[English]Bei Mercedes Benz hat es einen Sicherheitsvorfall gegeben. Ein Schweizer Ingenieur fand einen GitLab-Server, bei dem er ein Konto anlegen und dann auf den Quellcode der Onboard Logic Units (OLUs) zugreifen konnte. Diese OLUs sind in den neuen 'Smart Car'-Modellen der Mercedes-Benz Sprinter (Vito, eVito) eingebaut und ermöglichen digitale Dienste zu nutzen.
Anzeige
Mercedes-Benz: Digitalisierung im Transportsektor
Zuerst ein paar Worte zum Thema OLUs. Onboard Logic Units (OLUs) sind elektronische Steuereinheiten, die auch in Mercedes-Benz-Fahrzeugen (Smart Car) eingesetzt werden. Mercedes Benz VANS beschreibt deren Sinn im Projekt 'Digitalisierung im Transportsektor' in diesem Blog-Beitrag. Dort heißt es:
Die aktuelle Generation des Sprinter ist vor gut einem Jahren bereits als vollvernetztes Fahrzeug auf den Markt gekommen. Mit ihm – und inzwischen auch mit dem Vito und eVito – können die Mercedes PRO connect Dienste genutzt werden.
Die Vernetzungslösung von Mercedes-Benz ermöglicht den Kunden, online Aufträge zu steuern und Fahrzeuginformationen wie Standort, Tankfüllstand oder Wartungsintervalle nahezu in Echtzeit abzufragen. So können Speditionen unter anderem Ausfallzeiten durch ein vorausschauendes Wartungs- und Reparaturmanagement reduzieren. Gleichzeitig ermöglicht Mercedes-Benz auch eine betriebswirtschaftliche Analyse des Fuhrparks. Laut Blog-Beitrag nutzen Fuhrparkbetreiber vom Kleinstgewerbe bis hin zu Großkunden die Services von Mercedes PRO. Im Juli 2019 hatte fast jeder zweite Sprinter-Neukunde einen oder mehrere Dienste aktiviert.
Zugriff auf den Quellcode
Daimler speichert den Quellcode für die Software der Onboard Logic Units auf einem GitLab-Server, damit die Entwickler darauf zugreifen können.
A Swiss software engineer found the server using Google dorks and then registered an account — because Daimler didn't limit the registration process to Daimler corporate emails.
He then downloaded 580 of Daimler's OLU repos. pic.twitter.com/9oxbqS3PqT
— Catalin Cimpanu (@campuscodi) May 18, 2020
Anzeige
Offenbar ist den Daimler-Leuten dabei ein Fehler in der Absicherung des GitLab-Servers passiert. Tillie Kottmann ist ein Software-Entwickler aus der Schweiz. Über 'Google Dorks' stieß er auf den Daimler GitLab-Server und stellte fest, dass die Administratoren die Registrierung neuer Konten nicht auf E-Mail-Adressen von Daimler-Angestellten begrenzt hatten.
Nach seinen Angaben war er dadurch in der Lage, ein eigenes Konto beim Git-Web-Portal der Mercedes-Benz-Mutter Daimler anzulegen. Anschließend konnte er auf das Quellcode-Repository zugreifen. Dort fand er den Quellcode von mehr als 580 Git-Repositories, den er sich herunterlud.
Darunter war auch der Quellcode der der Onboard Logic Units (OLUs), die in den Fahrzeugen von Daimler verbaut werden. Die OLUs sollen die Fahrzeuge 'mit der Cloud' verbinden. Unter anderem geht es dabei um das Tracken von Fahrzeugen, oder das Deaktivieren eines gestohlenen Fahrzeugs. Ein englischsprachiger Beitrag von ZDNet findet sich hier. Es gibt inzwischen auch einen deutschsprachigen ZDNet-Beitrag zum Thema, wo sich weitere Informationen finden.
Wer mit der Cloud als Datenspeicher liebäugelt, setzt sich der Gefahr eines Datendiebstahls aus – denn die Cloud verzeiht keine Sicherheitsfehler. Erinnert mich an einen Spruch, der schon mehr als 10 Jahre alt ist. Bin nicht sicher, ob er von Google Manager Eric Schmidt oder Google Gründer Page stammt. Auf Vorwürfe gegen Google reagierte der Google-Repräsentant mit den Worte: 'Wenn Sie ihre Daten vor Google schützen möchten, speichern Sie diese am besten nie im Web oder auf Computern, da Google diese Information bekommt.
Anzeige
Könnte es sein, dass der Artikel die falschen Schlüsse zieht (bzw. falsche Schlüsse aus anderen Quellen übernimmt)? In dem verlinkten Blog sind verschiedene Connectivity- bzw. Digitalisierungs-Angebote von Mercedes Benz beschrieben. Die Serienlösung (Mercedes Pro) ist vermutlich in zigtausenden Fahrzeugen verbaut. Bei den anderem im Blog beschriebenen Lösungen (inklusive OLU) ist nur von ein paar hundert Fahrzeugen die Rede. Eine Aussage, dass Mercedes Pro auf der OLU basieren würde kann ich dem Blogeintrag nicht entnehmen.