Unter Verkehrstelematik versteht man die kombinierte Anwendung von Telekommunikationstechnik und Informatik zur Effizienzsteigerung von Verkehrs- und Transportsystemen. Ziele der Verkehrstelematik sind die bessere Organisation des Verkehrs und die umfassende Information der Verkehrsteilnehmer, um das Gesamtsystem "Verkehr" sicherer, effektiver und umweltverträglicher zu machen. Die mobilen Netzdienste, die zurzeit im Rahmen der Verkehrstelematik angedacht werden, gehen jedoch weit über Funktionen zum Verkehrsmanagement hinaus.
Neben den vorrangig verkehrsbezogenen Diensten, wie Verkehrs- und Flottenmanagement, Reiseinformationen, Navigationsdienste (Routenplanung, individuelle Zielführung, ...) usw. gibt es die eher fahrzeugbezogenen Dienste, wie Diebstahlschutz, Online-Diagnose und -Wartung, Notfallhilfe, Fahrerassistenz (von der Verkehrszeichenerkennung bis hin zum autonomen Fahren), Gefahrenwarnung (Straßenzustand oder Unfall bzw. Hindernis auf der Fahrbahn), Parkplatz-Info usw. Hinzu kommen jedoch auch "verkehrsfremde" personenbezogene Dienste, wie Mobile Office, E-Mail, Audio/Video-Konferenzen oder E-Commerce sowie die Gruppe der allgemeinen Dienste wie Informationsdienste (Wetter, Nachrichten, Sport, Börseninfos, ...), Entertainment (Spiele, Unterhaltung, Video-on-Demand, ...), Werbung, Veranstaltungshinweise usw.
Mögliche Verkehrstelematik-Dienste für den
individuellen Nutzer am Beispiel einer PKW-Fahrt von Paris nach
Frankfurt. Die Reiseplanung wird am heimischen PC
durchgeführt, während der Fahrt bekommt man Verkehrs- und
sonstige Informationen, kann E-Mails empfangen und verschicken.
Darüber hinaus stehen verkehrsbezogene Dienste wie
Verkehrsmanagement usw. zur Verfügung.
Randbedingungen in diesem Umfeld sind unter anderem die große zu erwartende Benutzerzahl, die unterschiedlichen Zugangspunkte (im Büro, im Fahrzeug, ...), ständige Verfügbarkeit (24 Std./7 Tage) bei einer hochgradig dynamischen räumlichen und zeitlichen Verteilung der Dienstezugriffe mit Spitzen während der Rush Hour und in Urlaubszeiten. Außerdem benötigt dieses breite Angebot mit unterschiedlichen Funktionalitäten eine Vielzahl unterschiedlicher Server und Informationsquellen: Content Owner besitzen Daten bzw. Informationen, die Content Provider (evtl. über einen Service Operator) dem Service-Provider zur Verfügung stellen.
Weitere Elemente im Szenario sind natürlich die Nutzer, die bereitgestellte Dienste entweder im Fahrzeug oder über Rechner im Festnetz (Fixed Device) verwenden. Die Dienste lassen sich direkt vom Service Provider oder mittels einer Dienstezentrale (Service Center) ansprechen. Das Fahrzeug kann mit einem oder mehreren Nutzern besetzt sein, die für das System verschiedene Rollen einnehmen: Fahrer, Beifahrer, Servicepersonal usw. Nutzer können Laptops, PDAs oder ähnliche Geräte (Portable Device) mitführen und damit oder über fahrzeugeigene Systeme an Telematikdiensten teilnehmen. Über eine allgemeine Kommunikations-Infrastruktur können sowohl Anwender als auch Fahrzeuge Verbindung zum Service Provider aufnehmen und Dienste nutzen. Das Fahrzeug kann zudem auch selbst Dienste bereitstellen (etwa Zugangsberechtigung, Integration von Portables, Relay-Funktion, Informationen für das Verkehrsmanagement usw.).
Komponenten im Verkehrstelematik-Szenario
Die prinzipiellen Bedrohungen und Gefahren im Bereich der Verkehrstelematik entsprechen den allgemeinen Risiken der Informations- und Kommunikationstechnik, insbesondere bei der Nutzung des Internets als Kommunikationsmedium. Dazu gehören unter anderem unberechtigte Zugriffe, Abhören von Kommunikation, Verursachen von Fehlfunktionen und das Abstreiten ein- oder abgehender Nachrichten. In Sachen Datenschutz ist insbesondere noch die Möglichkeit zur Profilbildung im Rahmen der Telematikdienste zu erwähnen (etwa bei dynamischer Streckenführung). Eine weitere Unterscheidung der Bedrohungen nach ihren Zielen erleichtert die Risikoabschätzung und Bestimmung adäquater Schutzmaßnahmen.
Unberechtigter Zugang/Zugriff: Die IT-Systeme (Server, Applikationen, Netzwerke) des Providers sind der Gefahr ausgesetzt, dass Eindringlinge über das Internet oder andere kommunikationstechnische Verbindungen zur Außenwelt gespeicherte vertrauliche Daten ausspähen und interne Abläufe verfolgen. Bedrohungen durch direkten physischen Zugriff wie Einbruch in Rechnerräume sind gleichfalls denkbar. Derartige Gefährdungen können aber auch von illoyalen Mitarbeitern ausgehen.
Störung der Funktionsfähigkeit/Verfügbarkeit: Bei unzulänglichem Schutz der IT-Systeme besteht die Gefahr der Verfälschung von Daten sowie der Beeinträchtigung von Angeboten. Physische Schäden können die Funktionsfähigkeit ebenfalls stören. Bei unzureichender Dimensionierung oder in Folge von Denial-of-Service-Angriffen kann Überlast auftreten.
Nachweis der Diensteanforderung und -erbringung: Der Kunde kann bei netzbasierter Diensteerbringung leicht bestreiten, dass der Provider seinen Auftrag erfüllt hat, dass die Leistung nicht den Vertragsbedingungen entspricht oder nicht angefordert wurde.
Verteilte Dienstezentralen: Da Telematikdienste häufig über große räumliche Entfernungen verfügbar sein müssen, sind für die Diensteerbringung mehrere Zentralen notwendig. Sollte eine davon ausfallen, kann die Erbringung des Telematikdienstes zeitlich verzögert oder womöglich gar nicht erfolgen. Um dies zu vermeiden, sind redundante Lösungen unbedingt erforderlich.
Verteilung auf mehrere Service-Provider: Lückenhafte vertragliche Regelungen zwischen den einzelnen Service-Providern können unter Umständen die Verfügbarkeit und/oder ordnungsgemäße Erbringung von Diensten beeinträchtigen. Ausfälle und mangelnde Verlässlichkeit können dann zu erheblichen Auswirkungen auf die Geschäftsfähigkeit führen.
Kenntnisnahme der Zugangskennung: Sollte ein Unberechtigter in den Besitz von Zugangskennungen gelangen, so sind missbräuchliche Nutzungen möglich.
Missbrauch personenbezogener Daten: Der Kunde muss sich sicher sein können, dass Daten bei Providern vor unzulässiger Einsichtnahme geschützt sind und nicht für andere Zwecke verwendet werden. Ein Bekanntwerden persönlicher Daten oder Gewohnheiten stellt je nach Sachverhalt eine Beeinträchtigung der Privatssphäre oder auch ein Risiko für das Geschäftsleben dar (Vorhersagbarkeit, Erpressung durch kompromittierende Daten usw.).
Langfristige Aufbewahrung der erhobenen Daten: Häufig werden bei der Nutzung von Telematikdiensten angefallene Daten (evtl. unzulässigerweise) auch über die Dauer des ursprünglichen Verarbeitungszweckes hinaus aufbewahrt. Das vergrößert letztlich die Gefahr der unberechtigten Verwertung.
Manipulationen: Manipulationen an der Telematikkomponente des Fahrzeugs (z.B. SIM-Karte) können unberechtigte Nutzung erlauben, insbesondere wenn solche Komponenten nicht fest und unzugänglich eingebaut sind.
Störung der Kommunikation/Verfügbarkeit: Für die Geschäftstätigkeit des Providers ist bei Telematikdiensten das Funktionieren der Kommunikationsverbindungen wesentlich. Ein längerer Ausfall kann zu empfindlichen Verlusten führen. Ursachen können physische Schäden an den Kommunikationskomponenten, Probleme der Netzbetreiber oder Überlastungen infolge unzureichender Kapazitäten oder gezielter Angriffe sein.
Verfälschung der gesendeten/empfangenen Informationen: Jeder Teilnehmer hat ein Interesse daran, dass die Informationen unverfälscht die Nutzer/Fahrer erreichen. Beispielsweise Notrufdienste sind nur dann sinnvoll nutzbar, wenn ihre Daten unverfälscht bei der Dienstezentrale und beim Fahrzeug ankommen. Aber auch die Verfälschung eines Zielortes bei der automatisierten Streckenführung kann unangenehme Auswirkungen haben, gerade im geschäftlichen Einsatz mit schwerwiegenden Folgen.
Wettbewerbsnachteile durch Abhören: Können Unbefugte Informationen mitlesen, so sind auch Einblicke in persönliche Kommunikation oder Geschäftsdaten möglich. Wird den Nutzern ein ungenügender Schutz der Daten bekannt, so wird sich das nachteilig auf das künftige Geschäftsvolumen auswirken.
Für Zugang zu Telematikdiensten sind Authentifikation und Identifikation des Nutzers vorzusehen. Beispielsweise könnte bereits der Besitz des Autoschlüssels zur Nutzung des Dienstes berechtigen; es ist aber auch möglich, die Telematikdienste erst nach Eingabe einer Nutzerkennung und einer PIN freizugeben, um zusätzliche Sicherheit zu erreichen. Eine Autorisierungszentrale könnte jeweils Telematikdienste freischalten, sobald der Nutzer oder Käufer eines Fahrzeugs einen entsprechenden Nutzungsvertrag abgeschlossen hat. Zudem sind Verfügbarkeit, Vertraulichkeit und Verbindlichkeit der Telematikkommunikation sicherzustellen.
Beim Einsatz von Verschlüsselung als der vorrangigen Sicherheitsmaßnahme zur Gewährleistung von Vertraulichkeit ist der Schwerpunkt des jeweiligen Telematikdienstes zu berücksichtigen. Bei fahrzeugbezogenen Diensten ist der Schlüssel an das Auto über die installierte Kommunikationsplattform (etwa per SIM-Karte) zu binden, bei personenbezogenen Diensten wie E-Mail an den Fahrer oder Fahrzeughalter. In beiden Fällen ist der Aufbau beziehungsweise die Nutzung einer Public Key Infrastructure (PKI) notwendig, die bei in Europa verkauften Fahrzeugen den gesamten Kontinent abdecken müsste. Umfangreiche Prozesse zur Deaktivierung, Löschung und Neuvergabe von Schlüsseln bei Verkauf und Weiterverkauf von Fahrzeugen wären zu implementieren.
Der Aspekt der Verbindlichkeit gewinnt an Bedeutung, wenn personenbezogene Verkehrstelematikdienste wie E-Mail oder WWW im Fahrzeug verbrauchsabhängig berechnet werden sollen, anstatt sie wie fahrzeugbezogene Dienste (beispielsweise TeleAid/Notruf) über einen zeitlich begrenzten Vertrag mit unbegrenzter Nutzung zu verkaufen. Auch "Verbindlichkeits-Dienste" setzen, da sie auf kryptographischen Verfahren beruhen, eine PKI voraus.
----------Anfang Textkasten----------
Ein Beispiel für einen automatisierten Telematik-Dienst ist der TeleAid/Notruf. Im Falle eines Unfalls erfolgt von der Fahrzeugkomponente über den Service-Provider eine automatische Alarmierung der zuständigen Polizei-Einsatzleitzentrale. Dabei werden die aktuelle Position sowie mehrere vorherige Positionen des Fahrzeugs, der Notruftyp, die Schwere des Unfalls, die Telefonnummer des Fahrzeugs und die Uhrzeit übermittelt. Bei Bedarf kann der Kunde die zuständige Einsatzleitzentrale auch manuell über den Service-Provider alarmieren.
Im weiteren Prozess initiiert eine Dienstezentrale des Service-Providers den Aufbau einer Sprachverbindung vom Fahrzeug zur Einsatzleitzentrale der Polizei. Entsprechend der Schwere des Unfalls leitet diese gegebenenfalls die notwendigen Hilfsmaßnahmen ein.
Für eine datenschutzgerechte und sichere Gestaltung des TeleAid-Dienstes wurden folgende Sicherheitsmaßnahmen ergriffen:
----------Ende Textkasten----------
Die in Betracht kommenden Methoden und Mechanismen sollten schon aus Gründen des Aufwands weitgehend dieselben sein, die sich im Internet mehr und mehr durchsetzen oder sich bereits an anderer Stelle bewährt haben. Dies gilt um so mehr, da Verkehrstelematiksdienste Internet-basierte Anwendungen immer mehr integrieren.
Ein kundenorientierter Betrieb sollte auch bedenken, dass der Sicherheitsbedarf von Benutzern sehr unterschiedlich sein kann. So kann es neben Kunden, für die strikte Vertraulichkeit höchste Priorität hat, andere geben, die für günstige Tarife die Weitergabe ihrer Daten zu Werbezwecken in Kauf nehmen. Die Transparenz der angebotenen bzw. bereitgestellten Datenschutzmaßnahmen stellt eine kundenfreundliche und wettbewerbsfördernde Lösung dar.
In der Diskussion um datenschutzfreundliche Technologien steht jedenfalls das Prinzip der Datensparsamkeit ganz obenan (so auch im Teledienstedatenschutzgesetz TDDSG § 3, Abs. 4). Es besagt, dass so wenig wie möglich personenbezogene Daten überhaupt erhoben werden; wenn möglich gar keine, ansonsten jedenfalls nur diejenigen, die zur Erfüllung des jeweiligen Telematikdienstes unbedingt erforderlich sind. Zur Gewährleistung von Datensparsamkeit sind auch Pseudonymisierungsverfahren hilfreich.
Eine kundenfreundliche Gestaltung von Telematik-Diensten sollte außerdem eine ausreichende Transparenz für den Kunden im Hinblick auf seine gespeicherten Daten sicherstellen, zumal sowohl § 34 Bundesdatenschutzgesetz (BDSG) wie auch § 7 TDDSG ein Auskunftsrecht ausdrücklich vorsehen. Kundenfreundlichkeit erfordert weiterhin schon bei Vertragsabschluss eine ausführliche Information des Telematik-Nutzers darüber, welche Daten erhoben werden sowie wer diese wann, wie und wozu verarbeitet. Eine Weitergabe an Dritte ist letztlich auch bei Telematik-Diensten nur mit Einwilligung des Nutzers zulässig.
Da häufig die Rollen Fahrzeughalter, Fahrer und Nutzer des Telematik-Dienstes kongruent sind, können auch Nutzungsdaten, die primär fahrzeugbezogen sind, Rückschlüsse auf das Verhalten des Fahrers bieten (etwa "immer donnerstags Fahrt nach Heidelberg") und damit die Grundlage für eine Profilbildung bilden. Datenschutzrechtlich ist eine solche Profilbildung nur bei Verwendung von Pseudonymen zulässig (TDDSG § 4 Abs. 4). Aufgrund dessen sollte der Telematik-Dienst so gestaltet sein, dass die Erhebung von personenbezogenen Daten und fahrzeugbezogenen Nutzungsdaten getrennt erfolgt und eine Zuordnung höchstens temporär zu Abrechnungszwecken geschieht.
Um einen unverhältnismäßigen Eingriff in die Privatssphäre des Nutzers von Telematik-Diensten zu verhindern, sollten Dienste, die auch durch die Zentrale aktivierbar sind, grundsätzlich nur nach expliziter Einwilligung oder Aktivierung des Nutzers erlaubt sein (zum Beispiel Tracking im Diebstahlsfall, Taxi-Notruf).
Ein dauerhafter, erfolgreicher Betrieb von Verkehrstelematikdiensten ist nur zu erwarten, wenn die konzipierten Sicherheitsmechanismen und Datenschutzregelungen sowohl den Schutzbedürfnissen der Kunden wie auch der Betreiber genügen. In weiten Bereichen gelten dabei ähnliche Anforderungen wie bei E-Commerce im Internet. Insbesondere müssen grundsätzlich alle Schutzmaßnahmen unter der Voraussetzung des Datentransfers in unsicheren Netzen konzipiert werden. Auch die Absicherung der verschiedenen Vertragspartner gegeneinander ist nicht zu vernachlässigen. Zusätzlich ist die Problematik unterschiedlicher juristischer Gegebenheiten bei grenzüberschreitenden Aktivitäten von Bedeutung. Hier sollte man von vornherein europäische Richtlinien oder internationale Absprachen beachten.
Dr. Albert Held arbeitet im Bereich Forschung und Technologie/Telematik bei DaimlerChrysler. Joachim Schlette ist im Bereich Datenschutz bei DaimlerChrysler tätig.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2000, Seite 10
