Ihre Rollläden schließen sich automatisch, wenn es dunkel wird? Wenn es draußen dämmert, geht die gemütliche Wohnzimmerbeleuchtung an? Und unter der Woche macht Ihnen die Kaffeemaschine immer zur selben Zeit schon mal einen frischen Kaffee, während Sie noch im Bad sind?
Ihre Geräte sind (mit ziemlicher Sicherheit) Teil des Internet of Things (IoT), also dem Internet der Dinge. Aber – was ist das, was kann das und was hat das mit dem Schutz Ihrer Daten zu tun? Ich erzähle es Ihnen in diesem Artikel.
Das Internet der Dinge
Der Begriff “Internet of thinks” (“IoT”, deutsch “Internet der Dinge”) bezeichnet die Vernetzung von elektronischen Geräten (“Dinge”) in Verbindung mit dem Internet. Solche Geräte kommunizieren selbstständig mit Systemen im Internet und auch miteinander über das Internet. Dabei erledigen diese für ihren Besitzer verschiedenste Aufgaben. Diese Dinge sind also vernetzt und in der Regel mit Sensoren, Software und anderen Technologien ausgestattet, um Informationen zu sammeln, zu übertragen und zu empfangen. Hier kommen immer öfter Künstliche Intelligenz (KI) ins Spiel: Diese erweitert IoT-Netzwerke um die Fähigkeit zur Durchführung leistungsfähiger Analysen und maschinellen Lernens. Ein Ziel ist es, Informationen zu sammeln und diese in Echtzeit präzise auszuwerten, damit das jeweilige Gerät seine Aufgaben (also das Rollo steuern, die Kaffeemaschine anschalten, …) bestmöglich erfüllen kann.
Mittlerweile können die unterschiedlichsten Gegenstände Teil des IoT sein: Handys und Fernseher, Haushaltsgeräte wie Kühlschränke oder Waschmaschinen, Fittness-Uhren, Thermostate, Autos oder sogar komplette Fabrikanlagen. Auch medizinische Geräte wie Blutdruckmessgeräte oder Herzschrittmacher können mittlerweile dazugehören. Kurz gesagt: jedes “Ding”, das über einen Sensor und ein Modul zur Datenübertragung verfügt, könnte Teil des IoT sein oder werden.
Das Internet der Dinge verspricht viel: es soll unsere Produktivität erhöhen und uns das Leben bequemer machen. Private Nutzer und Unternehmen erhalten Zugriff auf viele neue Informationen und sollen dadurch Zeit und Kosten sparen. Durch die Optimierung und Verschlankung von Prozessen mithilfe von IoT-Geräten sollen besonders Unternehmen wirtschaftlicher arbeiten können. Zuletzt sollen durch IoT-Geräte große Datenmengen in Echtzeit analysiert und zugänglich gemacht werden.
Doch alles hat bekanntlich seinen Preis – was ist also die Kehrseite der IoT-Medaille?
Die Datenmengen des IoT
Wie viele Daten sammeln IoT Geräte? Die Antwort ist: viel mehr, als die meisten von uns vermuten. Die genaue Datenmenge, die das gesamte Internet der Dinge sammelt, ist nicht zu bestimmen. Durch sein stetiges Wachstum und die ständig variierende Anzahl der angeschlossenen und auch tatsächlich genutzten Geräte können nur Schätzungen abgegeben werden. Diese sind jedoch gewaltig: Das Marktforschungsunternehmen IDC schätzte im Jahr 2020 die durch das IoT erzeugte Datenmenge auf etwa 79,4 Zettabyte pro Jahr. Dabei entspricht ein Zettabyte einer BILLIONEN Gigabyte. Erzeugt wurden diese Datenmengen von etwa 15-20 Milliarden IoT Geräten. Je nach Funktion eines IoT-Geräts und der Art der erfassten Daten können täglich zwischen einigen Megabyte und mehreren Gigabyte Daten von einem einzigen Gerät generiert werden.
Diese Daten sammelt das Internet der Dinge
Die von IoT-Geräten erfassten Daten lassen sich grob in drei Kategorien einteilen:
- Umgebungsdaten: dazu zählen Informationen über die Umgebung des Nutzers bzw. des Gerätes, wie Temperatur, Luftfeuchtigkeit, Lärmbelastung, Lichtintensität, … die von den Geräten gemessen werden.
- Persönliche Daten: dazu zählen alle Informationen über den Benutzer eines IoT-Geräts, wie Name, Adresse, Alter, Gesundheitsdaten (von Fitness-Trackern), Standortdaten (von Smartphones) und sogar Informationen über tägliche Gewohnheiten und Vorlieben.
- Nutzungsdaten: diese Daten zeigen, wie die vernetzten Geräte verwendet werden. Zum Beispiel, wann der jeweilige Nutzer das Licht einschaltet hat, wie oft er den Kühlschrank öffnet, wie oft er sein Auto benutzt oder wie häufig sein Fitness-Tracker getragen wird.
Wenn IoT-Geräte personenbezogene Daten verarbeiten und das über privat genutzte Geräte, die nur die eigenen Daten hausintern verarbeiten, hinausgeht, kommen die gesetzlichen Regelungen zum Datenschutz zum Einsatz. Das passiert schnell, wenn die Daten weiterer Personen im Spiel sind und überdies solche Daten über das Internet mit Dritten geteilt werden (Hersteller, Serviceanbieter, ggf. das öffentliche Internet).
Abgesehen von der sogenannten Haushaltsausnahme ist die Erhebung, Nutzung und weitere Verarbeitung personenbezogener Daten grundsätzlich verboten; es sei denn, es gibt eine gesetzliche Grundlage für diese Verarbeitung oder es liegt eine Einwilligung der betroffenen Person vor. Gerade die Einholung von letzterer ist bei IoT-Geräten in der Praxis oft nicht möglich oder praktikabel.
Bereits private Nutzer sollten sich die Frage stellen: Erfasse ich mit meinen IoT-Geräten Daten von weiteren Personen (z. B. Mitbewohnern, Gästen) und teilen meine Geräte diese Daten mit Dritten?
Unternehmen, die solche Geräte einsetzen oder herstellen, müssen sich weit aufwendiger mit den komplizierten Regelungen zum Datenschutz auseinandersetzen.
Das IoT wirft viele Datenschutz-Fragestellungen auf
Mit der rasanten Verbreitung von IoT-Geräten werden ihre Sicherheit und der Schutz der von ihnen gesammelten Daten immer wichtiger. Sind Dinge unzureichend geschützt, sind sie ein beliebtes und leicht anfälliges Ziel für Cyber-Angriffe. IoT-Geräte sollen oft preiswert sein – gespart wird dann gerne bei der Sicherheit. Werden IoT-Geräte kompromittiert (“gehackt”), ist nicht nur der Schutz von personenbezogenen Daten gefährdet, sondern auch die Privatsphäre von betroffenen Personen: die Geräte können mithören, Standort- und Bewegungsdaten preisgeben, sogar unbemerkt Videoaufnahmen machen. Der Kreativität von Kriminellen sind hier kaum Grenzen gesetzt. Auch großflächige Cyber-Angriffe auf die Infrastruktur von Unternehmen können mit Hilfe tausender kompromittierten IoT-Geräten ferngesteuert durchgeführt werden.
Finden solche Angriffe tatsächlich statt, stellt sich schnell die Frage nach dem Verantwortlichen – und dieser ist kaum festzustellen: ist es der Hersteller, Geräteverleiher oder der Drittanbieter von z. B. spezieller Software? Müssen private Nutzer dafür geradestehen?
Oft gibt es viele Akteure und wenig oder keine Anlaufstellen. Das ist auch ein Problem bei der Übersichtlichkeit der Datennutzung: Nutzer werden oft nicht ausreichend, geschweige denn transparent darüber informiert, welche Daten erfasst werden, wer darauf Zugriff hat und wo und wie lange sie gespeichert werden. Weiterhin fehlt die Möglichkeit eines Widerspruchs gänzlich: Ohne Datenerfassung können IoT-Geräte technisch nicht wunschgemäß funktionieren. Doch auch die Möglichkeit, die Datensammlung wenigstens einzuschränken, fehlt vielen IoT-Geräten bisher.
Auch innerhalb des Internets der Dinge gibt es große Herausforderungen. Verwenden die Geräte verschiedener Hersteller unterschiedliche Standards und Protokolle, wird die Gerät-zu-Gerät Kommunikation entweder unmöglich oder zumindest deutlich erschwert. So entstehen potenzielle Datensilos, die schwer zu analysieren sind. Daher greifen die Hersteller gerne zu weitverbreiteten, sehr offenen und nicht immer noch sicheren (=alten) Schnittstellenstandards.
Zuletzt sind die rechtlichen Herausforderungen für das Internet der Dinge nur schwer zu überschauen. Die gesetzlichen Regelungen zum Datenschutz und zur Cybersicherheit sind komplex und abhängig vom Land, in welchem die betroffenen IoT-Geräte betrieben werden (sollen). Aber es gibt erste sichtbare Bemühungen von Seite des Gesetzgebers: die EU-Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“ definiert Basissicherheitsanforderungen an IoT-Geräte für Verbraucher (Achtung, nicht für IoT-Geräte, die für den gewerblichen Einsatz bestimmt sind). Die Norm richtet sich in erster Linie an die Gerätehersteller, ihre Umsetzung ist jedoch noch freiwillig und damit sicherlich nicht zum dauerhaften Erfolg bestimmt.
Wenn Sie in der Norm nachlesen möchten, finden Sie diese hier: https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
Was hat das alles jetzt mit meinen Daten zu tun?
Das Internet der Dinge hat das Potenzial, Ihren Alltag in vielerlei Hinsicht zu erleichtern und zu verbessern. Es eröffnet spannende Möglichkeiten, bietet Komfort und Effizienz, birgt aber auch große Risiken für Ihre Privatsphäre und den Schutz Ihrer persönlichen Daten. Denken Sie vor dem Kauf nach und wägen Sie Risiko und Nutzen für sich persönlich ab:
- Benötigen Sie die Funktionalitäten eines bestimmten IoT-Geräts wirklich?
- Welche Daten erfasst das Gerät?
- Werden Daten von Ihnen und Ihrem Umfeld an Dritte übermittelt?
- Lassen sich die Geräte auch ohne Internetanbindung betreiben (Braucht Ihre Fritteuse wirklich Internet oder genügt der Zugriff zum WLAN um sie per App zu steuern?)
- Wie können Sie den Umgang mit den Daten von Ihnen und Ihrem Umfeld beschränken?
- Können Sie Geräte ausschalten, wenn diese nicht benötigt werden?
In einer Welt, in der immer mehr Geräte miteinander vernetzt sind, liegt es an uns selbst, kritisch zu hinterfragen, wie unsere Daten genutzt werden und welche Konsequenzen das für unser Leben haben könnte. Je mehr Geräte miteinander vernetzt sind und Daten sammeln, desto mehr Informationen stehen zur Verfügung, auch wenn diese Daten in die falschen Hände geraten.
Ich nutze bereits IoT Geräte, oder möchte mir zeitnah welche anschaffen. Was kann ich tun, um meine Daten zu schützen?
Der Schutz Ihrer Daten im Internet der Dinge ist eine Herausforderung. Aber es gibt einige Basis-Maßnahmen, die Sie selbst ergreifen können:
- Informieren Sie sich vorher: Lesen Sie die Datenschutzrichtlinien der Hersteller, bevor Sie ein IoT-Gerät Gerät anschaffen. So erfahren Sie, welche Daten gesammelt und wie diese verwendet werden. Welche Erfahrungswerte haben andere Nutzer im Internet veröffentlicht? Ist der Anbieter bereits negativ aufgefallen?
- Das Gerät ist da – Wie so oft gilt: Nutzen Sie Starke Passwörter! Ändern Sie besonders die Standardpasswörter sofort nach der Installation. Viele IoT-Geräte sind standardmäßig mit leicht zu erratenden Passwörtern ausgestattet, was ein erhebliches Sicherheitsrisiko darstellt.
- Teilen Sie Daten bewusst: Überlegen Sie genau, welche Daten Sie mit Ihren Geräten teilen möchten und welche nicht. Sofern Ihr IoT-Gerät entsprechende Einstellungsmöglichkeiten bietet, sollten Sie diese nutzen und den Umfang der Datenerfassung bewusst einschränken oder freigeben.
- Regelmäßige Updates: Aktualisieren Sie Ihre Geräte regelmäßig. Hersteller veröffentlichen oft Sicherheitsupdates, um Schwachstellen zu schließen. Wenn Sie diese Updates nicht installieren, bleiben Ihre Geräte anfällig für Angriffe.
- Geräte trennen: Wenn Sie ein IoT-Gerät nicht verwenden, trennen Sie es vom Internet. Das reduziert die Angriffsfläche und minimiert die Möglichkeit, dass jemand auf Ihre Daten zugreifen kann.
Wenn Ihr Zuhause bereits „schlau“ ist oder es bald werden soll, achten Sie bitte ganz besonders darauf, Ihr Heimnetzwerk und alle angeschlossenen Geräte gut abzusichern. Weitere Tipps, wie Sie ihr Smarthome sicher vernetzen, gibt das Bundesamt für Sicherheit in der Informationstechnik unter:
… und weitere Tipps, wenn Ihnen an der Datenverwendung Ihrer IoT-Geräte beim geschäftlichen Einsatz etwas komisch vorkommt, gebe ich Ihnen gerne. Buchen Sie sich einfach einen kostenfreien Kennenlerntermin mit mir: https://thomasrosin.de/termin-vereinbaren/