IoT-Sicherheit

Smart auch beim Datenschutz: einige Handlungsempfehlungen

| Autor / Redakteur: Jürgen Schreier / Nico Litzel

Für Unternehmen eröffnet Smart Home neue Geschäftsfelder, denn die Anbieter profitieren vor allem von den gesammelten Daten der Nutzer - sofern die Persönlichkeitsrechte nicht verletzt werden und sich Unbefugte keinen Zugang zu den Daten verschaffen.
Für Unternehmen eröffnet Smart Home neue Geschäftsfelder, denn die Anbieter profitieren vor allem von den gesammelten Daten der Nutzer - sofern die Persönlichkeitsrechte nicht verletzt werden und sich Unbefugte keinen Zugang zu den Daten verschaffen. (Bild: Pixabay / CC0)

Alles wird smart – vom Home bis hin zum Auto. Allerdings sind Smart-Produkte inzwischen zum Einfallstor für Angriffe, Datenklau und Sabotageakte geworden und folglich zur Bewährungsprobe für Datenschutz und IT-Sicherheit. Beides muss deshalb im Unternehmen Hand in Hand gehen.

Smart Home, Smart Meter, Internet of Things-Geräte (IoT) und Co: Smart-Produkte bieten dem Endverbraucher Leistungen mit Komfort. So können im smarten Zuhause zum Beispiel von der Spielkonsole über den Rauchmelder und den Saugroboter bis hin zum Auto viele digitale Komponenten über Cloud-Architekturen miteinander vernetzt werden.

Für Unternehmen eröffnen sich neue Geschäftsfelder, denn die Anbieter profitieren vor allem von den gesammelten Daten der Nutzer bzw. Anwender. Doch das geht nur so lange gut, als die Persönlichkeitsrechte nicht verletzt werden oder Unbefugte sich keinen Zugang zu den Daten verschaffen. Für den Datenschutz und die IT-Sicherheit werden Smart-Produkte zur Bewährungsprobe. Sie müssen im Unternehmen Hand in Hand gehen, empfehlen die Experten von TÜViT.

Datenschutz braucht sichere IT-Systeme

Der Datenschutz betrifft vor allem zwei Anbieter von Smart-Produkten: zum einen die Hersteller von smarter Geräte wie zum Beispiel Smart Meter oder IoT-Geräte, Zum anderen Unternehmen, die diese Einzelgeräte zu komplexeren Lösungen verbauen. Hinzu kommen die vielen Unternehmen, die IoT bereits für (teilweise kritische) Geschäftsanwendungen nutzen.

Big Data Security

eBook

Big Data Security

Big Data Analytics, Machine Learning und Artificial Intelligence sind in Zukunft noch wichtiger, wenn es um die Entscheidungsunterstützung in Unternehmen geht. Deshalb sind Angriffe auf Datenanalysen und Algorithmen sehr wahrscheinlich. weiter...

Das Analystenhaus Gartner geht davon aus, dass Im Jahr 2020 mehr als die Hälfte großer Geschäftsprozesse in irgendeiner Weise mit dem IoT vernetzt sein wird. Die Zahl der IoT-Geräte und ihr Vernetzungsgrad wächst exponentiell. Hauptanwendungsgebiete sind aktuell das Monitoring durch Kameras und Sensoren, Zugangssysteme auf Basis von Biometrie, das Steuern und Messen von Heizungsanlagen sowie in der Produktion und Logistik. Neben dem Datenschutz sind ferner weitere Themen wie die Informationssicherheit sowie die Security-Disziplinen wie zum Beispiel Penetrationstests, Datensicherheits-Assessments und Mobile Security zu beachten.

IoT im Visier von Angreifern

Smart-Produkte – insbesondere IoT-Anwendungen – sind zum Einfallstor für Angriffe und Datenabflüsse geworden: Sie bieten eine große (Daten-)Beute und öffnen mit ihrer Vernetzung die Tore zu zahlreichen anderen Systemen und Applikationen. Verschärfend kommt hinzu, dass IoT-Geräte eine ganz neue Gefahrendimension aufweisen, da Angriffe auf physische Infrastrukturen Menschen direkt gefährden oder sogar töten können – zum Beispiel durch das Lahmlegen lebensnotwendiger Strom- und Wasserversorgung oder durch die Manipulation medizinischer Geräte oder von Connected Cars.

Die Analysten von Gartner zum Beispiel erwarten bis 2020 einen Schwarzmarkt von fünf Milliarden Euro für gefälschte Sensoren sowie Videodaten, die Kriminelle nutzen. Eben weil IoT den gesamten Alltag durchziehe, seien Informationen verfügbar über Aspekte wie Geolocation, Temperatur, Luftdruck, Lichtverhältnisse, Anwesenheit von Menschen, Identität der Anwesenden und Veränderungen in der Umgebung.

Handlungsempfehlungen

1. Privacy by Design und Privacy by Default

Privacy by Design ist ein starkes Mittel, um schon bei der Entwicklung der Systeme den Datenschutz mit „einzubauen“. Ein wichtiges Design-Prinzip: Ein System muss von Grund auf so beschaffen sein, dass nur die absolut notwendigen Daten erhoben werden. Privacy by Default bezieht sich hingegen auf die Grundeinstellungen von Systemen. Sie sollen bei Auslieferung so konfiguriert sein, dass immer die datenschutzfreundlichere Variante aktiviert ist. Will ein Nutzer einen erweiterten Zugriff auf personenbezogene Daten ermöglichen, muss dies bei Privacy by Default immer über eine explizite Zustimmung (Opt-in) erfolgen.

2. Assessments als Grundlage

Status-quo feststellen und Bewusstsein schaffen: Datensicherheits-Assessments liefern eine unabhängige Einschätzung der Datensicherheit und der Effektivität des IT-Einsatzes. Sie basieren auf etablierten Best Practices und Standards des IT-Sicherheitsmanagements. Die wichtigsten sind die Standards „IT-Grundschutz“, Informationssicherheits-Managementsysteme wie ISO/IEC 27001 und ISO/IEC 27002 sowie die IT-Service-Management-Norm ISO/IEC 20000.

3. Trusted Site Privacy

Als Zertifizierungsverfahren, das die Bewertung des Datenschutzniveaus mit der Sicherheit von IT-Systemen kombiniert, hat sich Trusted Site Privacy bewährt. Bestandteil der Zertifizierung ist eine Prüfung der Datenschutzkonformität. Außerdem testet sie, ob der Datenschutz transparent und betroffenenfreundlich gestaltet ist und ob die erforderlichen technisch-organisatorischen Maßnahmen umgesetzt wurden.

4. Implementierung eines DSMS zur Steuerung der Datenschutz-Projekte

Ein DSMS beschreibt an erster Stelle die Rollen, Verantwortlichkeiten und die Organisation des Datenschutzes in einem Unternehmen. Als zentrales Instrument führt es ein Verzeichnis aller Datenverarbeitungstätigkeiten. Es umfasst das Management von Einwilligungen und Verträgen sowie das Vorgehen, wenn Daten in Drittländer übermittelt werden sollen. Darüber hinaus sind zum Beispiel auch Folgenabschätzungen für besonders risikobehaftete Datenverarbeitungen, die Umsetzung von IT-Sicherheitsmaßnahmen und die Prozesse zur Wahrung von "Betroffenenrechten" Bestandteil des DSMS.

Ein umfassender und verlässlicher Datenschutz ist ein wichtiges Verkaufsargument. Das bestätigt eine Umfrage des Digitalverbands Bitkom. Demnach sprechen sich 84 Prozent der Besitzer von Smart-Home-Anwendungen für einen vom Hersteller garantierten Datenschutzstandard aus. Ein unabhängiges Siegel dafür wäre für 79 Prozent ein wichtiges Kaufargument.

Aktiv werden: DSGVO kurbelt Datenschutz an

Da bei den Unternehmen nicht nur in dieser Hinsicht noch große Unwissenheit und Unsicherheit hinsichtlich der To-Dos herrschen, befindet sich der Markt für Datenschutz-Services und Produkte erst im Aufbau. Hier hat die vor mittlerweile sechs Monaten in Kraft getretene DSGVO viele Steine ins Rollen gebracht, denn Unternehmen haben als Folge der neuen EU-Verordnung zum ersten Mal Gap-Analysen durchgeführt, also verglichen, was die DSGVO fordert und wie die tatsächliche Situation in der eigenen Organisation aussieht. Denn die Pflicht zur Einhaltung des Datenschutzes bestand mit dem bis dahin geltenden Bundesdatenschutzgesetz auch vorher schon.

Zudem stellen sich Unternehmen nun grundsätzliche Fragen wie: Sind die Geschäftsprozesse hinsichtlich des Datenschutzes rechtmäßig strukturiert? Wie und wo werden Daten überhaupt gespeichert, verarbeitet und weitergegeben? Datenschutz ist keine Aufgabe mehr, die sich einfach an ein technisches Expertenteam delegieren lässt. Wegen der gestiegenen gesetzlichen Anforderungen, der Komplexität des Themas und der übergreifenden Interaktion mit IT-Sicherheit benötigen Unternehmen breit aufgestellte Steuergremien. Sie umfassen zum Teil auch die Geschäftsführung sowie IT-Verantwortliche, Vertreter der Fachbereiche, Sicherheits- und Datenschutzbeauftragte und externe Berater.

Auf keinen Fall lassen sich Datenschutz-Aufgaben ausschließlich extern lösen, interne Ressourcen müssen sich beteiligen. Die Verantwortung für die ordnungsgemäße Durchführung des Datenschutzes liegt am Ende bei der Geschäftsführung, auch wenn der Datenschutzbeauftragte u.a. eine Beratungs- und Überwachungspflicht besitzt.

Praxisbeispiel: Smart-Meter-Gateways

Digitale Stromzähler werden bald der Standard in Haushalten sein. Damit sie mit der Außenwelt kommunizieren können, benötigen sie eine Schnittstelle, die sogenannten „Smart Meter Gateways“. Über sie lassen sich die Verbrauchsdaten an die Stromerzeuger senden beziehungsweise umgekehrt Steuerbefehle empfangen.

Auch andere Geräte lassen sich an diese Gateways anschließen, Elektroautos etwa oder Monitoring-Systeme, die den heimischen Stromverbrauch analysieren und überwachen. Natürlich dürfen Smart Meter Gateways – gerade auch aus Datenschutzgründen – nicht zum Einfallstor für Hacker werden, da Energieverbrauchsdaten auch sensible persönliche Daten darstellen. Aus solchen Datenschutz- sowie aus Sicherheitsgründen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Anforderungsdokument für potenzielle Hersteller veröffentlicht.

Das erste Zertifikat wurde am 20. Dezember 2018 ausgehändigt. Die TÜV Informationstechnik ist bei sechs der neun Gateways für das BSI als Evaluator im Zertifizierungsprozess tätig. Gegenüber der Frankfurter Allgemeinen Sonntagszeitung (FAS) gab Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik, zu Protokoll, dass mit der Digitalisierung viele neue Hersteller auf den Plan treten würden, die sich noch nie einer IT-Security-Tiefenprüfung unterzogen haben und sich deshalb mit den strengen Auflagen der Prüfung ganz neuen Herausforderungen gegenübersahen.

TÜV Informationstechnik liest dabei zum Beispiel alle wichtigen Stellen der Quellcodes aus, um grundlegende Sicherheitsfunktionen zu beurteilen. Hinzu kommen Penetrationstests, bei denen die Prüfer von TÜV Informationstechnik die getesteten Gateways mit simulierten Angriffen überziehen und so testen, ob sie gegen Cyber-Attacken gerüstet sind. TÜV Informationstechnik hat insgesamt weit über fünftausend solcher Tests entwickelt und die Geräte damit geprüft.

Dieser Artikel stammt von unserem Partnerportal Industry of Things.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45691007 / Recht & Sicherheit)