IoT und Datenschutz – diese Besonderheiten sind zu beachten

| Autor / Redakteur: Oliver Schonschek / Nico Litzel

Viele Anwender sind skeptisch, wenn es um die IoT-Sicherheit geht. Zurecht: Untersuchungen von IT-Sicherheitsanbietern zeigen, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist.
Viele Anwender sind skeptisch, wenn es um die IoT-Sicherheit geht. Zurecht: Untersuchungen von IT-Sicherheitsanbietern zeigen, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist. (Bild: © EtiAmmos - stock.adobe.com)

Das Internet der Dinge birgt viele Risiken für den Schutz personenbezogener Daten, so das Fazit vieler Umfragen und Studien. Doch warum ist das eigentlich so? Was macht den Datenschutz in IoT-Lösungen besonders schwierig? Das sollten Anwenderunternehmen wissen, um eine Datenschutzfolgenabschätzung (DSFA) nach Datenschutz-Grundverordnung (DSGVO) erstellen zu können.

„Mit der stark wachsenden Zahl der IoT-Geräte nimmt auch die Unsicherheit der Verbraucher mit Blick auf Datenschutz und Datensicherheit bei solchen Geräten enorm zu. Das wiederum stellt für Hersteller und Systemanbieter ein echtes Markthemmnis dar“, erläutert Günter Martin, Chief Technology Officer im Center of Excellence IoT Privacy bei TÜV Rheinland. „Datenschutz und Vertrauenswürdigkeit digitaler Systeme und smarter Produkte sind entscheidend für Innovationen“, so Günter Martin weiter.

Gleichzeitig zeigen Untersuchungen von IT-Sicherheitsanbietern, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist, das mangelnde Vertrauen der Anwender ist also in vielen Fällen durchaus begründet.

Eine Umfrage von Gemalto zeigt auf, dass nur rund die Hälfte (48 Prozent) aller Unternehmen in der Lage sind, eine Sicherheitsverletzung bei einem ihrer IoT-Geräte zu erkennen. Das geschieht trotz eines verstärkten Fokus auf IoT-Sicherheit:

  • Die Ausgaben für den Schutz sind gestiegen (von elf Prozent des IoT-Budgets im Jahr 2017 auf jetzt 13 Prozent).
  • Fast alle Befragten (90 Prozent) sind der Ansicht, dass dies für Kunden eine wichtige Rolle spielt.
  • Im Vergleich zum Vorjahr (vier Prozent) betrachten heute rund dreimal so viele Organisationen IoT-Sicherheit als moralische Verantwortung (14 Prozent)

Nur drei von fünf (59 Prozent) Unternehmen geben an, dass sie alle Daten verschlüsseln, die durch IoT erfasst und zur Analyse genutzt werden – trotz vorhandener IoT-Sicherheitsbudgets. Die Verbraucher sind nicht von den Bemühungen der IoT-Industrie beeindruckt, da 62 Prozent der Befragten der Meinung sind, dass die Sicherheit verbessert werden müsse. In Bezug auf die größten Problembereiche befürchten 54 Prozent einen Mangel an Privatsphäre durch angeschlossene Geräte, dicht gefolgt vom Zugriff durch Unbefugte, wie Hacker, die Geräte kontrollieren (51 Prozent), und mangelnde Kontrolle über personenbezogene Daten (50 Prozent).

Auch Trend Micro hat eine Umfrage unter IT-Entscheidern zum Thema Sicherheit im Internet der Dinge (IoT) durchgeführt. Laut dieser Studie sorgen sich die Befragten im Falle eines Cyberangriffs auf IoT-Anwendungen vor allem um das Vertrauen ihrer Kunden. Ebenfalls geht aus der Umfrage hervor, dass eine große Diskrepanz zwischen den Investitionen in IoT-Systeme und deren Absicherung besteht.

IoT-Datenschutz benötigt spezielle Maßnahmen

Datenschutz spielt beim IoT eine große Rolle. So würden Datenschutznachweise das Vertrauen in Smart-Home-Produkte steigern.
Datenschutz spielt beim IoT eine große Rolle. So würden Datenschutznachweise das Vertrauen in Smart-Home-Produkte steigern. (Bild: TÜV Rheinland)

Die Datenschutz-Grundverordnung (DSGVO) sorgt für einheitliche Datenschutzvorgaben, was aber nicht bedeutet, dass in allen Bereichen die gleichen Datenschutz-Maßnahmen erforderlich sind. Hinsichtlich der Sicherheit der Verarbeitung (Artikel 32 DSGVO) sollen die Maßnahmen ausgewählt werden, „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“.

Bestehen also besondere Risiken für den Datenschutz, müssen auch spezielle Schutzmaßnahmen ergriffen werden. Ebenso ist eine Datenschutzfolgenabschätzung (DSFA) notwendig, die die konkreten Folgen für den Datenschutz analysiert und Maßnahmen benennt, wenn das geplante IoT-Projekt umgesetzt werden soll.

Das Internet der Dinge erfüllt in aller Regel die Voraussetzungen für die geforderte DSFA (Artikel 35 DSGVO): Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Worauf bei IoT im Datenschutz besonders zu achten ist

Welche Maßnahmen für den Datenschutz im IoT sind nun insbesondere zu ergreifen, zusätzlich zu den Lösungen für die IoT-Sicherheit:

  • Information und Einwilligung: Zulässig ist Verarbeitung personenbezogener Daten im IoT nur dann, wenn sie auf einer informierten Einwilligung der Nutzerinnen und Nutzer oder einer gesetzlichen Verpflichtung beruht. Dazu gehört aber insbesondere, dass die Hersteller über Funktionen und Datenflüsse verständlich aufklären. Bei vielen IoT-Lösungen ist es aber technisch gar nicht möglich, eine Einwilligung anzufordern oder zu erteilen, Funktionen und Datenflüsse sind nicht transparent für den Nutzer. Das muss sich ändern.
  • Datenkontrolle: Die Hoheit über die erhobenen bzw. gespeicherten Daten liegt bei den Nutzerinnen und Nutzern, es muss ihnen ermöglicht werden, einzelne Funktionen der Datenverarbeitung zu erkennen und auch abzuschalten. Bei vielen IoT-Lösungen sind solche Optionen weder vorgesehen noch technisch für den Nutzer oder die Nutzerin umsetzbar. Auch das darf nicht so bleiben.
  • Schutz vor Profiling: Die Nutzerinnen und Nutzer können vielfach direkt oder indirekt identifiziert werden, zum Beispiel durch die Gerätekennzeichen und eine Registrierung der Nutzer für ein bestimmtes Gerät. Die IoT-Daten können so zu Nutzerprofilen und zum Tracking führen, oftmals werden Standortdaten der Geräte und ihrer Nutzer erhoben, gespeichert und ausgewertet, ohne Einwilligung und Wissen der Betroffenen.
  • Schutz sensibler Daten: Die Daten, die IoT-Lösungen verarbeiten, sind oftmals den besonderen Kategorien personenbezogener Daten zuzuordnen, eine Verschlüsselung der Daten erfolgt trotzdem nicht. Beispiele für solche Daten sind insbesondere Gesundheitsdaten, die nicht nur die klassischen Fitness-Tracker auswerten, sondern auch alle IoT-Geräte mit entsprechenden Apps. Noch weiter verbreitet ist die Verarbeitung von Standortdaten, die Rückschlüsse auf Personen und ihr Verhalten zulassen

Das sind wichtige Beispiele für Datenschutz-Probleme im IoT. Werden diese nicht abgewendet, muss mit hohen Risiken für die betroffenen Personen gerechnet werden, ohne Gegenmaßnahmen liegt dann eine Datenschutzverletzung vor. Im IoT-Datenschutz gibt es also noch einiges zu tun.

Tod durch Software – Kein Patch kann fatale Fehler wieder richten

Tod durch Software – Kein Patch kann fatale Fehler wieder richten

20.03.19 - Zwei Abstürze in nur fünf Monaten, 346 Tote – das ist die tragische Bilanz, die derzeit dafür sorgt, dass mit der Boeing 737 MAX eines der modernsten Flugzeuge weltweit nicht starten darf. Eine Software zur Verbesserung der Flugsteuerung soll Schuld tragen. Wie kann so etwas heute noch passieren? lesen

Schwachstellen in IoT-Plattform entdeckt

Schwachstellen in IoT-Plattform entdeckt

28.02.19 - Die IoT-Plattform Thingspro Suite sammelt automatisiert Daten und übermittelt sie in eine Cloud – eigentlich ein nützlicher Helfer. Doch Security-Experten von Kaspersky fanden sieben Schwachstellen. lesen

Dieser Beitrag stammt von unserem Partnerportal Bigdata Insider und ist Teil einer Serie zum Datenschutz im Internet der Dinge.

Kommentar zu diesem Artikel abgeben
Danke! Mobile World Congress hätte eigentlich genügt... Hier also nochmals im Klartext für die...  lesen
posted am 29.03.2019 um 09:26 von Unregistriert

@ MWC https://www.elektronikpraxis.vogel.de/wird-der-mwc-zur-iot-messe-a-803845/  lesen
posted am 27.03.2019 um 09:38 von Unregistriert

Bigdata INSIDER: Der Name ist Programm?? Was bitte ist ein MWC ???  lesen
posted am 27.03.2019 um 06:17 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45826561 / Safety & Security)