02.11.2016

PTB geprüft und doch gehackt - das Märchen der Unfehlbarkeit

Am 15. September 2016 zeigte die Firma Kaspersky, dass sie in ganz Deutschland über das Internet auf die Live-Bilder von Geschwindigkeitskameras zugreifen kann. Doch damit nicht genug. Die PTB-geprüften „Blitzer“ können sogar bequem von zu Hause umprogrammiert werden – mit weitreichenden Folgen.

Der Kaspersky Artikel beschäftigt sich generell mit informationstechnischen Problemen der „Smart City“. Im Rahmen der Recherchen wurden willkürlich auch IP-Adressen von Geschwindigkeitskameras entdeckt. Eine gezielte Recherche ergab, dass eine Vielzahl von „Blitzern“ offen und unverschlüsselt im Internet erreichbar ist. Somit können sie auch über das Internet beeinflusst werden. Der Artikel nennt exemplarisch das selektive Abschalten der gesamten Überwachung und einzelner Fahrspuren als Beispiele für Veränderungen, die bequem von zu Hause durchgeführt werden können.

Sind die PTB-geprüften Geräte also doch nicht sicher? Würde man die PTB selbst hierzu befragen wäre die Antwort sicherlich, dass der sichere Betrieb der Messgeräte der Verantwortung der Behörden obliegt, die die Messgeräte einsetzen. Dies sei nicht Teil der Prüfung. 

Oberflächlich betrachtet erscheint diese Argumentation schlüssig. Bei genauerem Hinsehen drängt sich jedoch die Frage auf, was genau die PTB bei Messgeräten eigentlich überprüft. Die VUT hat genau diese Frage in der Vergangenheit mehrfach gestellt. Die Antworten waren erschreckend: Prüfprotokolle hält man für überflüssig, IT-Sicherheit wird bestenfalls stichprobenartig untersucht und Informationen über den genauen Umfang von Prüfungen werden ohnehin nicht herausgegeben, um die Geschäftsgeheimnisse der Hersteller zu schützen.

Dennoch wird der Begriff PTB-geprüft landläufig mit „sicher“ und „korrekt“ gleichgesetzt. Selbst vor Gericht ist die Tatsache, dass Geschwindigkeitsmessgeräte von der PTB geprüft und zugelassen sind, häufig das entscheidende Argument, das zur Verurteilung führt. Die PTB selbst setzt alles daran diesen Nimbus der Unfehlbarkeit aufrechtzuerhalten, nutzt sie ihn doch, um kritische Diskussionen, beispielsweise zur Messwertbildung, im Keim zu ersticken.

Angesichts dieses Gegensatzes zwischen gewahrtem Schein und Wirklichkeit entfaltet der Artikel von Kaspersky seine ganze Tragweite. Er zeigt in aller Deutlichkeit, dass eine Prüfung eines Messgeräts durch die PTB, insbesondere im Hinblick auf die Informationssicherheit, mit dem Begriff „sicher“ nicht das Geringste zu tun hat. Aus einer PTB-Prüfung lässt sich nicht ableiten, dass das Messgerät sicher verwendet werden kann.

Das Gegenteil ist der Fall: Durch die blinde Obrigkeitshörigkeit gegenüber der PTB, die von Behörden, vielen Sachverständigen und sogar Gerichten zelebriert wird, gelangen Live-Bilder von Geschwindigkeitsmessgeräten ungeschützt und für jeden zugänglich ins Internet. Welche Möglichkeiten zur Manipulation dies bietet, wurde auch im Artikel von Kaspersky nur angedeutet. Hinsichtlich der hoffnungslos veralteten Hard- und Software, die bei „Blitzern“ zum Einsatz kommt, muss vom Schlimmsten ausgegangen werden.

In der Konsequenz muss die Frage nach der Manipulierbarkeit von Falldateien neu bewertet werden. Eine pauschale Betrachtung im Sinne eines standardisierten Verfahrens scheint unmöglich zu sein, muss doch nun in jedem Einzelfall überprüft werden, ob das Messgerät ungeschützt im Internet war. Die von Gerichten und anderen Sachverständigen gerne aufgeworfene Frage, wer denn überhaupt Gelegenheit gehabt haben soll, Zugang zur Messdatei zu Erlangen und diese zu manipulieren, muss im Zweifelsfall mit „Jeder“ beantwortet werden. Das bewährte Argument des PTB-geprüften Messgeräts letztlich gehört in die Märchenstunde, und nicht mehr in eine Verhandlung.