Dominik Herrmann🧵 ForDaySec 3/3. Bereich C: Governance. Technik allein löst keine Sicherheitsprobleme. Im Bereich C haben Informatik, Rechtswissenschaft und Techniksoziologie gemeinsam gearbeitet – das ist das, was ForDaySec von den meisten IT-Sicherheitsprojekten unterscheidet. Heute Abend stellen wir alles in München vor.
Felix Freiling, Zinaida Benenson und Team: Datenschutzanalyse app-gestützter IoT-Geräte. Das Team hat per Reverse Engineering auf Platinen von Amazon-Geräten (Echo Show 15, Fire TV) undokumentierte Testpunkte gefunden und darüber Zugriff auf lokale und Cloud-Daten erlangt – ohne das Gerät zu beschädigen. 16 Smartrelais untersucht: bei 10 waren Replay-Angriffe möglich, 7 sendeten unverschlüsselt, 3 übermittelten WLAN-Zugangsdaten an den Hersteller. Best Student Paper Award bei der DFRWS 2024.
Thomas Riehm und Team (Uni Passau): Updatepflicht und -berechtigung.
Wer muss Updates liefern – Hersteller oder Händler? Darf ein Hersteller ein Gerät per Fernwartung drosseln? C07 hat aus dem BGB eine "smarte Produktbeobachtungspflicht" abgeleitet: Hersteller müssen Gerätedaten zum Gefahrenmonitoring nutzen und stufenweise reagieren – von Warnung über Sicherheitsupdate bis hin zur Zwangsdeaktivierung. Ergebnisse wurden in der Rechtspraxis bereits aufgegriffen (u.a. OLG Wien).
Wer muss Updates liefern – Hersteller oder Händler? Darf ein Hersteller ein Gerät per Fernwartung drosseln? C07 hat aus dem BGB eine "smarte Produktbeobachtungspflicht" abgeleitet: Hersteller müssen Gerätedaten zum Gefahrenmonitoring nutzen und stufenweise reagieren – von Warnung über Sicherheitsupdate bis hin zur Zwangsdeaktivierung. Ergebnisse wurden in der Rechtspraxis bereits aufgegriffen (u.a. OLG Wien).