Europäischer Datenschutztag 2020
Mit der zunehmenden Digitalisierung und steigenden Vernetzung unserer Alltagswelt wird die Sicherheit unserer Daten und ihr Schutz vor Missbrauch zu einer immer größeren Herausforderung. Der Europäische Datenschutztag, der traditionell am 28.Januar, dem Jahrestag der Unterzeichnung der Europäischen Datenschutzkonvention im Jahr 1981, begangen wird, rückt diese Problematik einmal mehr in den Mittelpunkt und bietet Raum für Sensibilisierung. Diese ist auch rund zwei Jahre nach Inkrafttreten der EU-DSGVO immer noch vonnöten, denn die „Datenschutz-Baustellen“ – sei es in Unternehmen oder im privaten Umfeld – haben seither nicht wirklich abgenommen. Größte Schwachstelle ist und bleibt dabei das Internet der Dinge, dessen Kontrolle und effektive Absicherung für viele nach wie vor eine Herausforderung darstellt.
Warum birgt das Internet der Dinge so viele Risiken für den Datenschutz?
Der Datenschutz war von Anfang an das Sorgenkind des IoT und daran hat sich bis heute leider nichts geändert. Dieser Umstand ist letztlich verschiedenen Faktoren geschuldet: Zunächst müssen wir uns bewusst machen, dass es sich um eine relativ neue Technologie handelt, deren Infrastruktur sich unentwegt weiterentwickelt. Bis heute gibt es keine einheitlichen technischen Standards hinsichtlich der Datenverarbeitung. Hinzu kommt, dass der IoT-Markt stark segmentiert und hart umkämpft ist. Ein hoher Wettbewerbsdruck hat aber zur Folge, dass für Entwickler und Hersteller meistens eine möglichst kostengünstige Entwicklung und eine schnelle Produkteinführungszeit wichtiger sind als Sicherheitschecks. Umfangreiche Überprüfung auf potenzielle Sicherheitslücken, die unsere Daten und Netze gefährden könnten, fallen deshalb gerne unter den Tisch. Und natürlich spielt auch die hohe Internationalität im IoT-Business eine Rolle. Der Großteil der Geräte kommt aus Ländern wie China oder den USA und die Server, auf welchen unsere personenbezogenen Daten gespeichert und verarbeitet werden, stehen dann natürlich auch dort.
Was sind die größten Schwachstellen im IoT?
Problemverhalten sehe ich hier sowohl auf Seiten der Nutzer als auch der Hersteller: Einerseits sammeln und speichern viele IoT-Geräte unnötigerweise einfach viel zu viele Daten. Die Nutzer selbst sind sich dessen meist gar nicht bewusst und geben, indem sie die Nutzungsbedingungen akzeptieren, dennoch ihre Zustimmung. Dabei handelt es sich teilweise um äußerst sensible Informationen wie Bewegungsprofile oder Gesundheitsdaten. Für Hacker ist dies natürlich ein Glücksfall, bedenkt man, dass Patientendaten auf dem Schwarzmarkt heute höher gehandelt werden als Kreditkarteninformationen.
Andererseits wimmelt es in IoT-Firmware nur so von Sicherheitslücken, die Hackern Tür und Tor für Datendiebstahl eröffnen, und mit geringem Aufwand eigentlich vermeidbar wären. Und mit „wimmeln“ meine ich, dass so gut wie jede IoT-Firmware betroffen ist. Die häufigsten Angriffspunkte sind dabei Standard-User-Credentials, fest programmierte Passwörter in der Firmware oder fehlerhafte Systemkonfigurationen. Manipulationen der IoT-Geräte werden so zum Kinderspiel, da braucht es nicht einmal einen versierten Hacker. Und so kann ein IoT Gerät das Einfallstor zum unkontrollierten Datenabfluss werden, wie es in über 60 Prozent der Incidents im letzten Jahr schon war.
Wie lassen sich unsere Daten im IoT besser schützen?
Nutzer, das heißt sowohl Privatanwender aber auch Unternehmen, sollten sich vor dem Einsatz von IoT-Geräten über dessen Funktionen und Datenflüsse informieren und sich vergewissern, dass die Hoheit über die erhobenen und gespeicherten Daten bei ihnen selbst liegt und sie zudem in der Lage sind, einzelne Funktionen der Datenverarbeitung zu verstehen und gegebenenfalls abzuschalten. Ist dies nicht möglich, sollte man lieber die Finger davon lassen.
Herstellern, aber auch Unternehmensanwendern empfehle ich, mit Hilfe spezieller Analyse-Plattformen selbst aktiv nach Sicherheitslücken in der Firmware von IoT-Geräten zu suchen – und zwar bevor diese auf den Markt kommen bzw. im Unternehmen eingesetzt werden. Egal ob Netzwerkkameras oder Router, jedes Gerät ist ein potenzieller Angriffspunkt, den es abzusichern gilt. Sollten tatsächlich Schwachstellen identifiziert werden, können die Hersteller unproblematisch nachrüsten bzw. die Unternehmen ihre Schutzmaßnahmen, wie z.B. Firewall-Konfigurationen, rechtzeitig daran anpassen. Wer das Vertrauen seiner Kunden und Mitarbeiter nicht aufs Spiel setzen will, sollte alles in seiner Macht Stehende tun, um ihre Daten umfassend und ihrem Wert entsprechend zu verwalten.