Datenschutz 18.06.2018, 07:30 Uhr

IoT – Ein Aufbruch ohne Sicherheitsstandards?

Die Datenschutz-Grundverordnung (EU-DSGVO) stellt Entwickler von Produkten, die das IoT bereichern, vor eine neue Herausforderung. Viele Smart-Geräte sind auf die Übermittlung sensibler Daten angewiesen, um intelligent interagieren zu können – Sicherheitslücken sind das Resultat. Durch neue Sicherheitsmaßnahmen entstehen aber neue Chancen.

Datenschutz IoT

Foto: panthermedia.net / beawolf

Sicherheit ohne Sicherheitsstandards – Eine vermeintlich unlösbare Aufgabe rückt im Zuge der Datenschutz-Grundverordnung (EU-DSGVO, engl. General Data Protection Regulation, kurz GDPR) ins Visier von Entwicklern, Dienstleistern und Experten.

Das zunehmend komplexe Internet der Dinge (engl. Internet of Things, kurz IoT) besteht aus einer Vernetzung intelligenter Geräte, die in der Lage sind, miteinander über das Internet zu kommunizieren. Angefangen bei App-gesteuerten Zahnbürsten über die digitale Paket-Tracking-Option bis hin zu der verbesserten Kommunikation zwischen einzelnen Produktionsmaschinen im Unternehmen, deckt das IoT nahezu alle Bereiche ab. Durch verschiedenste Sicherheitsvorgaben im Einzelnen fehlt oft die Auseinandersetzung mit datenschutzrelevanten Themen.

Smart Home im Einklang mit der DSGVO

Das Internet der Dinge entwickelt sich in rasantem Tempo. Bereits im Jahr 2020 sollen in etwa 50 Milliarden Geräte weltweit miteinander vernetzt sein und kommunizieren. Natürlich hält diese Technologie auch zunehmend in privaten Haushalten Einzug. In Form von Smart Home-Anwendungen bereichern App-basierte Geräte unser Leben. Ganz egal, ob Automatisierungssysteme für Klima oder Sonnenschutz, Alarmanlagen oder sprachgesteuerte Assistenten – per Sprachbefehl oder kurzer Eingabe sind die Verhältnisse an die Bedürfnisse des Endverbrauchers im Nu angepasst. Hierbei sollten Sicherheit und Komfort gleichermaßen berücksichtigt werden.

Smarte Geräte, die bereits im IoT kommunizieren, sammeln eine unvorstellbare Menge an sensiblen Daten – viele davon personenbezogen – und spielen deshalb im Hinblick auf die DSGVO eine bedeutende Rolle. Bei bereits verkauften Geräten ergeben sich dadurch bedenkliche Sicherheitslücken. Ein Grund, weshalb viele Endverbraucher Vorbehalte gegenüber dieser Technologie äußern. Diese Tatsache führt dazu, dass der Markt in Hinblick auf die DSGVO an Transparenz und Sicherheit im Umgang mit Daten gewinnt.

Zusätzlich arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer Richtlinie, um den Endverbraucher vor Datenmissbrauch zu schützen. Eine weitere Lösung wird von der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) vorgeschlagen. Diese beinhaltet in abgeschwächter Form eine freiwillige Zertifizierung mit Label.

Mirko Ross, beratender Experte für Sicherheit im Internet der Dinge ist Mitglied im internationalen Gremium der ENISA und geht noch einen Schritt weiter. Ihm zufolge müssen IoT-Geräte, ähnlich wie Medizinprodukte, in Risikoklassen kategorisiert werden. Eine Einteilung könnte dabei in drei Klassen erfolgen:

  • Klasse 1: Nicht potentiell gesundheitsgefährdend, nicht tief in die Privatsphäre eindringend (smarte Zahnbürsten)
  • Klasse 2: Nicht potentiell gesundheitsgefährdend, maßgeblich in die Privatsphäre eindringend (Staubsauger-Roboter, Sprachassistenten)
  • Klasse 3: Potentiell gesundheitsgefährdend, maßgeblich in die Privatsphäre eindringend (autonomes Fahren)

Fester Bestandteil der DSGVO ist hingegen Artikel 25. dieser beinhaltet Regularien, die bereits vor der Produktion von Entwicklern beachtet werden müssen. Die beiden Begriffe “Privacy by Design” und “Privacy by Default” werden oft zusammen verwendet, trotzdem unterscheiden sich diese Modelle maßgeblich.

Privacy by Design – Datenschutz durch Technikgestaltung

Privacy by Design, beziehungsweise Datenschutz durch Technik, beschreibt die Idee, bereits im Entwicklungsstadium den Schutz personenbezogener Daten im Sinne der DSGVO zu implementieren. Durch die frühzeitige Anwendung technischer und organisatorischer Maßnahmen (TOMs) wird die Einhaltung einer sicheren Datenverarbeitung gewährleistet. Beispiele hierfür sind Transparenz und Kontrollmöglichkeit durch den Nutzer, datenschutzkonforme Voreinstellungen sowie hohe technische Sicherheitsstandards.

Privacy by Default – Datenschutz durch datenschutzfreundliche Voreinstellungen

Datenschutz als Standardeinstellung ist darauf ausgelegt, die Werkseinstellungen von Geräten so zu setzen, dass auch weniger technikaffine Nutzer datenschutztechnisch auf der sicheren Seite sind. Diese befürworten zwar den Schutz ihrer Privatsphäre, nehmen aber aktiv keine entsprechenden Einstellungen an der Software vor. Dieses Konzept birgt jedoch die Gefahr, dass Datenschutzanforderungen nur auf die Datensicherheit reduziert werden und gar nicht erst geprüft wird, ob eine Datenerhebung überhaupt notwendig ist.

Anforderungen an das IoT – neues Vertrauen, neue Chancen

Die Anforderungen an das IoT sind hoch – kritische Anwendungen, vor allem in den Bereichen Verkehr oder Gesundheit, müssen zu jeder Zeit einwandfrei funktionieren. Das erfordert in vielen Fällen eine genaue Datenerhebung. Aufgabe von Entwicklern und Beteiligten ist nun, diese auf das Notwendigste zu reduzieren und jedes Produkt unter datenschutzrechtlichem Aspekt zu betrachten. Diese neue Sichtweise stärkt nicht nur das Vertrauen in die neue Technologie, sondern weckt beim Endverbraucher Interesse an smarten Produkten. Das wiederum führt dazu, dass sich für Entwickler neue Chancen ergeben, sich am Markt zu etablieren.

Von Silvia Hühn

Stellenangebote im Bereich Automatisierungstechnik

NORD-MICRO GmbH & Co. OHG-Firmenlogo
NORD-MICRO GmbH & Co. OHG System-Entwickler / System-Ingenieur (m/w/d) Entwicklung / Kabinendruckregelsysteme Frankfurt am Main
MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics Senior Manufacturing Engineer (m/w) Innsbruck (Österreich)
SEW-EURODRIVE GmbH & Co KG-Firmenlogo
SEW-EURODRIVE GmbH & Co KG Leiter Technisches Büro Güstrow (w/m/d) Güstrow
SEW-EURODRIVE GmbH & Co KG-Firmenlogo
SEW-EURODRIVE GmbH & Co KG Leiter Technisches Büro Dresden (w/m/d) Dresden-Radebeul
Carl Zeiss AG-Firmenlogo
Carl Zeiss AG Elektroingenieur (m/w/x) I Ingenieurwesen Oberkochen
BORSIG Membrane Technology GmbH-Firmenlogo
BORSIG Membrane Technology GmbH Ingenieur / Techniker Elektrotechnik für den verfahrenstechnischen Anlagenbau (m/w/d) Gladbeck
Ferrero-Firmenlogo
Ferrero Spezialist (m/w/d) Automatisierungstechnik Stadtallendorf
fischerwerke GmbH & Co. KG-Firmenlogo
fischerwerke GmbH & Co. KG Planer (m/w/d) Automatisierungstechnik Horb
SEW-EURODRIVE GmbH & Co KG-Firmenlogo
SEW-EURODRIVE GmbH & Co KG Serviceingenieur Elektronik (w/m/d) Meerane
VDI Technologiezentrum GmbH-Firmenlogo
VDI Technologiezentrum GmbH Projektmanager (m/w/d) Digitalisierung und Industrie 4.0 Berlin

Alle Automatisierungstechnik Jobs

Top 5 Industrie 4.0