Tachofälschungen adé - dank Blockchains

TACHOFÄLSCHUNGEN ADÉ - DANK
BLOCKCHAINS
Datum:
20.06.2016
Autor:
Dr. Thomas Kaltofen
Firma:
faizod, Dresden
Kontakt:
Website:
[email protected]
www.faizod.com
Inhalt
Problem .................................................................................................................................................................................................... 3
Lösung ....................................................................................................................................................................................................... 3
Blockchain einfach ..................................................................................................................................................................... 3
Blockchain technisch ............................................................................................................................................................... 3
Wichtige Begriffe rund um Blockchain ............................................................................................................... 4
Wie kommt in dem Szenario eine Blockchain zum Einsatz? ................................................................... 5
Wie funktioniert das Ganze praktisch? ................................................................................................................ 5
Derzeitige Bemühungen zur Eindämmung von Tachometer-Manipulationen /4/ und
deren falsche Ansätze ...................................................................................................................................................... 6
Rechtliche Hindernisse..................................................................................................................................................... 6
Annahme ............................................................................................................................................................................................ 7
Rechnung .......................................................................................................................................................................................... 7
Zusammenfassung .......................................................................................................................................................................... 7
Referenzen ............................................................................................................................................................................................. 8
Impressum.............................................................................................................................................................................................. 9
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
2
Problem
Das Manipulieren von Tachoständen bei Autos ist ein großes Ärgernis und erfüllt in
Deutschland den Tatbestand des Betruges. Der daraus resultierende wirtschaftliche
Schaden ist enorm. Schätzungen des TÜV Rheinland zu Folge kann man davon ausgehen, dass ein Drittel der in Deutschland verkauften Gebrauchtwagen manipulierte Kilometerzähler haben /1, 2/. So entsteht bei einem Kauf eines Gebrauchtfahrzeugs für den
Käufer im Schnitt ein Schaden in Höhe von 3.000 Euro. Pro Jahr summiert sich der Schaden auf ca. 6 Mrd. Euro /3/. Entsprechend groß ist die Skepsis der Kunden: Mehr als 60
Prozent misstrauen Händlern und privaten Verkäufern. Jeder Dritte steht sogar Markenhändlern skeptisch gegenüber /2/.
Früher erforderte das Manipulieren eines Auto-Tachos noch viel Fingerspitzengefühl und
dosierte Muskelkraft. Heute ist das Fälschen von Tachos beim Vorhandensein der entsprechenden Computer-Technik sehr einfach und schnell erledigt. So wurde beispielsweise von der Polizei in München im Jahr 2011 ein Auto mit einer Laufleistung von
700.000 Kilometern sichergestellt, dessen Tacho auf 150.000 Kilometer zurückgestellt
worden war /1/.
Lösung
Ein Ansatz, um diese Betrügereien zu verhindern, ist es, die Kilometerstände aller Kraftfahrzeuge in eine manipulationssichere Datenbank zu schreiben. Eine solche Datenbanktechnologie besteht bereits in Form von Blockchains. Mit einer Blockchain könnten solche Betrügereien sehr einfach und komplett verhindert werden. Dadurch würde sich die
Grundlage für eine ganze Betrugsbranche schlagartig in Luft auflösen und diese vom
Markt verdrängt werden.
Blockchain einfach
Eine Blockchain ist eine Datenbank mit zwei elementaren Eigenschaften. Zum einen kann
sie aufgrund eines sehr aufwendigen Verschlüsselungsverfahrens als manipulationssicher angesehen werden. Zum zweiten sind Kopien der Datenbank im gesamten Internet
verteilt, die alle manipuliert werden müssten, um erfolgreich einen Datenbankeintrag zu
fälschen. Mit der heutigen Rechentechnik müssten dadurch Milliardensummen investiert
werden, um nur einen einzigen Tachostand nachträglich anzupassen.
Blockchain technisch
Blockchain ist eine Technik zum Speichern von Daten. Ein Blockchain kann man sich als
Kette von Datenblöcken vorstellen. Dabei werden nicht – wie auf einer konventionellen
Datenbank – die Daten zentral auf einen Server gespeichert /8/.
Johannes Kuhn gibt in der Süddeutschen Zeitung eine eingängige und kurze Definition
/7/:
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
3
„Die Blockchain ist ein digitaler Kontoauszug für Transaktionen zwischen Computern, der
jede Veränderung genau erfasst, sie dezentral und transparent auf viele Rechner verteilt
speichert. Damit ist die Information nicht (oder nur mit ungeheurem Aufwand) manipulierbar
und verifiziert.“
Das Prinzip von Blockchain lautet: „Logisch zentralisiert, organisatorisch dezentralisiert“
/1/. Vom Prinzip ist eine Blockchain eine dezentrale Datenbank, die eine stetig wachsende Liste von Transaktionsdatensätzen vorhält. Die Datenbank wird chronologisch linear erweitert, vergleichbar einer Kette, der am unteren Ende ständig neue Elemente
hinzugefügt werden (daher auch der Begriff "Blockchain" = "Blockkette"). Ist ein Block
vollständig, wird der nächste erzeugt /9/.
Wichtige Begriffe rund um Blockchain
Transaktion: Bezeichnet den Inhalt, den man in einer Blockchain speichern will. Diese
Transaktionen erzeugen die Beteiligten am System. Sie können entweder den gesamten
Inhalt, wie beispielsweise eine Finanztransaktion, oder nur einen Verweis auf andere Informationen wie bei umfangreichen Smart Contracts, darstellen.
Blöcke: Transaktionen werden in Blöcken zusammengefasst, die kryptographisch vor
Veränderungen geschützt sind. Das Mining erzeugt Blöcke, die im Fall der BitCoin Blockchain und der meisten anderen aktuellen Implementierungen mit einem als „Proof of
Work“ bezeichneten Verfahren arbeiten.
Verteilung und Dezentralisierung: Ein wichtiges Charakteristikum der Blockchain ist die
verteilte Natur der Systeme, bei denen jeder Knoten im System zumindest einen Teil der
Blockchain als Kopie hält. Änderungen lassen sich in verschiedenen Knoten durchführen
und anschließend werden sie an das zentrale System gemeldet.
Mining: Das Mining ist ein Dienst, der dafür sorgt, dass eine Blockchain konsistent, vollständig und nicht oder kaum veränderbar ist. Dazu fasst er kontinuierlich die neuen
Transaktionen in Gruppen zusammen, die jeweils einen Block darstellen. Dieser enthält
zudem Informationen die ihn mit dem vorangegangenen Block verknüpft. Daraus entsteht die Kette von Blöcken, respektive die Blockchain.
Proof of Work: Beim Proof of Work müssen die Miner eine als „Nonce“ bezeichnete Zahl
finden, bei der der Hash des Blockinhaltes zusammen mit den Nonce kleiner als das sogenannte „Difficult Target“ des Netzwerkes ist. Der Begriff Nonce ist an das englische
angelehnt und bedeutet „number used once“. Nonce sind Zahlen- oder Buchstabenkombination, die im jeweiligen Kontext nur ein einziges Mal verwendet werden. Dieses
Ziel passt das System regelmäßig nach einer bestimmten Zahl von Blöcken an. Das Ziel
ist es, ca. alle zehn Minuten einen neuen Block zu erhalten.
Belohnung: Die Belohnung (Reward) sind – zumindest in öffentlichen, anonymen Implementierungen von Blockchains – erforderlich und sollen die beteiligten Stellen dazu motivieren, die rechenintensive Aufgabe des Minings zu übernehmen. Dafür belohnt zum
Beispiel das BitCoin-System den erfolgreichen Miner mit neu erzeugten BitCoins.
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
4
Bestätigung: Die Bestätigung (Confirmation) sind keine Bestätigungen im eigentlichen
Sinn. Vielmehr bezeichnet der Begriff die Anzahl von Blöcken, einschließlich desjenigen
mit einer bestimmten Transaktion, die der Blockchain hinzugefügt wurden. Um das Risiko
von Missbrauch zu reduzieren, können beispielsweise die Empfänger von BitCoinZahlungen ein oder mehrere Bestätigungen abwarten. Je mehr Blöcke man abwartet,
desto länger dauert die Bestätigung.
Die Begriffe wurden in Anlehnung an /6/ entnommen.
Wie kommt in dem Szenario eine Blockchain zum Einsatz?
Egal welche Hindernisse sich Automobilhersteller für die sichere Ablage der Laufleistung
innerhalb des Bordcomputers einfallen lassen. Es wird sich immer ein Weg finden lassen,
diese Mechanismen respektive zu umgehen. Grundproblem: Wenn auf einem System
eine Verschlüsselung stattfindet und gleichzeitig zum Auslesen eine Entschlüsselung
notwendig ist, ist innerhalb des gleichen Systems der gesamte Verschlüsselungs- und
Entschlüsselungsprozess vorhanden und kann durch einen Angreifer viel einfacher kompromittiert werden als wenn die Entschlüsselung auf einem zweiten System verteilt ist.
Allein wenn das System (z. B. der Boardcomputer) ausgetauscht wird und die Laufleistung durch ein Werkstatt neu gesetzt wird, ergibt sich dabei im gleichen Zug ein Angriffsvektor.
Werden diese Daten außerhalb des Fahrzeugs gespeichert wird eine Manipulation schon
weitaus schwieriger. Für einen solchen Einsatz ist die fälschungssichere BlockchainTechnologie geradezu prädestiniert.
Wie funktioniert das Ganze praktisch?
Mit Hilfe der aufkommenden Fahrzeug-Vernetzung schreibt jedes Fahrzeug regelmäßig
seinen aktuellen Kilometerstand unter seiner Fahrzeug-Identifikationsnummer (FIN) in
eine dezentrale Datenbank. Denkbar wäre ein Eintrag pro Woche. Die Übermittlung der
Daten können mittels einer an Bord befindlichen SIM-Karte realisiert werden. Wird ein
Fahrzeug verkauft, kann der Käufer den letzten Eintrag in der Datenbank prüfen. Der aktuelle Kilometerstand des Fahrzeugs kann dann nur größer gleich dem Eintrag in der
Datenbank sein. Der Versuch einer Manipulation der Datenbank würde einen enormen
finanziellen Aufwand bedeuten, dem eine vermeintliche Wertsteigerung von nur wenigen 1.000 Euro entgegen steht. Mittlerweile senden Fahrzeuge so viele Informationen an
die Fahrzeug-Hersteller, dass die Übertragung der wenigen Informationen zur Laufleistung vorerst in der Theorie ignoriert werden kann.
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
5
Derzeitige Bemühungen zur Eindämmung von Tachometer-Manipulationen /4/ und
deren falsche Ansätze

Der ADAC fordert von den Autoherstellern, die Tachomanipulation durch Werkstätten, Autohändlern oder Dienstleistern auf technischem Wege zu verhindern.
Einschätzung: Wie bereits erwähnt, ist die Onbord Lösung für die Speicherung der Kilometerstände per se unsicher. Geschlossene Systeme leben von Geheimnissen. In der IT
werden solche Systeme als "Security through obscurity" (Sicherheit durch Geheimniskrämerei) bezeichnet. Dieser Ansatz entspricht dem Tür-Schlüssel unter der Fußmatte.
Sobald ein Geheimnisträger sein Geheimnis preisgibt, ist die gesamte Verschlüsselung
hinfällig.

Der AvD fordert dagegen eine Datenbanklösung, bei der zu jedem Auto unveränderbare Kilometerstände dokumentiert werden.
Einschätzung: Kommt einer Blockchain nahe, wird diese aber von einem einzelnen Unternehmen betrieben, würde die Hoheit darüber einer nicht unbedingt vertrauenswürdigen Drittpartei übergeben.

Die Kraftfahrzeug-Überwachungsorganisation freiberuflicher Kfz-Sachverständiger
(KÜS) präferiert eine Datenbanklösung in Kombination mit dem Einsatz eines TachoSpions – ein Gerät, das mittels Ultraschall-Technik und einer speziellen Software den
Verschleißgrad von Motoren ermittelt und so Rückschlüsse auf die Genauigkeit des
Tachostands zulässt.
Einschätzung: Dieser Ansatz ist vergleichbar der Glaskugel-Befragungstechnik. Ob aus
einer Ultraschallmessung valide Daten über den Kilometerstand zu gewinnen sind, ist
mehr als unwahrscheinlich. Hierfür müssten erst umfangreiche Versuchsreihen durchgeführt werden. Stellen Sie sich mal vor, Sie sind mit dem Fahrzeug nur 50.000 km gefahren, die Untersuchung kommt aber zu dem Schluss, dass das Auto einem Zustand von
100.000 km entspricht. Viel Erfolg bei einer Regressforderung gegenüber dem Hersteller.
Rechtliche Hindernisse
In Deutschland ist die Einführung eines amtlichen Autolebenslaufs unter den gesetzlichen Gegebenheiten eine kleine Herausforderung. Ein Fakt ist, dass die FahrzeugIdentifikationsnummer (FIN) unter den Datenschutz fällt /3/. Zur Umgehung dieses Hindernisses unter Einhaltung der rechtlichen Vorgaben bieten sich sogenannte CryptoHash-Funktionen (Einwegfunktionen zur Verschlüsselung) an. Deren Ergebnis lässt keinen Rückschluss auf den Ausgangswert zu. Eine mögliche Lösung dafür wäre z. B. pro
Eintrag die FIN und einen nicht öffentlich einsehbaren Schlüssel zur Generierung des
Hashwertes zu verwenden. Der eindeutige Schlüssel könnte bei der erstmaligen Registrierung eines Fahrzeugs in der Datenbank erzeugt werden. Wie aufwendig die Rückrechnung aus dem Hashwert auf eine konkrete FIN ist, zeigt nachfolgendes Rechenbeispiel:
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
6
Annahme
Als Hashfunktion wird SHA-256 /5/ verwendet, der Eingabewert besteht aus wenigstens
200 Zeichen, pro Zeichen kann aus einem Zeichenpool von nur 20 geschöpft werden (es
wären ohne Probleme 256 Zeichen möglich).
Rechnung
20200 ergäbe ungefähr 10260 Kombinationen. Um eine Kombination zurückzurechnen wären somit 10260 Probehashes eines Angreifers notwendig. 1015 Probehashes kosten bei
den aktuellen Energiekosten - selbst in China - ca. 1 Euro, somit benötigt man noch 10201
Euro um alle möglichen Eingabewerte geprüft zu haben. Zum Vergleich: Eine Milliarde
Euro = 109.
Wenn eine Rückrechnung gelänge hätte man nur die FIN sowie den Schlüssel eines
Fahrzeugs! Wöllte man jetzt die Historie eines Fahrzeugs innerhalb der Datenbank manipulieren wollen, müsste bedingt durch die Technologie die letzte Rechnung nochmals
mehrere Millionen Mal ausgeführt werden.
Zusammenfassung
Durch die Idee einer Blockchain-basierten Tachometer-Datenbank könnte mit überschaubaren Mitteln rechtssicher die Laufleistung aller weltweit existierenden Fahrzeuge
manipulationssicher aufgezeichnet werden. Die Kraftfahrzeuge würden wöchentlich ihre
jeweiligen Kilometer in die Blockchain-Datenbank schreiben. Durch die sehr vielen Teilnehmer an dem Projekt und des daraus extrem hohen Verteilungsgrades der Datenbank
im Internet in Verbindung mit der extrem hohen Manipulationssicherheit der Technik an
sich, würden jeglichen Tachometer-Manipulationen unwirtschaftlich werden. Es wäre zu
hoffen, dass der Gesetzgeber das Potential der Blockchain-basierten TachometerAufzeichnungen erkennt und eine Umsetzung anstrebt.
Übrigens: Wird einem bestehenden Geschäftsmodel durch Vernetzung die Daseinsberechtigung entzogen spricht mach von Disruption. Der digitalen Disruption unterliegen
aktuell ein Großteil erfolgreicher Geschäftsmodelle.
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
7
Referenzen
/1/ http://www.faz.net/aktuell/gesellschaft/kriminalitaet/tuev-rheinland-immer-mehrtachos-manipuliert-13870685.html
/2/ http://www.bild.de/auto/auto-news/auto-news/betrug-gebrauchtwagen-studieneu-tuev-rheinland-43104864.bild.html
/3/ http://www.autobild.de/artikel/tachomanipulation-4432648.html
/4/ http://www.autobild.de/artikel/tachomanipulation-1600275.html
/5/ https://en.wikipedia.org/wiki/SHA-2
/6/ Zeitschrift iX, Juni 2016, erstellt von Martin Kuppinger, Seite 44
/7/ http://www.sueddeutsche.de/digital/blockchain-prinzip-erst-bitcoin-dann-diewelt-1.2272735
/8/ http://www.brandeins.de/archiv/2016/wir/BitCoin-blockchain-don-tapscottinterview/
/9/ http://www.computerwoche.de/a/blockchain-was-ist-das,3227284
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
8
Impressum
faizod GmbH & Co. KG
Großenhainer Str. 101
01127 Dresden
Deutschland
Telefon: +49.351.287082-20
Fax:
+49.351. 351.287082-21
Mail:
Web:
[email protected]
www.faizod.com
Registernummer:
Registergericht:
Geschäftsführer:
HRA 8484
Amtsgericht Dresden
Torsten Stein
Die faizod ist ein Lösungs- und Serviceanbieter rund um moderne EnterpriseSoftwarelösungen sowie Internet of Things (IoT) und Blockchain. Professionalität, Effektivität und Innovation zählen seit jeher zu den Kernkompetenzen der faizod bei Softwareprojekten jeder Größe und Branche.
Unsere Mission: Unternehmen unterschiedlichster Größe und aus verschiedensten Sektoren dabei helfen, mehr zu erreichen!
Unsere Vision: Softwareentwicklung auf einem Top-Level zu halten!
Die faizod ist einer der Innovationsführer für Enterprise-Solutions. Unsere Anwendungen
und Services unterstützen Kunden weltweit und helfen, ihr Geschäft profitabel zu betreiben, sich kontinuierlich anzupassen und nachhaltig zu wachsen.
Publiziert durch
R & D faizod, Dresden, Dr. Thomas Kaltofen
9

Download Report