Über unsMediaKontaktImpressum
Günter Martin 14. November 2017

Datenschutz und Datensicherheit für IoT-Produkte

Die neue Datenschutzgrundverordnung (EU-DSGVO), die ab Mai 2018 EU-weit gilt, stellt den Datenschutz auf eine neue Grundlage. Dies betrifft in weiten Teilen auch Smart Home- und IoT-Produkte bzw. deren Hersteller und Anbieter. Auf der einen Seite macht die neue Rechtslage für Hersteller und Anbieter vieles komplizierter und schwieriger. So müssen neue gesetzliche Vorgaben beachtet werden, die deutlich über das hinausgehen, was heute gefordert wird, beispielsweise bei der Produktentwicklung mit der Pflicht zu "Privacy by Design" und zu "Privacy by Default".

Auf der anderen Seite ist die neue Verordnung aber auch die Chance, sich im Wettbewerb zu positionieren und mehr Kunden zu gewinnen. So nutzen aktuell schätzungsweise nur rund drei Prozent der Haushalte Smart Home-Systeme, etwa die Hälfte lehnt sie kategorisch ab bzw. die Mehrheit steht ihr kritisch gegenüber. Dies gilt nicht nur in Deutschland, sondern tendenziell EU-weit, basierend auf künftig (fast) einheitlichen Regeln in allen EU-Ländern.

Einleitung

Smarte Geräte erobern den Markt. Gemeint sind Geräte, die am Internet angeschlossen sind, also IoT (Internet of Things)-Geräte, und dem Konsumenten damit zusätzliche Dienste anbieten.  Der smarte Fernseher hört aufs Wort, das Licht kann über eine App gesteuert werden, die Waschmaschine zeigt über eine App die Restlaufzeit und mit der Webcam kann auch auf Reisen das Haus im Visier behalten werden. Mit Fitness-Armbändern können wir im Internet unsere Trainings-Erfolge messen und mit anderen vergleichen. Im Kinderzimmer sitzt der smarte Teddy und für das Badezimmer gibt es bereits Zahn- und Haarbürsten mit Internet-Anschluss. Abb.1 zeigt einige Beispiele.

Für den Verbraucher bringen die Geräte mehr Komfort, sie können die Sicherheit erhöhen oder den Energieverbrauch senken – ja sogar die Fitness steigern oder einfach nur Spaß machen. Für den Hersteller ist es der lange ersehnte Innovationsschub. Der Markt für viele Haushaltsgeräte ist praktisch gesättigt und Innovationen sollen den Verbraucher für Neuanschaffungen motivieren. Die alte Geschirrspülmaschine zum Beispiel wird durch eine smarte ersetzt. Zusätzlich eröffnen sich für die Hersteller neue Geschäftsmodelle. So kann etwa die App für die Geschirrspülmaschine auf Knopfdruck bei Bedarf Tabs nachbestellen. Es geht um kontinuierliche Einnahmequellen und stärkere Kundenbindung.

Aber viele Verbraucher sehen dies auch skeptisch. Und auch Politiker sehen Gefahren.

IoT und Smart Home: Verbraucher fordern Datenschutz

Viele Konsumenten interessieren sich für die smarten Geräte. Es gibt jedoch einen starken Vorbehalt, wie Abb.2 zeigt: Die Angst vor Datenkraken und Hackern, das heißt Datenschutz und Datensicherheit. Dies hält Käufer ab und ist damit ein wesentliches Markthemmnis.

Bei der Sorge um die Privatsphäre handelt es sich nicht um ein typisch deutsches Phänomen, wie Abb. 3 zeigt. Danach steht Frankreich auf Platz 1, relativ dicht gefolgt von Deutschland, UK und den USA. Eine "Aufholjagd" haben die vereinigten Staaten gemacht. Dort messen die Konsumenten dem Thema immer mehr Bedeutung bei.

Die Sorgen der Verbraucher um den Datenschutz erscheinen berechtigt. Die OECD-Datenschutzvereinigung GPEN hat im September 2016 314 vernetzte Geräte von Fitness-Trackern über Blutzuckermessgeräte bis zu Smart-TVs geprüft und ist auf große Lücken beim Datenschutz gestoßen. Selbst sensible Informationen würden kaum verschlüsselt. Alle 314 geprüften Angebote rund um das Internet der Dinge "sammeln eine erhebliche Menge an persönlichen Daten, die zum Teil auch zu gezielten Nutzerprofilen zusammengefügt werden." Die Schutzvorkehrungen seien in der Regel nur mangelhaft, teilte der Präsident des Bayerischem Landesamts für Datenschutzaufsicht mit [1].

IoT und Sicherheit der öffentlichen Infrastruktur: Politik sieht Risiken

Auch der Politik sind die smarten Geräte nicht ganz geheuer. Dabei ist der Verbraucherschutz, und damit auch der Datenschutz, bei weitem nicht der einzige Aspekt, auch wenn dieser am stärksten in der Öffentlichkeit steht. Es sind die Sorgen um IoT-Botnets, die die öffentliche Infrastruktur angreifen können.

Ein IoT-Botnet ist eine Gruppe von IoT-Geräten, die zentral gesteuert werden können. Eine extrem gefährliche Armee von intelligenten Glühlampen, Rauchmeldern, Kaffeemaschinen, Spielzeugen und Webcams. Dafür infiziert der Angreifer die im Internet angeschlossenen und schlecht gesicherten Geräte mit einer Schadsoftware. Auf sein Kommando führen dann alle infizierten Geräte gleichzeitig einen Angriff auf ausgewählte Computersysteme aus. So geschehen zum Beispiel Ende vergangenen Jahres: 500.000 infizierte IoT-Geräte griffen Server vorwiegend an der Ostküste der USA an. Die Server von Unternehmen wie Amazon, Spotify, Twitter, Netflix oder PayPal waren stundenlang nicht mehr erreichbar.

Auch der Angriff auf die Deutsche Telekom wenig später, bei der fast 1 Million Telekom-Kunden über Tage ohne Internet waren, war ein Botnet-Angriff.

Selbst Bitcoins scheinen nicht mehr vor Botnet-Attacken sicher zu sein. Hacker haben im April 2017 infizierte IoT-Geräte zum Versenden von Bitcoins genutzt, wenn auch nur im kleinen Umfang. Das ist neu, weil bisher die Rechenleistung der meisten IoT-Geräte für das Mining einer Kryptowährung nicht ausreichte. Bei den neuen Geräten ist aber die Rechenleistung heute so hoch und steigt weiter, sodass hier ein Bedrohungspotenzial entsteht, bei dem erstmals direkt Geld bewegt wird.

Der Nutzer merkt übrigens in der Regel nichts davon, wenn sich etwa seine WebCam einer Botnet-Armee angeschlossen hat und für Angriffe missbraucht wird. Dabei trägt er unbewusst Mitschuld, wenn er etwa kein Passwort gesetzt hat. Die meiste Verantwortung liegt aber bei den Herstellern, die diese und andere Sicherheitslücken vermeiden müssen.

Europäische Datenschutzgrundverordnung (EU-DSGVO) und General Data Protection Regulation (GDPR)

Die Beispiele zeigen, wie wichtig sowohl für den Verbraucher als auch für die Gemeinschaft ein hohes Niveau an Datenschutz und Datensicherheit ist. Auch der Gesetzgeber hat dies erkannt und in der EU in 2016 die "Europäische Datenschutzgrundverordnung" (EU-DSGVO) oder "General Data Protection Regulation" (GDPR) beschlossen. Diese stellt den Datenschutz auf eine neue Grundlage. Dafür muss man wissen, dass sich eine EU-Verordnung, wie die DSGVO, grundsätzlich von einer EU-Richtlinie unterscheidet. Richtlinien sind häufiger und Aufforderungen an die Mitgliedsstaaten, diese sinngemäß in absehbarer Zeit umzusetzen. In der Praxis dauert das schon mal über ein Jahrzehnt und hat bei nationalen Regierungen gern zweite Priorität. Verordnungen erlangen dagegen nach einer fest definierten Übergangsfrist Gesetzeskraft. Sie müssen von allen in der EU exakt befolgt werden.

Für die DSGVO endet die Übergangsfrist am 25. Mai 2018. Der deutsche Gesetzgeber hat bereits das Bundesdatenschutzgesetz neu formuliert und 100 weitere Gesetze angepasst. Rechtzeitig zum Termin sollen die neuen Gesetze nach parlamentarischer Beratung und Zustimmung in Kraft treten. Der TÜV Rheinland hat in einem umfassenden Vergleich die neue DSGVO dem derzeitigen deutschen Recht gegenübergestellt und mit Kommentaren und Zusammenfassungen versehen [2,3]. Eine komprimierte Übersicht gibt Tabelle 1. 

Tabelle 1: Vergleich heutiges Bundesdatenschutzgesetz und Datenschutzvergleich

Bundesdatenschutzgesetz (BDSG) Datenschutzgrundverordnung (DSGVO)
Ausfertigung Dez. 1990, Neufassung 2003, letzte Änderung 25.2.15, 37 Seiten. Regeln gelten für personenbezogene Daten. Inkrafttreten Mai 2016, Geltung Mai 2018, 88 Seiten. Regeln gelten für personenbezogene Daten.
Gültig für Datenerarbeitung Daten in D Gültig für alle Produkte und Leistungen, die in der EU angeboten werden, unabhängig vom Ort der Datenverarbeitung.
Sanktion max. 300.000 Euro insgesamt Sanktionen bis 20 Mio. € oder bis 4% des weltweiten Vorjahresumsatzes (die größere Zahl von beiden).
Verbot mit Erlaubnisvorbehalt (durch Gesetz oder Einwilligung des Betroffenen) Verbot mit Erlaubnisvorbehalt Neue Bedingung für Einwilligung
Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit Belegung der Schutzziele zum Teil mit Maßnahmen, z.B. Verschlüsselung. Zusätzliches Schutzziel: Belastbarkeit (Resilienz).
Informations-, Auskunfts-, Lösch- und Berichtigungsrechte Stärkung und Präzisierung der Rechte der betroffenen Personen. Neue Rechte: „Vergessenwerden“, Datenportabilität, Informations-Anspruch bei data breach.
Datenvermeidung und Datensparsamkeit: so wenig personenbezogene oder personenbeziehbare Daten wie möglich erheben, verarbeiten oder nutzen. Datenminimierung und Speicherbegrenzung. IP-Adresse ist personenbezogenes Datum.
Zweckbindung und Nicht-Verkettbarkeit Zweckbindung verschärft
Auflagen an Betreiber Verschärfung der Auflagen für diejenigen, die personenbezogenen Daten erheben, verarbeiten und darüber entscheiden.
Privacy by Design
Privacy by Default

Die DSGVO gilt für die Verarbeitung personenbezogener Daten. Personenbezogen bedeutet, die Person kann direkt oder indirekt identifiziert werden. Damit ist zum Beispiel schon eine dynamische IP-Adresse personenbezogen, denn über die Daten des Providers könnte die Person identifiziert werden. Bezogen auf IoT-Geräte ist offensichtlich, dass die Wohnung zur Privatsphäre gehört. Alles was von dort nach außen dringt, sind schützenswerte Daten, selbst wenn es nur darum geht, welche Raumtemperatur gewählt wurde. Die im Garten gemessene Außentemperatur ist dagegen öffentlich und unterliegt nicht der Verordnung.

Die DSGVO schützt natürlich nicht nur private Nutzer (consumer), sondern generell alle Personen, von denen Daten erfasst werden. Das gilt im gewerblichen Umfeld auch für die Bediener-Erkennung durch Logins, Aktivierung eines Einrichtungsmodes und Wartungsbetrieb, sobald technisch zugeordnet werden könnte, welche Person dies ausführt. In diesen Fällen gilt sogar ein besonderes Schutzbedürfnis, weil die Person nicht unbedingt frei in ihrer Entscheidung ist, da sie sich meist in einem Abhängigkeitsverhältnis zu einem Arbeitgeber befindet.

Die neuen Regelungen bringen zum einen Erleichterungen für Unternehmen. So ist der Datenschutz jetzt in allen EU-Ländern einheitlich geregelt, was alle Anbieter, die EU-weit tätig sind, gern hören werden. Zwar gibt es in der Verordnung rund 60 sogenannte Öffnungsklauseln, in denen nationale Regierungen Anpassungsmöglichkeiten eingeräumt werden. Ein europaweit tätiges Unternehmen sollte sich aber am Original orientieren und mögliche Abschwächungen in dem einen oder anderen Land nicht nutzen. So kann es ein einheitliches Angebot in allen EU-Ländern vermarkten. Zu den Ländern gehört voraussichtlich auch Großbritannien, was nach derzeitigem Stand trotz Brexit die DSGVO umsetzen wird.

Zweifellos positiv für europäische Unternehmen ist auch, dass sich die Wettbewerber etwa aus Asien oder USA ebenfalls an die Regeln halten müssen, selbst wenn die Datenverarbeitung für die bei IoT-Geräten mitgelieferten Services außerhalb der EU erfolgt. Die Verordnung gilt für alle Produkte und Leistungen, die in der EU angeboten werden, unabhängig vom Ort der Datenverarbeitung oder des Herstellers.

Keine Erleichterung, sondern ein ernstzunehmendes wirtschaftliches Risiko sind dagegen die neuen Sanktionen. Während bisher max. 300.000 Euro bei der Verletzung des Bundesdatenschutzgesetzes zu zahlen waren, sind jetzt bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes (je nachdem , welcher Wert höher ist). Das ist ein guter Grund, das Risiko zu vermeiden und die Regeln einzuhalten.

Die meisten Regeln sind nicht grundsätzlich neu. Deutsche Unternehmen kennen sie bereits aus dem Bundesdatenschutzgesetz, sie wurden konkretisiert und verschärft. Neu ist die Forderung nach "Privacy by Design" und "Privacy by Default". Wer diese beiden Punkte versteht, für den erschließen sich die anderen Regeln weitgehend von selbst.

Anforderungen (nicht nur) an IoT-Produkte: Privacy by Design

Privacy by Design bedeutet "eingebauter Datenschutz". Bereits bei der Entwicklung soll der Datenschutz berücksichtigt und nicht erst nachträglich aufgesetzt werden. Datenschutzrisiken sollen von Anfang an vermieden werden. In Bezug auf IoT-Geräte empfiehlt sich dabei eine Unterscheidung zwischen dem Gerät selbst und den mit dem Gerät verbundenen IoT-Services, zum Beispiel der Steuerung über eine App.

Das Gerät muss technische Merkmale besitzen, die einen Datenschutz-konformen Betrieb ermöglichen. Ein Beispiel: Jedes IoT-Gerät sendet und empfängt Daten. Diese Datenübertragung soll verschlüsselt erfolgen. Verschlüsselung benötigt Rechenleistung. Der Prozessor im Gerät muss dafür von Anfang an ausreichend groß gewählt werden oder dieses Merkmal möglicherweise schon eingebaut haben. Weitere Beispiele, wie Privacy by Design im Gerät umgesetzt werden sollte, zeigt Tabelle 2.

Beim IT-Service für das IoT-Gerät geht es vorrangig um den Geschäftsprozess und die Infomations-Architektur. Das muss im Sinne von Privacy by Design so gestaltet sein, dass die erfassten Daten nur für den Zweck genutzt werden können, der mit dem Nutzer vertraglich vereinbart ist. Um diese "Datennutzungskontrolle" direkt in die Informationsarchitektur zu integrieren, betritt die Informatik Neuland. Eine bereits einsatzfähige Lösung gibt es zum Beispiel beim Fraunhofer-Institut [4]. Vor allem muss jedoch die Zweckbindung der Daten in den Geschäftsprozessen festgeschrieben sein. Eine Vorratsdatenspeicherung für heute noch nicht bekannte Zwecke im Sinne von Big Data-Analyse ist damit ausgeschlossen, solange die Daten personenbezogen sind. Für anonymisierte oder pseudonymisierte Daten ist dies unkritisch. Ein gutes Verfahren zur Pseudonymisierung findet sich in [5].

Zusätzlich ist sicherzustellen, dass die Daten und Systeme vor Angreifern geschützt sind. In Tabelle 2 sind weitere Beispiel genannt, wie für den IoT-Service Privacy by Design umgesetzt werden sollte.

Tabelle 2: Privacy by Design – Top 10-Anforderungen an ein IoT-Gerät und seinen mit dem Gerät verbundenen IoT-Service

Für IoT-Geräte Für IoT-Services
1. Verschlüsselte Datenübertragung vom Gerät zum Gateway 1. Passwortgeschützter Zugang mit individuellem Passwort
2. Verschlüsselte Datenübertragung vom Gateway ins Internet 2. Web-Applikation mit Sicherheitsmechanismen gegen Schwachstellen der OWASP (Open Web Application Security Project) Top 10
3. Temporale Korrektheit (Freshness), z.B. Sequenznummer oder Sequenzidentifikation 3. Data Breaches erkennen können und innerhalb von 72 Stunden melden
4. Das Gerät ist remote update-fähig 4. Patch- und Vulnerability-Management. Einspielen von (Sicherheits-)Updates ermöglichen
5. Das Gerät ist auf Werkseinstellungen zurücksetzbar 5. Einwilligung des Nutzers mit Kopplungsverbot mit anderen Einwilligungen
6. Wenn in der Nutzung wechselbare Speichermedien (MC, USB) einsetzbar sind, sind die Daten drauf verschlüsselt gespeichert 6. Der Nutzer hat das Recht auf Vergessenwerden, d.h. Löschen seiner Daten
7. Wenn der Nutzer das Gerät beim Hersteller registrieren kann oder muss, muss es auch einen einfachen Weg der De-Registrierung geben 7. Hat der Anbieter Daten und Dritte weitergegeben, hat dieser diese zu benachrichtigen, die Daten ebenfalls zu löschen
8. Das Gerät speichert und sendet nur die Daten, die für die Erbringung des Dienstes benötigt werden 8. Ton- oder Bildmitschnitte sollen vom Nutzer kontrolliert und gelöscht werden können
9. Das Gerät enthält nur die Sensoren und andere Komponenten, die für seine Funktion oder zur Erbringung des Dienstes benötigt werden 9. Der Nutzer hat das Recht auf Datenübertragbarkeit (Portabilität) in einem „allgemein üblichen Format
10. Stationäre Geräte im Außenbereich haben Diebstahlschutzeinrichtungen 10. Physische Sicherheit für den Zugriff auf Hardware-Ressourcen

Ein gemeinsames wichtiges Merkmal ist die Update-Fähigkeit. Das Gerät soll remote update-fähig sein und der Geschäftsprozess und die IT müssen auf der Service-Seite Updates erstellen und verteilen können. Der verantwortliche Hersteller zeichnet sich dadurch aus, dass er für seine smarten Geräte über einen langen Zeitraum Software-Updates bereitstellt. Er sollte nicht nur angeben, wie lange er Ersatzteile vorhält, sondern auch, wie lange er Updates liefern wird. Nur mit Updates kann auf neue Bedrohungen durch Hacker reagiert und ein hohes Niveau an Datenschutz und Datensicherheit über längere Zeit gehalten werden.

An dieser Stelle müssen auch die Verbraucher umdenken. Ein Update bedeutet nicht, dass etwa das gerade frisch gekaufte Gerät schon einen Fehler hatte. Es bedeutet vielmehr, dass der Hersteller verantwortungsvoll handelt.

Datenschutzfreundliche Voreinstellungen: Privacy by Default

Privacy by Default steht für datenschutzfreundliche Voreinstellungen. Das betrifft bei IoT-Geräten besonders die Registrierung, die der Nutzer durchführen soll, und insgesamt die App. Es dürfen keine Daten vom Nutzer abgefragt oder Einwilligungen verlangt werden, die nicht für den Service erforderlich sind. Sofern verwendet, müssen folgende Einwilligungen per Default abgeschaltet sein. Sie dürfen nur verwendet werden, wenn der Nutzer explizit zustimmt:

  • Nutzen der Daten für oder Senden von personalisierter Werbung
  • Übertragung Diagnosedaten an den Hersteller, z. B. zur Softwareverbesserung
  • Übertragung des Standorts
  • Teilen von Daten, d. h. Daten sind für andere Nutzer sichtbar
  • Weitergabe von personalisierten Daten an Dritte (Nicht-Nutzer)

Aus Privacy by Default und anderen gesetzlichen Regelungen leitet sich ab, dass das IoT-Gerät keine Sprache (z. B. zur Spracherkennung) und kein Bild übertragen darf, sofern es dem Nutzer nicht offensichtlich ist, dass diese Übertragung eine Kernfunktion des Gerätes ist.

Daten sind das neue Öl

Hinter allen Regelungen steckt die Erkenntnis: Daten sind "das neue Öl", "die neue Währung" oder "der vierte Produktionsfaktor". Daten haben einen hohen Wert, den es zu schützen gilt. Gleichzeitig treiben Daten die Wirtschaft voran und ihre Sabotage kann erhebliche wirtschaftliche und soziale Auswirkungen haben. Dass es dafür jetzt neue gesetzliche Vorschriften gibt, erscheint absolut konsequent.

Die Unternehmen sollten das nicht nur als Zwang, sondern als Chance sehen. Sie können sich durch vorbildlichen Datenschutz profilieren und die große Zahl potenzieller Kunden ansprechen, die den IoT-Geräten kritisch gegenüberstehen, weil sie sich Sorgen um ihre Privatsphäre machen.

Quellen
  1. Bayerisches Landesamt für Datenaufsicht: Das Internet der Dinge: Internationale Prüfaktion deckt Mängel im Datenschutz auf
  2. TÜV Rheinland: Die Datenschutzgrundverordnung – Forderungen und Hinweise, TÜV Media GmbH, 2016
  3. Skistims, Hendrik, 2016: Smart Homes – Rechtsprobleme intelligenter Haussysteme unter besonderer Beachtung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Nomos-Verlag
  4. Ochs, Michael: Datenschutztechnologie für das 21. Jahrhundert. Herausforderung Privacy und Data Security. Präsentation beim Bitkom AK Smart City/Smart Region. München 27.9.2017.
  5. Zimmermann, Mark u.a.: Differential Privacy. Wie man Nutzerdaten erheben kann, ohne die Nutzer zu überwachen. ct'2016, Heft 23

Autor

Günter Martin

Günter Martin ist Solutions Director im Global Competence Center für IoT-Privacy bei TÜV Rheinland und verantwortet die Entwicklung von Zertifikaten im Umfeld von IoT-Datenschutz.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben