant. Der Leser kauft das Auto dennoch und kommentiert dies dann fröhlich unter dem Rant.

Was zeigt: Wir sollten uns selbst nicht zu ernst nehmen. Wir schreiben über Autos. Eine Meinung. Eine von vielen …

Und ich glaube, daran krankt die ganze Branche. An einer selbst geschaffenen Obsoleszenz. So viele Meinungen. So viele Aussagen. So viel Text. Und der Leser? Der glaubt doch eh, was er bereits zuvor wusste. Passt dein Rant zu seinem Pulsschlag, bist du im Recht. Erklärst du ihm, was er zuvor schon wusste – bist du im Recht und wirkst gebildet. Wohin uns das führt?

Auf jeden Fall zeigt das Beispiel vom Rant und dem Autokäufer: Blogs werden gelesen, aber wir (und damit meine ich den Auto-Journalismus) sind lange nicht so wichtig, wie wir gerne denken. Und dieser Beitrag? Hilft der denn nun?

Eventuell. Es ist ein Stück weit das klassische „Geblogge“. Eine Ansammlung von Wörtern, um sich Luft zu verschaffen. Gedanken nach außen zu tragen. Transparenz in der eigenen Meinungsbildung zu gewährleisten. Der Blogger an sich, ein egozentrisches Etwas. Und das Lustige dabei? Der Rant über das Auto, das am Ende dennoch gekauft wurde, stammt gar nicht von mir. Er stammte von einem Gast-Autor. Also, einem Gast-Blogger. Dem Ergebnis einer Umbildung des Blogs, hin zu einem Magazin. Ein Fehler in der Matrix sozusagen.

 

Auf die Fehler in der Matrix. Und Auto-Blogger. Und die Menschen, die Autos kaufen!

 

Safety first? Wie die Autoindustrie mit ihren Sicherheitsproblemen umgeht

Verschweigen,
bedrohen, 
aussitzen.

Der schlimme Stand der Dinge in Sachen Software-Sicherheit in der Autoindustrie

Der als „Volkswagen-Hack“ bekannt gewordene Angriff auf eine verbreitete Wegfahrsperre wurde nach einem Jahr juristischer Verzögerungsarbeit von Seiten VW nun doch veröffentlicht. Und in diesem Nachrichten zusammenfassenden Satz kondensiert alles, was seit Jahrzehnten schief läuft in der Software-Sicherheit der Autoindustrie.

Kurzer Abriss: 2012 fanden drei Forscher einige Schwächen in der Wegfahrsperre mit den Transpondern Megamos Crypto ID48 Magic I und II, eines der weit verbreitetsten Systeme solcher Art überhaupt. Sie meldeten die Probleme bei den betroffenen Herstellern neun Monate, bevor sie überhaupt das erste Mal etwas zu veröffentlichen planten. Volkswagen hielt es für eine gute Idee, in Großbritannien gegen die Veröffentlichung zu klagen. Sie erhielten zunächst Recht, aber letztendlich sicherte sich der Konzern damit nur, dass er auf ewig mit dem Megamos-Hack synonym bleiben wird, der seitdem als „Volkswagen-Hack“ firmiert. Denn jetzt dürfen die Forscher doch veröffentlichen. Hier ein Abriss der Schwächen mit Empfehlungen auch für Endkunden .

Bild: Ralf Konzelmann, bestkey.de
Bild: Ralf Konzelmann,
bestkey.de

Viele Schreiber machten VW hämisch die Vorwürfe, die sie bei Ars Technica abschrieben. Dem möchte ich mich nicht anschließen. VW hat damals das beste System genommen, das es von Zulieferern gab. Alle drei weit verbreiteten Konkurrenzsysteme wurden früher gebrochen. Ich möchte VW und der gesamten Autoindustrie einen ganz anderen Vorwurf machen: Ihr nagelt alle seit Jahrzehnten wider die besten Empfehlungen der versiertesten Experten eure eigenen schiefen Hütten im Dunkeln zusammen und wenn jemand eine Taschenlampe auf eure Favelas richtet, dann wollt ihr den Boten schlachten und seine unglaublich perfide Taschenlampentechnologie verbieten. Dieses Vorgehen ist der Grund, dass ihr eure Autokunden sicherheitstechnisch weiter in Favelas wohnen lasst, obwohl selbst die Hundekuchenverkäuferin im Internet technoallegorisch geschrieben längst im Betonbungalow mit stabilen Türen und einem Telefon zum Hilfe rufen wohnt. Und das nicht, weil die Hundekuchenverkäuferin schlauer wäre, sondern weil sie offene Technik mit belegbarer Sicherheitsstufe verwendet und ihr euer eigenes Ghettosüppchen kocht, als stünde immer noch 1978 auf dem Tittenkalender.

Die große Schwierigkeit der Kryptologie

Auf dem verschlungenen Feld der Kryptologie beschäftigen sich die seltenen Menschen mit gordisch verknoteten Gehirnen mit Sicherheit in der Informationstechnik. Sichere Kommunikation und eindeutige Authentifizierung fußen heute auf eleganten, aber schwer sauber umsetzbaren mathematischen Prinzipien. Früher fußten sie darauf, dass man versuchte, zu vertuschen, wie schlecht die eigene Sicherheit tatsächlich aussieht im kalten Licht der LED-Taschenlampen. Oder man hoffte darauf, dass schon nichts schiefgeht. Die meisten Menschen sind ja meistens ganz lieb. Seit jedoch jeder und seine Oma in Netzwerken mit kommunizieren, hat sich die Welt von diesem Prinzip verabschiedet, denn es funktioniert schon lange nicht mehr. Eigentlich hat es noch nie funktioniert. Nur die Autoindustrie klammert sich noch an dieses Prinzip, als ginge es um ihr Leben. Dabei gilt das Gegenteil: Diese Art, mit Netzwerksicherheit umzugehen, kann ihr auf die Langstrecke betrachtet durchaus das Genick brechen.

Ein kluger Mann namens Auguste Kerckhoff verfasste schon 1883 eine bis heute gültige Maxime: Die Sicherheit eines Verschlüsselungsverfahrens muss auf der Geheimhaltung der Schlüssel beruhen und darf nicht von der Geheimhaltung des Verfahrens abhängig sein. Denn es gibt nur einen Grund, warum ein Verfahren geheim bleiben soll: Es ist unzulänglich. Deshalb verwenden Banken oder Hundekuchenverkäuferinnen heute Krypto-Verfahren für sichere Kommunikationskanäle und eindeutige Verifizierung, die öffentlich bekannt sind. Ihre Sicherheit wurde lange von gordischen Knotenköpfen traktiert und für tauglich befunden.

Auch die Autoindustrie bedient sich der bekannten kryptologischen Prinzipien, doch wie gesagt: Krypto-Programmierung ist ein dorniger Weg voller Fallen, die man sich selber stellt. Deshalb ist es so wichtig, dass mindestens einige der besten Knotenköpfe versuchen, schon in der Planung die Schwächen des Systems zu finden, sonst findet sie jemand, wenn längst Millionen Systeme ausgeliefert sind. QED. Aufgrund ihrer Seltenheit sitzen diese besten Köpfe selten in der eigenen Firma, und wenn sie dort sitzen, dann hört man ihnen nicht zu, denn nur der externe Experte weiß alles; Mitarbeiter wissen nichts (alte Weisheit der Manager, die Berater buchen). Ohne eine Offenheit zumindest vor einigen wenigen kann kein Hersteller bewerten, ob er Herrn Kerckhoffs Maxime gerecht wurde. Deshalb gilt die Offenheit als Best Practice, ja: als einzig sinnvoller Weg. Der andere Weg? Heimlich Fehler machen und sich dann aufregen, wenn jemand sie dann aufzeigt, wenn alles zu spät ist. So läuft es in der Industrie. Seit Jahrzehnten. Wer konnte AHNEN, dass im damals als echt sicher geltenden Megamos-System FEHLER waren und Schwächen und sogar richtige Dummheiten? Jeder, der ehrlich zu sich selbst war.

Menschen, die ehrlich zu sich selber sind, tendieren dazu, auch ehrlich zu ihren Mitmenschen zu sein, oft noch mit dem furchtbaren Verstärker „offen und“. Solche Menschen arbeiten bei Autoherstellern üblicherweise dort, wo ihnen keiner zuhört. Was weiß ein Krypto-Ingenieur schon von Sicherheit? Nichts! Da muss das Management ran: „Krypto? Was soll DAS denn sein? Was das KOSTET! Wie, wir sollen OFFEN diskutieren, wie unsere Wegfahrsperre funktioniert?! Schleich dich in den Software-Keller, abscheuliche Kreatur, sonst schwinge ich die Kündigungskeule!“ Dass Offenheit eine Art von Vertrauen schafft, die gerade in NSA-Zeiten langfristig der Kunden-Marken-Bindung helfen könnte, naja, sowas braucht man dem mittleren Management genauso wenig anzutragen wie die Best Practices der Kryptologie.

Es ist finster und wird schlimmer

Aus diesem Problemkreis hinaus hatten wir 2010 diese Forscher, die an der Diagnoseschnittstelle herumhackten . Damals schrieb ich, dass jetzt alle mit dem Finger im Arsch herumsitzen und warten, bis es den ersten Fall gibt, bei dem Hacker von außen über Funk Zugriff aufs Auto erlangen, um dann laut zu greinen. Das ist kürzlich eingetreten . Keyless-Schließsysteme sind für Diebe noch toller als für Kunden . Selbst die Diagnoseschnittstelle-Hacks waren schon relevant, weil Versicherer dort ihre Tracking-Boxen anschließen (hier ein Hack ), und Versicherer arbeiten nach denselben Prinzipien wie Autohersteller: vorher auf keinen Fall auf die Experten hören und hinterher Zeter und Mordio schreien, dass diese oder andere Experten schweigen sollen, denn wo kämen wir hin, wenn jeder auf des Kaisers neue Kleider zeigen dürfte?

Besserung ist nicht in Aussicht, obwohl sie dringend nötig wäre, denn der Anteil der Software an der Auto-Wertschöpfungskette steigt mit jedem Jahr an. Im Gegenteil kommen Probleme auf uns zu, die sich ein Manager gar nicht vorstellen möchte (hier eine Hilfestellung ). Die nächste große Aufgabe für die Hersteller sind dicht vernetzte, selbst fahrende Roboterautos. Die Entwicklung solcher Maschinen besteht zu einem so großen Anteil an Softwareentwicklung, dass heutige Autoschrauber Alpträume davon kriegen, weil sie schon Elektrik für Teufelswerk halten. Die SIEHT man ja nicht, diese Elektronen! Wenn die dann noch unsichtbar nach Algorithmen tanzen!

Es gab eine Gelegenheit, einem Automobilriesen in den Code zu schauen, nämlich als Toyota vor Gericht ihre „unintended acceleration“ verhandelte. Irgendwann mussten sie externe Experten ihren Code lesen lassen. Es war ein riesiger Haufen Spaghetti-Code , und wer mit diesem Begriff nicht vertraut ist, sollte sich einen Kabelbaum vorstellen, der aus einem Spaghetti-Haufen vollkommen gleicher Kabel besteht, der einfach in einen Hohlraum hinter den Verkleidungen gequetscht wird. Toyota hat wahrscheinlich nicht einmal gelogen, als sie vor Gericht sagten, sie konnten die Probleme nicht nachvollziehen, denn nach allen bekannten Methoden war Toyotas Haufen Schhh…paghetti nicht testbar. Toyota konnte gar nicht wissen, was da am Ende alles für Zustände herauskommen könnten, und offenbar interessierte sie das auch nicht besonders. Der Code sah so aus, als hätte Toyota jede Maßgabe zur guten Arbeit an Software gelesen und dann das Gegenteil getan. Und solche Firmen arbeiten jetzt an Autos, die dein Kind automatisch in die Schule fahren sollen. Damit in Zukunft Probleme ausbleiben wie „das Auto fährt mit dem Kind durch die Ukraine, weil ein russischer Autoschlepper Toyotas en masse in sein Autobot-Netz übernimmt“, da könnten die Hersteller bewährte Methoden der Offenheit einsetzen. Oder sie könnten weitermachen wie bisher mit Gestolpere im Dunkeln. Wer möchte raten, was passieren wird?

 

 

 

Links:

http://www.heise.de/autos/artikel/Volkswagen-Hack-veroeffentlicht-2778562.html

http://www.autosec.org/pubs/cars-oakland2010.pdf

http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

http://hessenschau.de/panorama/diebe-klauen-luxusautos-in-serie-per-funkwellenverstaerker,neue-autodiebstahl-methode-100.html

http://www.heise.de/newsticker/meldung/Diagnose-Dongle-Forscher-hacken-Corvette-per-SMS-2777457.html

http://www.mojomag.de/2010/05/grid-graffiti/

http://www.safetyresearch.net/blog/articles/toyota-unintended-acceleration-and-big-bowl-%E2%80%9Cspaghetti%E2%80%9D-code

Tielbild: Remote central locking“ by James086Own work. Licensed under GFDL via Wikimedia Commons.