Internet der Dinge – Datenschutz ist Pflicht
Frankfurt am Main – Wer über die Umsetzung des Internet der Dinge (IoT) redet, kommt am Thema Datenschutz nicht vorbei – oder an Sicherheit, Interoperabilität, Governance und der Hautverträglichkeit von Wearables. Die Bedenken zum Datenschutz und zur Privatsphäre werden besonders hartnäckig wiederholt; doch was trägt das Internet der Dinge wirklich dazu bei? Ping Identity zeigt die drei häufigsten Bedenken zu IoT und Datenschutz auf:
Bedenken #1: Kriminelle stehlen personenbezogene Daten
Hier geht es in Wirklichkeit eher um Sicherheit als um Datenschutz. Wenn sowohl Nutzer wie auch Datenverwalter überrascht werden und ihren Unmut dazu äußern können, sprechen wir von einem Sicherheitsleck. Wenn es alleine den Nutzer kümmert, so nennen wir es einen Verlust der Privatsphäre. Um dem zu begegnen, könnte der Datenverwalter vielleicht in Zukunft einen Schwur leisten, analog zum Hippokratischen Eid der Ärzte. Statt dem Versprechen, „nicht zum Schaden des Kranken“ zu handeln, wäre es im IoT-Kontext: „Ich schwöre, keine Daten zu verlieren“.
Bedenken #2: Daten werden ohne Zustimmung gesammelt
Die Angst vor einem Überwachungsstaat aus Sicherheitskameras, Google Glass und intelligenten Thermostaten endet nicht unbedingt in der Forderung nach mehr Schutz der Daten. Datenschutz meint hier eher das „Recht, alleine gelassen zu werden“. Zur Umsetzung dieses Rechts benötigt man außer einem TOR-Browser keine technischen Abwehrmittel, sondern lediglich eine Maske für‘s Gesicht sowie Gesetze für die Handhabung von Smartphones, etwa Verbote in Umkleidekabinen, und soziale Umgangsformen und Etikette, zum Beispiel bei der Verwendung von Google Glass.
Bedenken #3: Personenbezogene Daten werden unsachgemäß verwendet oder mit Dritten geteilt
Hier meint Datenschutz die Kontrolle der eigenen Daten. Nach dieser Lesart ist der Faustsche Handel, den wir mit Facebook abschließen – unsere Geheimnisse gegen angepasste Werbung – absolut in Ordnung, solange wir exakt erfahren, wie die Daten genutzt und verteilt werden. Früher konnten Nutzer dabei externen Apps nur per Ja/Nein-Einstellung Zugriff auf ihre Daten gewähren, mittlerweile lässt sich alles im Detail regeln.
Die Zustimmung des Nutzers resultiert heute im Aussand eines OAuth Security Tokens an die anfragende Anwendung. Die Anwendung zeigt diesen Token gegenüber Facebook vor, sobald sie Nutzerdaten abholen möchte – und beweist somit, dass sie mit Zustimmung des Nutzers handelt. Zurzeit wird geprüft, ob diese Verfahren, also die zugrundeliegenden Sicherheitsprotokolle wie OAuth und OpenID Connect, auch für die IoT-Architektur verwendet werden können.
IoT zwingt zu transparenter Authentifizierung
„IoT wird es Nutzern wohl leichter machen, die Kontrolle zu verlieren. Ein großer Teil der Kommunikation zwischen Dingen und Anwendungen wird stattfinden, ohne dass der User sich in Echtzeit einmischt“, meint Michael Neumayr, Regional Manager bei Ping Identity. Etwa, wenn das Thermostat-System Nest einen Anstieg von Kohlenmonoxid in der Luft misst, dem Ofen das AUS-Signal sendet und der Garage sagt, dass sie sich bitte schließen möge, sofern niemand mehr im Haus ist. Da diese Prozesse ohne aktive Teilnahme des Menschen stattfinden sollen, benötigen sie ein klares, einfaches und detailreiches User Interface System, auf dem er zu Beginn solche Abläufe und Sequenzen autorisiert“
Privatsphäre und Datenschutz im Internet der Dinge sind also ein wichtiges Thema, wenn auch kein neues. Alte Probleme, wie die drei Bedenken, werden allerdings nun verstärkt. „Die Authentifizierungsmodelle und Identitätsstandards, die in den letzten Jahren entwickelt wurden, um im heutigen Internet für Datenschutz zu sorgen, werden also auch im Internet der Dinge dringend benötigt“, meint Michael Neumayr, Regional Manager von Ping Identity.