Unsichtbare Augen und Ohren daheim: IoT und Datensicherheit austarieren

Smarte Geräte als Datensammler und Bedrohung für Privatsphäre und Sicherheit

[datensicherheit.de, 08.01.2025] Der Schutz der Privatsphäre werde im Allgemeinen als ein Grundrecht angesehen und die Bürger hätten oft hohe Erwartungen an den Schutz ihrer personenbezogenen Daten. Lothar Geuenich, „VP Central Europe“ bei Check Point Software Technologies, hebt in seiner aktuellen Stellungnahme indes hervor: „Sie protestieren, wenn sie befürchten, dass sich die Regierungen immer stärker in ihr privates Leben einmischen. Sie machen sich jedoch keine Gedanken darüber, wie viele intime und sensible Daten sie über jeder Anwendung, die sie auf ihrem Smartphone installieren, oder über intelligente Geräte in ihren Wohnungen preisgeben.“

Foto: Check Point

Lothar Geuenich: Datenschutzverletzungen machen deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen sind!

Sogenannte Wearables sammeln intime Details über Nutzer – z.B. erfassen sie Gesundheitsdaten

Große Technologie-Unternehmen und Anbieter von tragbaren Geräten wie „Wearables“, Smartphones und Sprachassistenten sammelten intime Details über ihre Nutzer – oft weit mehr als jeder Gesundheitsdienstleister oder jede Regierungsbehörde. Diese Geräte erfassten Daten über die körperliche Gesundheit (z.B. Herzfrequenz, Schlafverhalten und körperliche Aktivität), das geistige Wohlbefinden (durch Analyse von Sprache, Mimik und Online-Aktivitäten) und persönliche Vorlieben, „z.B. wonach wir suchen, was wir kaufen oder was wir hören“. Sprachassistenten lernten kontinuierlich aus den Interaktionen der Nutzer und erstellen Profile, welche Details über Routinen, Beziehungen und sogar die Stimmung enthalten könnten, welche aus dem Tonfall und der Sprache abgeleitet würden.

Diese Daten gingen über das hinaus, was ein einzelner Arzt wissen könnte, und stellten einen „digitalen Fingerabdruck“ der persönlichen Gesundheit und des Verhaltens dar. So zeichneten „Wearables“ beispielsweise die Herzfrequenz, den Stresspegel und die zurückgelegten Schritte auf und erstellten so eine umfassende Aufzeichnung des körperlichen und geistigen Zustands des Trägers. Online-Plattformen nutzten ausgeklügelte Algorithmen, um die Interessen und das Verhalten der Nutzer besser zu verstehen, als es viele Freunde oder Familienmitglieder könnten, und erfassten so alles – von den Kaufgewohnheiten bis zu den politischen Ansichten.

Zusammenfassung von Daten über Geräte, Apps und digitale Umgebungen hinweg

Diese Unternehmen erreichten eine solche Tiefe, weil sie Daten über Geräte, Apps und digitale Umgebungen hinweg zusammenfassten. „Die gewonnenen Erkenntnisse dienen nicht nur der Bereitstellung von Diensten, sondern werden auch für gezielte Werbung verwendet und können unter bestimmten Bedingungen an Dritte oder staatliche Stellen weitergegeben werden, manchmal ohne das ausdrückliche Wissen der Nutzer“, gibt Geuenich zu bedenken.

Anwendungen müssten die Nutzer zwar um ihre Zustimmung und Erlaubnis bitten, Sensoren in ihrem Gerät zu befragen, aber in der Regel gäben die Nutzer diese Zustimmung schnell und ohne weiteres Überlegen. Diese Daten hätten zwar einen immensen Wert für die Verbesserung von Produkten und die Personalisierung von Diensten, „werfen aber auch erhebliche Bedenken hinsichtlich des Datenschutzes auf, da sie weitgehend unkontrolliert verarbeitet werden und es Technologie-Unternehmen ermöglichen, einen beispiellosen Einblick in die intimen Details von Milliarden von Menschenleben zu erlangen“.

Öffentliche Debatte um Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen

Geuenich blickt zurück: „Im Jahr 2018 erfuhren wir vom Skandal um ,facebook’ und ,Cambridge Analytica’. Kurz gesagt: Ein Beratungsunternehmen sammelte personenbezogene Daten von Millionen von Nutzern ohne deren Zustimmung. Die Daten wurden verwendet, um psychologische Profile von Nutzern zu erstellen, die dann genutzt wurden, um gezielte politische Werbung zu schalten.“ Die Hauptsorge habe der Monetarisierung von Daten, der Erstellung von Werbeprofilen und gezielten Kampagnen gegolten.

Seitdem sei die Diskussion eskaliert und drehe sich nun um Innere Sicherheit, Beeinflussungskampagnen und Spionage durch ausländische Regierungen. So drehe sich eine aktuelle öffentliche Debatte um die Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen. Untersuchungen hätten ergeben, dass solche Apps umfangreiche Nutzerdaten sammelten, darunter Standort-, Kontakt- und Verhaltensdaten, was Bedenken hinsichtlich des Datenschutzes und des möglichen Zugriffs ausländischer Regierungen wecke. Während diese Unternehmen jeglichen unrechtmäßigen Zugriff abstritten, hätten die Regierungen strenge Überwachungsmaßnahmen eingeführt, um sicherzustellen, dass sensible Nutzerdaten nicht gefährdet würden. Dies habe weltweit Maßnahmen ausgelöst, da die Länder der Datensicherheit für ihre Bürger Vorrang einräumten.

Bedenken, dass ausländische Regierungen durch „Hintertüren“ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten

„Auch die Hersteller von Smartphones und IoT-Geräten aus verschiedenen Regionen stehen auf dem Prüfstand. Es wurden Bedenken geäußert, dass ausländische Regierungen durch ,Hintertüren’ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten.“ Dieses Problem trete besonders in Ländern mit unterschiedlichen Ansätzen zum Datenschutz auf, so Geuenich, „insbesondere in autoritären Regierungen, die der staatlichen Kontrolle Vorrang gegenüber der Privatsphäre des Einzelnen einräumen“. Diese Praktiken hätten zu einer verstärkten Besorgnis über den möglichen Missbrauch von Geräten für Spionage oder Überwachung geführt.

Die Datenschutzgesetze in den europäischen Ländern veranschaulichten das Engagement für den Datenschutz, indem sie dem Einzelnen die Kontrolle über seine Daten gäben und von den Unternehmen Transparenz bei der Datenerfassung und -weitergabe verlangten. Solche Rahmenwerke seien von kulturellen Werten beeinflusst, die individuelle Freiheiten und eine tief verwurzelte Abneigung gegen Überwachung, insbesondere im privaten Bereich der eigenen Wohnung, in den Vordergrund stellten.

Divergierende Datenschutzstandards mit Auswirkungen auf internationale Beziehungen und globalen IoT-Markt

Diese Divergenz präge nicht nur lokale Datenschutzstandards, sondern habe auch Auswirkungen auf internationale Beziehungen und den globalen IoT-Markt: „Viele Länder führen zunehmend Maßnahmen ein, um im Ausland hergestellte Geräte einzuschränken, die im Verdacht stehen, für staatliche Eingriffe anfällig zu sein, und verstärken damit den breiteren geopolitischen Wettbewerb zwischen offenen und geschlossenen Datenverwaltungsmodellen.“

Wie diese Fälle zeigten, sei die Bedrohung keine hypothetische Angelegenheit. Regierungen auf der ganzen Welt setzten sich mit den Auswirkungen von IoT-Geräten auf die Sicherheit und den Datenschutz auseinander, insbesondere von Anbietern mit potenziellen Verbindungen zur staatlichen Überwachung.

3 wesentliche Ansätze für mehr Datensicherheit

Als Reaktion darauf seien mehrere regulatorische und rechtliche Maßnahmen im Gange:

Verbote und Beschränkungen für „Hochrisiko-Lieferanten“
Einige Regierungen hätten Maßnahmen ergriffen, indem sie bestimmte, im Ausland hergestellte Geräte aus Kritischen Infrastrukturen verbannt hätten, insbesondere in Regierungsgebäuden und anderen sensiblen Bereichen. Dieser Ansatz sei zwar umstritten, werde aber als notwendiger Schritt zur Verringerung des Spionagerisikos angesehen.

Gesetze zum Schutz von Daten und Privatsphäre
Die europäische DSGVO und ähnliche Gesetze auf der ganzen Welt sollten den Verbrauchern mehr Kontrolle über ihre Daten geben. Diese Vorschriften verlangten, dass Unternehmen klare Zustimmungsoptionen anböten, die Datennutzung offenlegten und den Nutzern die Möglichkeit gäben, die von ihren Geräten erfassten Daten zu verwalten.
Die Durchsetzung dieser Gesetze gegenüber ausländischen Unternehmen bleibe jedoch eine Herausforderung. Aus diesem Grund habe die Europäische Kommission das neue Gesetz über die Widerstandsfähigkeit gegen Cyber-Angriffe (Cyber Resilience Act, CRA) verabschiedet, welches von den Herstellern verlange, bei allen vernetzten Geräten sowohl die Datenschutz- als auch die Sicherheitsanforderungen beim Vertrieb auf dem europäischen Markt einzuhalten.

Sicherheitsstandards für Geräte
Mehrere Länder hätten Gesetze erlassen, die Mindest-Sicherheitsstandards für von Behörden verwendete Geräte vorschreiben. Diese Gesetze förderten grundlegende Sicherheitsmaßnahmen – wie das Verbot von Standard-Passwörtern – und verringerten so das Risiko eines unbefugten Zugriffs.

IoT-Sicherheit als eigener Aspekt der Cyber- bzw. Datensicherheit

Die in den Zeitungen landenden Datenschutzverletzungen machten deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen seien. Geuenich betont abschließend: „Es geht darum, wie diese ,Smart Devices’ in den falschen Händen die Privatsphäre und Sicherheit von jedem gefährden könnten.“

„Wenn Regierungen, Aufsichtsbehörden und Verbraucher beginnen, sich mit dieser Tatsache zu befassen, werden Zusammenarbeit und Wachsamkeit der Schlüssel sein, um die Unantastbarkeit der Privatsphäre zu bewahren.“ Zudem werde dann das Bewusstsein für die IoT-Sicherheit als eigener Aspekt der Cyber-Sicherheit gestärkt werden, „damit die Geräte ab Werk und im Einsatz umfassend geschützt sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 29.08.2024
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht / Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf