Wenn der Staubsauger unsere Wohnung erforscht und kartographiert
Quelle: ISACA / Fotolia

Wenn der Staubsauger unsere Wohnung erforscht und kartographiert

Von Peter Marti

Politik, Wirtschaft und Fachverbände befinden sich in Goldgräberstimmung und wollen den Weg ebnen für digitale Innovationen. Zunehmend werden aber Daten in unseren eigenen vier Wänden, auf unseren Wearables oder in unseren Autos gesammelt, die intransparent und oft in grossen Mengen an den Hersteller übermittelt werden. Mitarbeiter in Risk, Governance und Audit werden sich diesen neuen Herausforderungen in Bezug auf Datensicherheit stellen müssen.

Artikel erschienen in Swiss IT Magazine 2017/12

     

Treu, ausdauernd und ohne zu klagen drehen die smarten Saugroboter stundenlang ihre Runden in der Wohnung und kehren unseren Dreck auf. Clevere kleine Dinger die mit ihren intelligenten Sensoren Hindernisse und Möbel erkennen und diesen selbstständig ausweichen. Für die späteren Putztouren werden diese Daten gespeichert. Dabei werden nicht nur störende Gegenstände, sondern auch die Räume selber vermessen so dass sich der Saugroboter einen exakten Grundriss der Wohnung anlegen und speichern kann. Per App informiert er uns über seinen aktuellen Status. Er zeigt uns stolz Statistiken seiner Arbeitsleistung und berichtet, welche Stellen in der Wohnung ganz speziell verschmutzt waren. Dies alles hübsch aufbereitet und verbunden mit dem graphischen Grundriss unserer Wohnung. Damit wir auch global den Sauger überwachen können, werden alle diese Daten in der Cloud, zentral beim Hersteller des Roboters gespeichert.

Der Staubsauger als Spion

Einmal gesammelte Kundendaten sind ein kostbares Gut, das auch für viele andere Zwecke verwendet werden kann. Dies hat auch der CEO von iRobot, dem Produzenten der wohl bekanntesten Saug­roboter erkannt. Notabene überlegt er auch laut, diese gesammelten Daten mit anderen Firmen zu teilen. Selbstverständlich immer vorausgesetzt, dass der Kunde dem auch zustimmt [1].

Aber auch ohne aktive Zustimmung des Kunden: Wenn ich meinen Sauger nicht nur über die hauseigene App von iRobot, sondern via der digitalen Amazon Assistentin Alexa steuern möchte [2], werden bereits Daten zwischen iRobot und Amazon ausgetauscht. Amazon wird brennend daran interessiert sein, zu wissen wie geräumig meine Wohnung ist. Ob mir ein Sofa in der Wohnung fehlt, oder ich einen Hund oder ein Baby zu Hause haben. Werbung lässt sich damit viel direkter und fokussierter schalten.


Aus Datenschutz Sicht kann dies sehr herausfordernd sein: Wenn zB der Mieter (und sein Saugroboter) umzieht und der Grundriss des Nachmieters immer noch bei Amazon bekannt ist? Oder sind Amazon auch die Grundrisse der Nachbarn bekannt, weil die Häuser alle vom gleichen Architekten gebaut wurden?

Innovationen rund um die Digitalisierung

Beinahe täglich berichten die Medien über innovative Entwicklungen rund um die Digitalisierung: Roboadvisor und Investomaten beispielweise sollen Finanzprodukte dem Kunden als digitaler Service näherbringen. Oder in verschiedenen Polizeibehörden in Deutschland wird unter dem Begriff "Predicting Policing" der Einsatz von Big Data zur Vermeidung von Straftaten getestet: Mit der Auswertung von Tausenden von Einbrüchen aus der Vergangenheit sollen Muster erkannt werden, um möglichst korrekte Voraussagen über zukünftige Delikthandlungen tätigen zu können [3]. Und: Wer nie mehr Altpapier stapeln und entsorgen möchte, wählt sich einen elektronische Briefkasten-Service: Seine umgeleitete Post wird dort archiviert, gescannt und alles dann je nach Wunsch elektronisch an ihn weitergeleitet [4].

Dazu kommen eine Vielzahl von kleinst-internetfähigen Geräten (IoT: Internet of Things), die uns das Leben erleichtern sollen. Beispielsweise die Personenwaage von Withings mit WLAN Verbindung [5]. Diese speichert das Gewicht, den BMI und den Körperfettanteil von bis zu 8 Personen. Via entsprechender App lässt sich von überall darauf zugreifen und der aktuelle Gewichtsverlauf abrufen. Oder auch der "Amazon Dash Button" zum unschlagbaren Preis von 4.99 EUR: Ein einfacher Knopf verbunden mit dem WLAN, mit dem Sie Ihre Lieblingsprodukte per Knopfdruck nachbestellen können. Strategisch geschickt neben der Waschmaschine oder dem Spiegelkasten platziert, löst dieser mit einem simplen Knopfdruck eine direkte Bestellung bei Gillette, Nivea oder Pampers aus und aktiviert den dringend benötigten Nachschub [6]. Höchst bequem: Nicht einloggen. Kein Formular auszufüllen. Einfach nur drücken.


Durch den Ausbau der technischen Infrastruktur und die massive Vernetzung via Smartphones sind die Voraussetzungen für neue digitale Dienstleistungen so gut wie nie zuvor. Naheliegend, dass sich die digitale Branche in Goldgräberstimmung befindet.

Digitale Goldgräberstimmung

Die Schweiz möchte zuvorderst mit dabei sein. Im Bericht zur "Digitalen Wirtschaft" betonte der Bundesrat im Januar dieses Jahres, dass die Chancen die sich durch die Digitalisierung ergeben, bestmöglich genutzt werden sollten. Weiter lädt die Landesregierung dazu ein, dass bestehende Hürden der Digitalisierung erkannt und dem Staatssekretariat für Wirtschaft (SECO) gemeldet werden sollen [7]. Optimale Rahmenbedingungen sollen geschaffen werden zur Ausbreitung der digitalen Wirtschaft. Im August 2017 veröffentlichte der Dachverband der Schweizer Wirtschaft Economiesuisse eine Studie zur "Zukunft der digitalen Schweiz" und betont in ihrem Bericht, dass die Digitalisierung "zweifelsohne die wichtigste Transformation seit der Entstehung der globalen Märkte" sei [8]. Mit den richtigen Strategien und Fokussierung habe die Schweiz die besten Voraussetzungen, um künftig auch eine Digitalisierungsgewinnerin zu sein. Der schweizerische IT Dachverband ICTSwitzerland strebt gar ein Monitoring zur aktuellen Digitalisierung der Schweiz an: Anhand von 15 Themenfeldern einer Scorecard soll die aktuelle Durchdringung in den verschiedensten Branchen in der Schweiz dargestellt werden. [9]


Politik, Wirtschaft und Fachverbände befinden sich in Goldgräberstimmung. Die Erwartungen sind riesig. Die Stimmung euphorisch.

Grundlagen der Digitalisierung

Digitale Dienstleistungen folgen im Wesentlichen den gleichen vier Grundprozessen (Abb 1): Daten werden erfasst via Tastatur, Scanner, Mikrofon oder durch einen der zahlreichen Sensoren in unserer Smart-Watch, Fitness-Armband oder anderen Geräten. Die Daten werden sodann aufbereitet indem sie in einen definierten Kontext gestellt, analysiert oder mit anderen Daten angereichert werden. Beispielsweise werden Kundendaten so aufbereitet, dass man bestimmte Kaufmuster oder Kundenprofile daraus ableiten kann. Die Daten werden gespeichert im Rechenzentrum oder Cloud-Speicher eines Anbieters und die Daten können an weitere Empfänger übermittelt werden.

Daten sind Gold wert und werden im grossen Stil gesammelt

Diese gespeicherten Daten sind Gold wert und heiss begehrt. Folglich werden sie auch im ganz grossen Stil gesammelt: Nicht nur der zu Beginn des Artikels erwähnte Staubsauger saugt mit riesigem Appetit Unmengen von Daten in sich auf. Auch unser Smartphone verschlingt wie eine grosse Datenkrake nonstop Bewegungsdaten, um ortsabhängige Services zu unterstützen. Sehr häufig ist dem Benutzer zu wenig bewusst, dass mit einem Blick in das Smartphone seine Reisen exakt nachvollzogen werden können. Die Werbebranche giert nach solchen Daten, können doch damit konkrete Bewegungsprofile erstellt und die Prozesse im Marketing und Verkauf optimiert werden.

Noch weniger bekannt ist wohl die Tatsache, dass in modernen Autos bis zu 200 Sensoren eine Vielzahl von Informationen aufzeichnen und im Minutentakt an den Autohersteller übermitteln. Die Ingenieure des ADAC haben in einer umfangreichen Untersuchung nachgewiesen wie bei vier verschiedenen Autos Informationen wie beispielsweise zu Tank- und Kilometerstand, Licht, Motorenstart und Sitzposition, bis hin zu Handy-Kontakten und den GPS-Positionen gesammelt und in Datenpaketen an den Hersteller übermittelt werden. Eine Transparenz gegenüber dem Käufer welche Daten im Detail übermittelt werden, ob diese verhältnismässig gesammelt und was der Autohersteller letztendlich damit macht fehlt zum grossen Teil. Der eidgenössische Datenschutzbeauftragte zeigt sich im hohen Mass alarmiert [10].


Heiss begehrt für die Forschung und Medizin sind auch unsere Daten zum Gesundheitszustand. Nicht nur Krankenkassen, die mittlerweile Prämienverbilligungen anbieten, wenn der Kunde ihnen die elektronischen Daten des Fitness-­Armbands zur Verfügung stellt. Auch Pharmariesen bringen sich in Stellung. Novartis beispielsweise entwickelt mit Google zusammen eine intelligente Linse die bei Diabetikern den Zuckergehalt misst und via unserem Smartphone konstant Informationen zurück an Novartis liefert. Informationen darüber wie der Patient das Medikament einnimmt und sich dabei fühlt. Die Pharmaunternehmen versprechen sich damit Fortschritt im der Forschung und neue Medikamente [11].

Daten brauchen Schutz

Daten sind verletzlich. Denn Digitalisierung bedeutet auch, dass Informationen nun digital verfügbar sind, somit also auch kopierbar und losgelöst von geographischer Abhängigkeit. Gesammelte Daten können, richtig aufbereitet, eine Vielzahl von Informationen zur Verfügung stellen: Persönliche Interessen und Vorlieben, Weltanschauung, Gesundheitszustand und finanzielle Möglichkeiten können daraus abgeleitet werden.


So wie der Mensch wertvoll ist, sind es auch seine Daten. Daher ist es von besonderer Bedeutung, dass in jedem der vier Grundprozesse diesen Daten auch das geforderte Mass an Schutz zukommt (Abb 2):
• Transparenz darüber welche Daten gesammelt werden. Wo sind meine Daten gespeichert und was wird damit gemacht?
• Schutz vor unbefugtem Zugriff und Diebstahl, wie auch vor Datenveränderung und Verfälschung.
• Kontrolle darüber wohin die Daten weitergegeben werden dürfen und wann diese Daten zurückgegeben oder auch gelöscht werden müssen.

Die Goldgräber rufen nach Freiheit

Der Goldgräber wünscht sich einen unkomplizierten Zugang zu seinem Fund und seinen Arbeiten mit den Daten. Oder auch die Freiheit, dass er seinen Claim so schnell wie möglich abstecken kann. So dass eine rasche Produktlancierung nicht unnötig erschwert oder verhindert wird. Da kann es in der Eile auch mal vorkommen, dass ein Produkt datenschutzmässig etwas unreif auf den Markt kommt und erst beim Kunden reift. So geschehen bei der Lancierung von Googles "Home Mini", dem Bluetooth Lautsprecher, der via eingebautem Assistent Sprachbefehle entgegennimmt. Durch einen Konstruktionsfehler war das Mikrofon permanent auf Aufnahme. Google beschwichtigt und lieferte ein Update [12].

Der Schutz der Daten ist kein Automatismus

Datenschutz ist kein Selbstläufer. Es braucht eine klare Absichtserklärung und eine definierte Methodik dies zu erreichen. Die neue EU Datenschutzverordnung gibt vor, dass der Datenschutz bereits zu Beginn eines Projekts in der Planung, Design und Entwicklung fest integriert wird. Unter dem Stichwort "Privacy by Design" [13] soll sich das Projekt schon früh mit diesen Themen auseinandersetzen: Welche sensiblen Daten werden benötigt und müssen allenfalls anonymisiert werden? Werden allenfalls Teil dieser Daten mit anderen Produkte-Anbieter ausgetauscht? Welche Kontrollen sind nötig, um die Daten adäquat zu schützen?


Je nach Bedrohungslage, Sensitivität der Daten oder auch Maturität der involvierten Technologien wird es an einigen Orten mehr Kontrollen benötigen. Aktuelle Untersuchungen decken beispielsweise gravierende Sicherheitsmängel bei Smart Home Geräten wie günstigen IP-Kameras, Heizungsthermostaten und via WLAN steuerbare Schaltsteckdosen auf [14]. Auf Grund von möglichen Haftpflichtansprüchen drängen Versicherungsgesellschaften nun darauf, dass die Produzenten von IoT und Smart Home Geräten mehr in die Pflicht genommen werden und über einen definierten Mindestzeitraum ihre Produkte mit sicherheitsrelevanten Updates zu versorgen haben [15].

Industry 4.0 und Security 4.0

Auch die Industrie ist erfasst von der aktuellen Digitalisierungswelle. Nach den vorangegangenen drei grossen industriellen Revolutionen (1. Dampfkraft, 2. Elektrifizierung, 3. Computertechnologie) ist die aktuelle Vernetzung der Produktion und das Internet der Dinge zusammengefasst unter dem Stichwort "Industry 4.0". So wie die Industrie sich massgeblich neu erfinden und der aktuellen Digitalisierung anpassen muss, so wird dies von der Informatik (IT 4.0) wie auch von Kontroll- und Sicherheitsmechanismen erwartet (Security 4.0).


Dies gilt aber auch für uns als Mitarbeiter in Risk, Governance und Audit: Genauso dynamisch und erfinderisch die digitalen Goldgräber sind, werden auch wir uns diesen neuen Herausforderungen stellen und unsere eigene Arbeitsmethodik und Prüfprozesse neu erfinden und positionieren müssen.

Einladung zur Fachtagung mit ISACA und SVIR: Datenschutz und Digitalisierung

Dieses Thema wird uns auch weiter sehr stark beschäftigen. Sehr viel hat sich in Bewegung gesetzt, dessen Konsequenz und Entwicklung noch nicht genügend abgeschätzt werden kann. Wichtig ist, dass wir uns damit auseinandersetzen und erkennen, wo Risiken bestehen.

Die beiden Fachverbände ISACA und SVIR laden am 18.Januar 2018 wieder zu einer gemeinsamen jährlichen Fachtagung ein. Diese wird unter dem Titel "Datenschutz im Zeitalter der Digitalisierung" verschiedene Aspekte zu diesem hochbrisanten Thema betrachten.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER