Worldwide China Indien

IoT und DSGVO

IoT und Datenschutz – diese Besonderheiten sind zu beachten

| Autor / Redakteur: Oliver Schonschek / Matthias Back

Viele Anwender sind skeptisch, wenn es um die IoT-Sicherheit geht. Zurecht: Untersuchungen von IT-Sicherheitsanbietern zeigen, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist.
Viele Anwender sind skeptisch, wenn es um die IoT-Sicherheit geht. Zurecht: Untersuchungen von IT-Sicherheitsanbietern zeigen, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist. (Bild: © EtiAmmos - stock.adobe.com)

Das Internet der Dinge birgt viele Risiken für den Schutz personenbezogener Daten, so das Fazit vieler Umfragen und Studien. Doch warum ist das eigentlich so? Was macht den Datenschutz in IoT-Lösungen besonders schwierig? Das sollten Anwenderunternehmen für eine Datenschutzfolgenabschätzung (DSFA) wissen.

„Mit der stark wachsenden Zahl der IoT-Geräte nimmt auch die Unsicherheit der Verbraucher mit Blick auf Datenschutz und Datensicherheit bei solchen Geräten enorm zu. Das wiederum stellt für Hersteller und Systemanbieter ein echtes Markthemmnis dar“, erläutert Günter Martin, Chief Technology Officer im Center of Excellence IoT Privacy bei TÜV Rheinland. „Datenschutz und Vertrauenswürdigkeit digitaler Systeme und smarter Produkte sind entscheidend für Innovationen“, so Günter Martin weiter.

Gleichzeitig zeigen Untersuchungen von IT-Sicherheitsanbietern, dass es um die Datensicherheit bei IoT-Geräten nicht gut bestellt ist, das mangelnde Vertrauen der Anwender ist also in vielen Fällen durchaus begründet.

Die 10 häufigsten Ursachen von Datenschutzverletzungen

Eine Umfrage von Gemalto zeigt auf, dass nur rund die Hälfte (48 Prozent) aller Unternehmen in der Lage sind, eine Sicherheitsverletzung bei einem ihrer IoT-Geräte zu erkennen. Das geschieht trotz eines verstärkten Fokus auf IoT-Sicherheit:

  • Die Ausgaben für den Schutz sind gestiegen (von elf Prozent des IoT-Budgets im Jahr 2017 auf jetzt 13 Prozent).
  • Fast alle Befragten (90 Prozent) sind der Ansicht, dass dies für Kunden eine wichtige Rolle spielt.
  • Im Vergleich zum Vorjahr (vier Prozent) betrachten heute rund dreimal so viele Organisationen IoT-Sicherheit als moralische Verantwortung (14 Prozent)

Nur drei von fünf (59 Prozent) Unternehmen geben an, dass sie alle Daten verschlüsseln, die durch IoT erfasst und zur Analyse genutzt werden – trotz vorhandener IoT-Sicherheitsbudgets. Die Verbraucher sind nicht von den Bemühungen der IoT-Industrie beeindruckt, da 62 Prozent der Befragten der Meinung sind, dass die Sicherheit verbessert werden müsse. In Bezug auf die größten Problembereiche befürchten 54 Prozent einen Mangel an Privatsphäre durch angeschlossene Geräte, dicht gefolgt vom Zugriff durch Unbefugte, wie Hacker, die Geräte kontrollieren (51 Prozent), und mangelnde Kontrolle über personenbezogene Daten (50 Prozent).

Auch Trend Micro hat eine Umfrage unter IT-Entscheidern zum Thema Sicherheit im Internet der Dinge (IoT) durchgeführt. Laut dieser Studie sorgen sich die Befragten im Falle eines Cyberangriffs auf IoT-Anwendungen vor allem um das Vertrauen ihrer Kunden. Ebenfalls geht aus der Umfrage hervor, dass eine große Diskrepanz zwischen den Investitionen in IoT-Systeme und deren Absicherung besteht.

IoT-Datenschutz benötigt spezielle Maßnahmen

Datenschutz spielt beim IoT eine große Rolle. So würden Datenschutznachweise das Vertrauen in Smart-Home-Produkte steigern.
Datenschutz spielt beim IoT eine große Rolle. So würden Datenschutznachweise das Vertrauen in Smart-Home-Produkte steigern. (Bild: TÜV Rheinland)

Die Datenschutz-Grundverordnung (DSGVO) sorgt für einheitliche Datenschutzvorgaben, was aber nicht bedeutet, dass in allen Bereichen die gleichen Datenschutz-Maßnahmen erforderlich sind. Hinsichtlich der Sicherheit der Verarbeitung (Artikel 32 DSGVO) sollen die Maßnahmen ausgewählt werden, „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“.

Bestehen also besondere Risiken für den Datenschutz, müssen auch spezielle Schutzmaßnahmen ergriffen werden. Ebenso ist eine Datenschutzfolgenabschätzung (DSFA) notwendig, die die konkreten Folgen für den Datenschutz analysiert und Maßnahmen benennt, wenn das geplante IoT-Projekt umgesetzt werden soll.

Europas KI-Markt soll sich bis 2022 verfünffachen

Künstliche Intelligenz

Europas KI-Markt soll sich bis 2022 verfünffachen

14.01.19 - Im vergangenen Jahr stellte nicht zuletzt die Bundesregierung das Thema Künstliche Intelligenz in den Vordergrund der digitalen Entwicklung Europas. Glaubt man einer aktuellen Studie des EITO, könnte der europäische Markt in den nächsten Jahren auf bis zu 10 Milliarden Euro wachsen. lesen

Das Internet der Dinge erfüllt in aller Regel die Voraussetzungen für die geforderte DSFA (Artikel 35 DSGVO): Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Worauf bei IoT im Datenschutz besonders zu achten ist

Welche Maßnahmen für den Datenschutz im IoT sind nun insbesondere zu ergreifen, zusätzlich zu den Lösungen für die IoT-Sicherheit:

  • Information und Einwilligung: Zulässig ist Verarbeitung personenbezogener Daten im IoT nur dann, wenn sie auf einer informierten Einwilligung der Nutzerinnen und Nutzer oder einer gesetzlichen Verpflichtung beruht. Dazu gehört aber insbesondere, dass die Hersteller über Funktionen und Datenflüsse verständlich aufklären. Bei vielen IoT-Lösungen ist es aber technisch gar nicht möglich, eine Einwilligung anzufordern oder zu erteilen, Funktionen und Datenflüsse sind nicht transparent für den Nutzer. Das muss sich ändern.
  • Datenkontrolle: Die Hoheit über die erhobenen bzw. gespeicherten Daten liegt bei den Nutzerinnen und Nutzern, es muss ihnen ermöglicht werden, einzelne Funktionen der Datenverarbeitung zu erkennen und auch abzuschalten. Bei vielen IoT-Lösungen sind solche Optionen weder vorgesehen noch technisch für den Nutzer oder die Nutzerin umsetzbar. Auch das darf nicht so bleiben.
  • Schutz vor Profiling: Die Nutzerinnen und Nutzer können vielfach direkt oder indirekt identifiziert werden, zum Beispiel durch die Gerätekennzeichen und eine Registrierung der Nutzer für ein bestimmtes Gerät. Die IoT-Daten können so zu Nutzerprofilen und zum Tracking führen, oftmals werden Standortdaten der Geräte und ihrer Nutzer erhoben, gespeichert und ausgewertet, ohne Einwilligung und Wissen der Betroffenen.
  • Schutz sensibler Daten: Die Daten, die IoT-Lösungen verarbeiten, sind oftmals den besonderen Kategorien personenbezogener Daten zuzuordnen, eine Verschlüsselung der Daten erfolgt trotzdem nicht. Beispiele für solche Daten sind insbesondere Gesundheitsdaten, die nicht nur die klassischen Fitness-Tracker auswerten, sondern auch alle IoT-Geräte mit entsprechenden Apps. Noch weiter verbreitet ist die Verarbeitung von Standortdaten, die Rückschlüsse auf Personen und ihr Verhalten zulassen

Das sind wichtige Beispiele für Datenschutz-Probleme im IoT. Werden diese nicht abgewendet, muss mit hohen Risiken für die betroffenen Personen gerechnet werden, ohne Gegenmaßnahmen liegt dann eine Datenschutzverletzung vor. Im IoT-Datenschutz gibt es also noch einiges zu tun.

Schalke 04 schafft es in die Hitliste der unsäglichen Passwörter in Deutschland

Datensicherheit in Deutschland

Schalke 04 schafft es in die Hitliste der unsäglichen Passwörter in Deutschland

10.01.17 - Ein Blick auf die Top Ten der in Deutschland meistgenutzten Passwörter zeigt: Trotz täglicher Meldungen über Daten- und Identitätsdiebstahl sind schwache und unsichere Passwörter weiterhin sehr beliebt. lesen

Dieser Beitrag ist ursprünglich auf unserem Partnerportal BigData Insider erschienen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45864919 / Management)