Alle Beiträge von Hermann Wimmer

“Recht auf Vergessen”: Studie zum Thema Verbraucherschutz

Um ihre Privatsphäre im Bereich Internet of Things (IoT) zu schützen, fordern Konsumenten bessere Transparenz und mehr Kontrolle, aber auch die Handlungsbereitschaft von Regierung und der Industrie. Für die Studie wurden 1.629 Verbraucher aus acht Ländern (Deutschland, Frankreich, Großbritannien, USA, Australien, China, Japan und Südkorea) befragt.

Kontrolle über persönliche Daten behalten

Ein Großteil der befragten Konsumenten hat Bedenken, dass persönliche Daten ohne die Einwilligung gespeichert und weitergegeben werden könnten. Deshalb möchten die Verbraucher die Kontrolle darüber haben, welche Informationen gesammelt werden (92 Prozent der Befragten). Sie geben an, dass sie direkt am Point of Sale wissen wollen, ob und welche Daten auf dem Device gespeichert worden sind. Dieselbe Anzahl der Verbraucher fordert zudem härter Strafen für Firmen, die die eigene Privatsphäre verletzten. Knapp 90 Prozent fühlen sich außerdem nicht wohl bei dem Gedanken, dass unbekannte Dritte Zugang zu ihren Daten haben. Ihre Sorge reicht von Identitätsdiebstahl bis hin zu unwissentlich angelegten Profilen über das eigene Verbraucherverhalten. Außerdem sind 74 Prozent besorgt, dass kleine Eingriffe in die Privatsphäre eventuell zu einer Einschränkung der Grundrechte führen können. Deshalb fordern 57 Prozent das Recht ein, ihre Daten endgültig löschen lassen zu können („Recht auf Vergessen“), das inzwischen das wichtigste Verbraucher-Recht, hinsichtlich der Nutzung privater Daten durch Dritte, darstellt.

Obwohl Unternehmen weltweit das Thema Datenschutz gelegentlich ignorieren, wollen Verbraucher ihre Rechte auf Privatsphäre in der Datenschutz-Grundverordnung (DSGVO) verankert sehen, die im Mai 2018 in Kraft treten wird.

Bewusstsein um Datenschutz wächst

Auch aufgrund der brandaktuellen Diskussion um das Datenhandling von Facebook, ist das Thema zum Schutz der persönlichen Daten aktueller denn je. Aus gutem Grund. Der EIU Report zeigt, dass die Verbraucher sich der Risiken von Weitergabe persönlicher Daten bewusst sind und mehr Kontrolle darüber haben möchten, was gespeichert, verwaltet und geteilt wird. Jeder, der im IoT oder in einem Industriebereich arbeitet, in dem Verbraucherdaten genutzt werden, sollte besser über die Möglichkeiten des Datenschutzes der Verbraucher informiert sein.

Wie denken die Verbraucher über das Thema Datenschutz? (Quelle: Forge Rock)

Der Report basiert auf der Studie “Was das Internet der Dinge für die Privatsphäre bedeutet” (im Original: “What the Internet of Things means for consumer privacy“) im Auftrag von Forge Rock.

4 Schritte zum DSGVO-konformen Datenschutz

Das IoT wird den Unternehmen unzählige Geschäftsmöglichkeiten eröffnen. Aber wenn sie ihre eigenen IoT-Lösungen komplett selbst entwickeln wollen, merken sie schnell, dass der sichere Datenaustausch mit einem Augenmerk auf die Privatsphäre schwierig ist: Spätestens am 25. Mai 2018 muss die DSGVO umgesetzt werden. Diese weitreichende Regulierung zwingt Unternehmen, die mit IoT-Geschäftsmodellen planen oder schon auf dem Markt sind,  verbraucherorientiert zu handeln. Denn wenn das Unternehmen persönliche Daten von EU-Bürgern speichert oder verarbeitet, gilt die DSGVO. 

Was sind die Ziele der DSGVO? Es ist vor allem der Datenschutz mit Wahlmöglichkeiten und Kontrolle für die Verbraucher. Diese können ihre grundlegenden Persönlichkeitsrechte besser ausüben und die Kontrolle über ihre personenbezogenen Daten wiedererlangen. Um es auf einen Nenner zu bringen: Unternehmen müssen vertrauenswürdige digitale Beziehungen aufbauen.

4 Schritte zur Umsetzung

Also was ist zu tun? Unternehmen können die folgenden Schritte beachten, um den IoT-Datenschutz zu garantieren und für die DSGVO bereit zu sein:

Schritt Nr. 1: Identifizieren Sie, wo sich die Chancen der digitalen Transformation mit den Risiken des Nutzervertrauens überschneiden

IoT kann alle interessanten Geschäftsmöglichkeiten vorantreiben, von vernetzter Kleidung und Sportausrüstung bis hin zu bahnbrechenden, intelligenten Gesundheitsgeräten. Aber wenn der Datenaustausch brach liegt, weil es unmöglich scheint, diesen sicher zu gewährleisten, kann es zu einem Vertrauensbruch zwischen dem Nutzer und dem Anbieter kommen. Eine Annäherung kann nur gelingen, wenn die richtigen Interessengruppen der privaten und unternehmerischen Seite zusammenarbeiten, um genau zu definieren, um welche sensiblen Daten es sich handelt.

Schritt Nr. 2: Persönliche Daten als gemeinsamen Wert begreifen

Unternehmen oder zumindest ihre Marketingabteilungen sind meistens sehr „besitzergreifend“, wenn es um persönliche Daten geht, die sie von Verbrauchern erfassen. Mit der DSGVO ist diese Vorgehensweise jedoch vorbei. Nur wenn das Unternehmen die persönlichen Daten der Nutzer als etwas sieht, an dem sie beide beteiligt sind – sowohl das Unternehmen als auch der Verbraucher – dann ist eine erfolgreiche, langanhaltende Beziehung möglich. 

Schritt Nr. 3: „Ausdrückliche Zustimmung“ gewähren

Die DSGVO definiert sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Eine davon ist Consent („Zustimmung“). Aber was bedeutet die „ausdrückliche Zustimmung“? Einerseits muss der Dateneigentümer über die erfassten Daten vollständig informiert werden und muss wissen, zu welchem Zweck die Daten genutzt werden und wer Zugriff darauf hat, bevor er seine Zustimmung erteilt. Andererseits muss der Anbieter explizit die Zustimmung für die Verwendung und Verarbeitung der Daten in Form eines „Opt-In“ des Endbenutzers einholen (im Gegensatz zu einem „Opt-Out“). In der heutigen stark konsumorientierten Gesellschaft ist der Endnutzer nun der ausdrückliche Verwalter seiner Autorisierungsentscheidungen. Die Regulierung legt die Entscheidungsfindung in die Hände des Endnutzers und ermöglicht es ihm, den Zugriff auf seine Daten proaktiv zu erteilen und vor allem zu widerrufen. Dies ist eine wichtige Grundlage des Consent-Managements der DSGVO.

Schritt Nr. 4: Bauen Sie Vertrauen mit einem Identity & Access Management auf

Die IoT-Welt lernt vieles schneller als die die Web- und API-Bereiche: Sicherheits- und Datenschutzfunktionen hinzuzufügen gestaltet sich als viel schwieriger, wenn authentisierte Identitäten nicht überprüft werden können und so ihr Zugriff autorisiert werden kann. Die Infrastruktur des Identity & Access Managements ist das richtige Modell, um vertrauenswürdige digitale Beziehungen aufzubauen. Der Datenschutz umfasst die Verwaltung von Identitätsdaten und den Aufbau einer einheitlichen Sicht auf den Kunden über viele einzelne, intelligente Geräte und Anwendungen hinweg. Nutzer müssen die Möglichkeit haben, ihre persönlichen Daten zu korrigieren und zu entscheiden, ob und wie die Daten anderweitig verwendet werden dürfen oder diese auch endgültig zu löschen – zum Beispiel den Zugang zu Insulinpumpendaten oder sogar zu den Steuerungsfunktionen einer Pumpe an einen Arzt oder zu einer Pflegeperson.

Digitale Beziehungen schützen und nutzen 

Die DSGVO ist eine der modernsten Regelungen. Und das ist ein Glück für das Internet der Dinge mit seinen schnell wachsenden Technologie- und Geschäftsmöglichkeiten. Um sich auf die Datenschutz-Grundverordnung vorzubereiten, müssen Unternehmen mehr als Datenschutz gewährleisten, sondern vor allem Datentransparenz und Datenkontrolle umsetzen. Die Entscheidungen, die Unternehmen über die Daten ihrer Kunden treffen, reflektieren nicht nur die Maßnahmen des Datenschutzbeauftragten, sondern das gesamte Geschäftsmodell.  

Identitätsmanagement für das IoT

Unabhängig davon, in welcher Branche sie tätig sind, geraten Unternehmen aus verschiedenen Gesichtspunkten unter Transformationsdruck: von störenden Wettbewerbern, die den Bedarf an agilen Diensten vorantreiben, bis hin zu regulatorischem Druck wie der neuen EU-Datenschutz-Grundverordnung (DSGVO) oder der Zahlungsrichtlinie 2 (Payment Service Directive 2, kurz PSD2). Zudem sind Nutzer heutzutage ebenfalls besser informiert und anspruchsvoller als je zuvor. Sie erwarten ein reibungsloses Registrierungs- und Anmeldeverfahren, verbunden mit einer personalisierten Erfahrung, die Sicherheit und Privatsphäre garantiert.

Angesichts dieses Wettbewerbsdrucks müssen Unternehmen sicherstellen, dass sie über die richtige Strategie für ein geräte- und personenbasiertes Identitäts- und Zugriffsmanagement verfügen. Diese muss es ihnen ermöglichen, sowohl das Nutzererlebnis zu verbessern als auch den richtigen Zugang zu den richtigen Personen zum richtigen Zeitpunkt.

Cybersecurity-Angriffe sind heute komplexer, zahlreicher und schwieriger zu erkennen und somit zu verhindern als je zuvor. Im Jahr 2015 zum Beispiel stieg die Zahl der Spear Phishing-Angriffe, die sowohl große als auch kleine Unternehmen betrafen, im Vergleich zum Vorjahr um 55 Prozent.

Durch die Aufnahme von IoT-geführten Programmen in Branchen wie der Automobilindustrie sowie dem Versicherungs- und Gesundheitswesen wird ein neuer potenzieller Angriffsvektor eingeführt. Der im letzten Jahr erfolgte Angriff auf den DNS-Infrastruktur-Anbieter Dyn machte das Schadensausmaß deutlich, zu dem ein IoT-betriebenes Botnetz im Stande ist. Dyn schätzte, dass etwa 100.000 bösartige Endgeräte an dem Angriff beteiligt waren, was ein weiteres deutliches Zeichen dafür war, dass die IoT-Sicherheit für jeden Gerätehersteller oder Service-Anbieter, der mit Geräten interagiert, ein zentrales Anliegen sein sollte.

Entstandene Kosten

Die tatsächlichen Auswirkungen von Cybersecurity-Angriffen sind schwer einzuschätzen. Nach den Untersuchungen einer 2016 von IBM und dem Ponemon Institut durchgeführten Studie („Cost of Data Breach“) stiegen die konsolidierten Gesamtkosten einer Datenpanne von 3,8 Millionen US-Dollar im Jahr 2014 auf 4 Millionen US-Dollar im Jahr 2015, wobei die durchschnittlichen Kosten für jeden verlorenen oder gestohlenen Datensatz mit sensiblen und vertraulichen Informationen von 154 US-Dollar auf 158 US-Dollar anstiegen.   

Wenn man bedenkt, dass im Symantec-Bericht 2016 festgestellt wurde, dass 2015 mehr als eine halbe Milliarde Identitätsdatensätze verloren gingen oder gestohlen wurden, sind die Gesamtkosten für Sicherheitsfehler enorm hoch. Die Zahlen für nicht gemeldete oder (bisher) unbekannte Fälle von Identitätsdiebstahl sind zudem hier nicht berücksichtigt.

Über diese konkreten Kosten hinaus ist der Imageschaden für Unternehmen oft beträchtlich. Dies sollte in den meisten Fällen ein ausreichender Anreiz für Unternehmen sein, sichere und datenschutzerhaltende Dienste auf eine Vielzahl von Geräten bereitzustellen.

Intelligent, einfach & sicher?

Initiativen im Bereich Informationssicherheit stehen immer wieder vor der alten Herausforderung, sichere Dienste für die Anmeldung und Zugriffsverwaltung bereitzustellen, ohne die Benutzerfreundlichkeit einzuschränken. Der Endanwender wünscht sich einen reibungslosen Ablauf der Dienste, sowohl im öffentlichen als auch im privaten Bereich.

Viele Nutzer sind jedoch tatsächlich nur einen Mausklick von einem Wechsel zu einem Wettbewerber entfernt. Dies bedeutet, dass Unternehmen nicht nur die Datensicherheit gewährleisten, sondern gleichzeitig auch das Nutzererlebnis verbessern müssen, ohne dabei als übermäßig schützend oder einschränkend empfunden zu werden.

Der moderne Anmeldeprozess muss dabei immer mehr eine Vielzahl von Faktoren umfassen. Die Tage, an denen ein einfacher Benutzername und Passwort für eine sichere Authentifizierung ausreichten, sind längst vorbei. Passwörter, die vom Endanwender ausgewählt werden, sind selten komplex genug, um Einzigartigkeit zu gewährleisten. Und viele Unternehmen kämpfen immer noch mit der sicheren Speicherung von Passwortdaten – oft mit veralteten Verschlüsselungsverfahren, die leicht rückgängig gemacht werden können. Beim Abspeichern von Passwörtern sollten moderne Ansätze wie Scrypt oder Bcrypt zum Einsatz kommen, die es Angreifern erschweren, durch Brute Force die zugrundeliegenden Passwortwerte zu erraten.

Dennoch sollte die Authentifizierung nicht mehr nur auf Benutzername und Passwort basieren, sondern sich auf eine Reihe verschiedener Datenpunkte konzentrieren. Der Anmeldevorgang sollte weitere risikorelevante Daten bzw. Parameter berücksichtigen, die verknüpft werden, wie zum Beispiel Tageszeit, Standort, das Gerät, von dem die Anfrage kommt, das letzte Mal, wann der Nutzer sein Passwort geändert oder sich erfolgreich angemeldet hat. Dieser kontextuelle Ansatz zur korrekten Identifizierung eines Benutzers hilft, die Anzahl der Komponenten zu erhöhen, die ein böswilliger Angreifer kompromittieren müsste, um Zugriff auf einen Service oder eine Anwendung zu erhalten.

Wenn ein High-Risk User identifiziert wird, sollten sekundäre Authentifizierungsmechanismen in Betracht gezogen werden. Vergleichsweise einfach in der Handhabung ist hier ein Einmal-Kennwort („Code“), welches an eine vorregistrierte Handynummer oder Email-Adresse geschickt wird – auf einem gesonderten Kommunikationsweg. Aber auch diese Methode ist anfällig für ein mögliches Abfangen. Mobile Push-Authentifizierung, gekoppelt mit lokaler Fingerabdruck-Biometrie oder lokaler PIN-Eingabe sind daher noch besser geeignet.

Sobald ein Nutzer authentifiziert ist, sollte die Sicherheitsüberprüfung allerdings nicht an dieser Stelle aufhören. Kontinuierliche Berechtigungskontrollen sollten weiterhin verwendet werden, um sicherzustellen, dass die laufende Session oder das Cookie nicht abgefangen und weitergeleitet wurden, indem die Sitzung an das Originalgerät gebunden oder Standortüberprüfungen durchgeführt werden.

Das Internet der Dinge sichern

Der Angriff auf Dyn machte deutlich, dass Organisationen eine klare Strategie für IoT und browserlose Geräte benötigen. Diese Geräte müssen sicher authentifiziert werden, um zuverlässig festzustellen, dass sie nicht gefälscht sind oder ihr Betriebssystem oder ihre Firmware manipuliert oder „gerooted“ wurden. 

Ein Gerät, insbesondere in der Consumer-Welt, sollte dann sicher mit einem physischen Benutzer „gepaart“ werden und nur die notwendigen Berechtigungen erhalten, die für den Zugriff auf Cloud-Services oder APIs im Namen des Eigentümers erforderlich sind. Es sollte auch eine klare und einfache Methode für den Besitzer eines Geräts geben, um bei Verlust, Diebstahl oder Weiterverkauf eines Geräts den Zugriff zu widerrufen.

Viele Unternehmen haben hier Nachholbedarf und müssten mindestens ihre Identitätsregistrierungs-, Authentifizierungs- und Autorisierungsdienste ausbauen, um die Integration von IoT-basierten Geräten zu erleichtern und die Geräteeinbindung, -paarung und -autorisierung mit abzudecken.

Das Paradoxon Personalisierung & Datenschutz

Daten- und Informationssicherheit mit Benutzerfreundlichkeit unter einen Hut zu bekommen, ist eine ernste Herausforderung und gleicht einem Paradoxon. Besonders unter dem Gesichtspunkt, dass der Schutz seiner Privatsphäre für Endanwender immer wichtiger wird. Sicherheit und Privatsphäre unterscheiden sich, aber sind untrennbar miteinander verbunden, da Endanwender sich eine stärkere Personalisierung wünschen, wenn es um die Interaktion mit Anwendungen und Dienstleistungen geht.

Um allerdings diese Personalisierung zu ermöglichen, benötigen die Dienstleister jedoch große Datenmengen. Die im Mai 2018 in Kraft tretende EU-Datenschutzverordnung zielt darauf ab, dem Endnutzer mehr Kontrolle über seine Daten zu geben, damit er genau zu weiß, wer aus welchem Grund Zugriff auf seine persönlichen Daten hat, mit der Möglichkeit, den Zugriff jederzeit zu widerrufen.

Die Datenschutz-Grundverordnung erfordert mehr als nur die Ernennung eines Datenschutzbeauftragten – die neue Datenschutzverordnung erfordert umfassende Identity & Access Management Dienstleistungen, um das Recht auf Löschung, Benachrichtigungsdienste bei Verstößen, transparente Zustimmungsmodelle und vieles mehr zu gewährleisten.

Sicherheit und Datenschutz müssen oberste Priorität haben

Unternehmen sehen sich zweifellos einer immer komplexeren Reihe von Herausforderungen gegenüber, die sich im Wettbewerb und in der Transformation befinden. Wenn Unternehmen in diesem Umfeld erfolgreich sein wollen, müssen sie sicherstellen, dass sie einen strategischen Ansatz verfolgen, um agile Anwendungen und moderne Dienste mit robuster Sicherheit, intelligenter Geräteintegration und einem umfassenden Schutz personenbezogener Daten sowie Datenschutz-Management zu kombinieren.