INFORMATIONEN

Datenschutzrisiken im Internet der Dinge

Das „Internet der Dinge“ ist definiert als ein Netzwerk von physischen und virtuellen Gegenständen, die sowohl mit Menschen als auch untereinander kommunizieren. Alexa von Amazon ist ein bekanntes Beispiel für ein IoT-Gadget. In diesem Artikel erfahren Sie, was diese Technologien für die Datensicherheit bedeuten.

Das Internet der Dinge (Internet of Things, IoT) bedeutet eine Abkehr vom traditionellen PC hin zu einer „intelligenten“ physischen Umgebung mit angeschlossenen Geräten, die dank künstlicher Intelligenz selbständig lernen und Aktivitäten ausführen können.

Solche Technologien haben zwar das Potenzial, unser Leben zu vereinfachen, wie z. B. das Heizen unserer Wohnung mit unserem Smartphone auf dem Weg nach Hause oder das Starten unserer Musikwiedergabeliste mit einem Sprachbefehl, aber wir sollten uns bewusst sein, dass jedes dieser Geräte Daten über uns sammelt (wie z. B. Amazons Alexa im Extrembeispiel). Außerdem wird unser persönlicher Raum immer stärker mit dem Internet verflochten, so dass eine klare Grenze wahrscheinlich unmöglich wird.

Risiken für die Datensicherheit im Internet der Dinge

Welche Datenschutzbedenken und -probleme wirft das Internet der Dinge derzeit auf?

  • Feststellung, wer für das Datenschutzrecht zuständig ist: Für den Datenschutz könnte zum Beispiel der Hersteller, der Geräteverleih oder der Drittanbieter zuständig sein. Die Zustimmung des Nutzers zur Übermittlung seiner Daten oder eine andere Rechtsgrundlage ist erforderlich, sobald ein Dritter beteiligt ist.
  • IT-Sicherheitszertifizierung für IoT-Geräte: Das Hauptproblem dabei ist, dass IoT-Geräte regelmäßig aktualisiert werden müssen. Der Zustand der IT-Sicherheit kann sich jedoch mit jeder Aktualisierung ändern, so dass es schwierig ist, eine langfristige Aussage über die Sicherheit eines Geräts zu treffen.
  • Intransparenter Datenfluss und unzureichende Information der Nutzer: Die Nutzer wurden nicht ausreichend darüber informiert, welche Daten gesammelt werden, wer Zugang zu ihnen hat und wo oder wie lange sie gespeichert werden.
  • Kein Recht auf Widerspruch: Derzeit gibt es keine Möglichkeit, der Datenverarbeitung zu widersprechen. Technisch gesehen werden die Geräte ohne Datenerfassung nicht funktionieren können. Bislang bieten IoT-Geräte jedoch keine Alternativen zur Einschränkung der Datenerfassung.
  • Unzureichende Verschlüsselung: Laut einer Gemalto-Umfrage verschlüsseln nur 59 % der IoT-Organisationen alle Daten, die von ihren Geräten erfasst und zur Analyse verwendet werden. Unverschlüsselte Daten können leicht gelesen werden, wenn sie in die Hände von Unbefugten fallen.
  • Laut einem Bericht von Infoblox stellt die dramatische Zunahme von IoT-Geräten in Unternehmensnetzwerken, zusätzlich zu privaten Endgeräten, eine große Sicherheitsbedrohung dar. Unternehmen sollten daher den Überblick über die von ihnen eingesetzten technischen Gadgets behalten und ihre Nutzung des Internets der Dinge kritisch analysieren.
  • Artikel 35 der Datenschutz-Grundverordnung verlangt eine Datenschutz-Folgenabschätzung (DFA), die das Internet der Dinge möglicherweise erfüllen kann. Wenn die Verarbeitung personenbezogener Daten aufgrund der Art, des Umfangs, der Umstände oder der Zwecke der Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss der für die Verarbeitung Verantwortliche eine Datenschutz-Folgenabschätzung durchführen. Eine Beurteilung durch einen Außenstehenden, wie weit etwas fortgeschritten ist, ist unmöglich.

    IoT-Geräte-Sicherheitsanforderungen

    Aufgrund dieser Probleme haben das Europäische Komitee für Normung, die britische Regierung und der Digital Guardian erstmals Sicherheitsrichtlinien für IoT-Geräte entwickelt, die sowohl von den Herstellern als auch von den Nutzern befolgt werden sollten. Sie lauten wie folgt:

  • Verwenden Sie keine Standardpasswörter.
  • Angabe einer individuellen Identität für jedes Gerät (z. B. durch Verwendung einer Nummer) zur Authentifizierung.
  • Einführung von Richtlinien für das Vorgehen im Falle einer Datenschutzverletzung.
  • Software auf dem neuesten Stand halten.
  • Zugangsdaten und sicherheitsrelevante Daten sicher speichern.
  • Verschlüsselte Kommunikation
  • Netzwerksegmentierung (damit kompromittierte Geräte vom Rest des Netzwerks isoliert werden können)
  • Persönliche Informationen sicher aufbewahren.
  • Überwachen Sie die Systemtelemetrie (die Informationen darüber liefert, wie die Software genutzt wird und wie gut sie funktioniert).
  • Den Verbrauchern die Möglichkeit geben, personenbezogene Daten einfach zu löschen.
  • Vereinfachen Sie die Installation und Wartung von Geräten.
  • Prüfen Sie die Eingabedaten.
  • Zusammenfassung

    Der „EU Cybersecurity Act“ ist am 27. Juni 2019 in Kraft getreten. Damit wurde u.a. ein EU-weiter Rahmen für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Verfahren geschaffen.

    Konformität von Drittanbietern und DSGVO

    Drittanbieter sind ein bedeutender Vorteil für ein wachsendes Unternehmen – Outsourcing ermöglicht es Unternehmen, kosteneffektiv Fachwissen zu erwerben. Die Inanspruchnahme von Dritten setzt die Unternehmen

    mehr »