IoT und Datenschutz: Herausforderungen für Unternehmen

Das Internet of Things (IoT) ist dabei, das Leben von Privathaushalten und die Arbeit in der Wirtschaft zu revolutionieren. Viele Unternehmer und Privatleute treiben diese Entwicklung bereits mit Schwung voran. Schätzungen gehen davon aus, dass im Jahr 2020 25-50 Milliarden solcher Geräte benutzt werden. IoT-Geräte sind näher an ihren Nutzern als alle vorherigen Technologien und kennen diese daher deutlich besser. Das bietet große Chancen für nahezu alle potenziellen Anwendungsfelder. Um diese Möglichkeiten auszunutzen, sollten Unternehmen von Anfang an den Datenschutz beachten und mitdenken. Wie Unternehmen sich durch guten Datenschutz von der Konkurrenz absetzen können, aber auch wo Stolperfallen lauern können, zeigt Ihnen dieser Artikel. Der Fokus dieses Beitrags liegt dabei auf Anwendungen der Wirtschaft wie zum Beispiel dem Industrial IoT oder Smart Infrastructure.

Spätestens seit Experten herausfanden, dass aus zahlreichen WLAN-Glühbirnen ohne große technische Kenntnisse Netzwerkzugangsdaten unverschlüsselt ausgelesen werden können, sollte allen Anwendern bewusst sein, dass die Sicherheit von IoT-Produkten und der durch sie erfassten Daten kein Selbstläufer ist.

Um zu verstehen, welche Chancen und Risiken der Einsatz von IoT mit sich bringt, lohnt es sich darüber nachzudenken, was genau IoT ist. Vereinfacht gesagt geht es beim Internet of Things darum, Geräte mit einem kleinen Computer auszustatten und mit dem Internet zu verbinden. Häufig handelt es sich dabei um Sensoren oder Steuerungsmodule. Unternehmen können durch die mit IoT gewonnenen Daten ihre Abläufe verbessern, Reibungsverluste verringern und viele Aufgaben automatisieren. So steigt die Zufriedenheit von Mitarbeitern sowie Kunden und es können Kosten gesenkt werden. Unternehmen, die heute Probleme haben, Fachkräfte zu finden, werden im Wettbewerb um die besten Köpfe mit einem Arbeitsumfeld, das durch den Einsatz von IoT von Routinetätigkeiten entlastet wird, leichter Erfolg haben als Konkurrenten, die zögerlich bei der Implementierung waren.

Einer der größten Vorteile des Internet der Dinge (IoT) ist die Erhebung sehr präziser Daten in großen Mengen und deren Analyse in Echtzeit. In Kombination mit Anwendungen der künstlichen Intelligenz sind die oben genannten Vorteile bereits jetzt vielen Unternehmen auch ohne große IT-Budgets über Dienstleister wie zum Beispiel SAP, Salesforce oder IBM zugänglich.

Risiken bei Datenschutz und Datensicherheit

Wer diese Chancen nutzen möchte, darf dabei nicht die Risiken außer Acht lassen. IoT-Geräte erfassen in vielen Fällen personenbezogene Daten und erlauben auch über Meta-Daten Leistungs- und Verhaltenskontrollen von Mitarbeitern. Damit diese Verarbeitung rechtmäßig ist, braucht der Anwender eine Rechtsgrundlage. Eine Variante ist hierbei die Einwilligung. Sie kann vom Betroffenen jedoch jederzeit wiederrufen werden und ist daher wenig praktikabel. Gerade im Beschäftigungsverhältnis ist eine Einwilligung grundsätzlich schwierig. Daneben gibt es die Möglichkeit der Rechtmäßigkeit der Datenverarbeitung, wenn die Datenverarbeitung für die Durchführung eines Vertragsverhältnisses notwendig ist oder der Verarbeiter ein berechtigtes Interesse an der Nutzung der Sensoren hat. Natürlich sollte das vor der Anwendung von Spezialisten ausführlich geprüft und diese Prüfung dokumentiert werden.

Weiterhin muss das Unternehmen darauf Acht geben, dass es über seine IoT-Sensoren nicht mehr Daten erhebt, als es für seine Zwecke unbedingt benötigt. Diese Daten dürfen dann selbstverständlich nicht einfach in einem großen Datenpool gesammelt werden und später für andere als die ursprünglichen Zwecke genutzt werden. Die Datenschutz-Grundverordnung (DSGVO) gibt diese Anweisungen mit den Prinzipien der Datensparsamkeit und Zweckbindung vor. Das Anlegen eines Datenpools, zum Beispiel um eine KI zu trainieren, ist jedoch auch datenschutzkonform möglich. Daten können grundsätzlich anonymisiert problemlos gespeichert und zweckfremd genutzt werden. Hierbei muss allerdings sehr genau darauf geachtet werden, dass aus der Kombination der dann „anonymisierten“ Daten keine Rückschlüsse auf Personen mehr möglich sind. Ansonsten liegt keine echte Anonymisierung vor und es gelten nach wie vor die oben genannten engeren Grenzen für die Auswertung der Daten.

Dazu gehört für Unternehmer auch, dass sie sicherstellen, dass ihre Daten vor Verlust, Diebstahl oder sonstigem unberechtigten Zugriff gut geschützt sind. Es winken die bereits seit der Umsetzung der Datenschutz-Grundverordnung ( DSGVO ) bekannten technischen und organisatorischen Maßnahmen (TOM´s). Wer zur Erfüllung dieser vom Gesetzgeber gestellten Aufgabe seine IT-Landschaft auf bereits vorhandene oder zukünftige Sicherheitslücken überprüft, wird schnell das größte Risiko erkennen, das insbesondere beim Einsatz von IoT-Geräten existiert: Die noch nicht ausgereiften Sicherheitskonzepte bei der Implementierung derselben.

Das Risiko setzt sich aus den folgenden Komponenten zusammen:

– Mangelnde Verschlüsselung
– Mangelnde Kontrolle über personenbezogene Daten der Nutzer oder bedienenden Mitarbeiter
– Daraus folgend Sorge der Unternehmen davor, im Fall von Cyberangriffen das Vertrauen der Kunden zu verlieren
– Wichtiger Faktor für die Sicherheit von IoT Geräten i m Netzwerk: Aktuelle Firmware

Die Möglichkeit, Firmware zu aktualisieren, ist aufgrund der niedrigen Preise für IoT-Geräte vielmals nicht vorgesehen. Daher sind die Geräte anfällig für Angreifer von außen, die Schwachstellen in der Firmware ausnutzen. So können Angreifer Zugriff auf die Sensorik der IoT-Geräte oder gegebenenfalls deren Steuerungsfunktionen erhalten. Auf dem Gerät hinterlegte Daten, wie zum Beispiel Netzwerkschlüssel können so verloren gehen und zu einer Kompromittierung ganzer Netzwerke führen. Außerdem ist die Kommunikation anderer Geräte innerhalb des Netzwerks gefährdet. Es fehlen branchenweite Sicherheitsstandards, Zertifizierungen und Best Practices. Bei Anschaffung von IoT-Geräten ist in der Regel nicht klar, wie lange Software-Support für diese angeboten wird.

Aus diesen oft gravierenden Sicherheitsmängeln folgt, dass viele IoT-Geräte nicht ohne Weiteres datenschutzkonform eingesetzt werden können.

Lösungen für Datenschutz und IT-Sicherheit

Doch auch hier gibt es keine unlösbaren Probleme. Wer Datenschutz und IT-Sicherheit schon ohne den Einsatz von IoT in seinem Unternehmen ernst genommen hat, wird diese durch Anwendung derselben Grundsätze auf neue Technologien ohne größeren Aufwand implementieren können.

So können in neu entwickelte Systeme schon in der Konzeptionsphase Verfahren für die automatische Installation von Firmware-Updates eingebaut werden. Wobei hier wiederum darauf Wert gelegt werden sollte, dass nur authentifizierte Updates eingespielt werden können. In derselben Phase können bereits datenschutzfreundliche Voreinstellungen gewählt werden. Die Geräte sollten also nur die Daten erfassen und speichern oder weiterleiten, die sie unbedingt benötigen. Sie sollten, solange kein guter Sicherheitsstandard für IoT-Geräte erreicht ist, im Netzwerk so abgeschirmt werden, dass nicht die ganze Unternehmens-IT von wenigen befallenen Geräten kompromittiert werden kann. Zur Einhaltung solch guter Standards sollte auch gehören, dass die Geräte selbst möglichst wenig sensible Daten enthalten. Angreifer, die unberechtigten Zugriff auf ein Gerät erlangt haben, können so nur wenig Schaden für

geheime Unternehmensdaten oder den Datenschutz anrichten. Eine umfangreiche Sammlung von bereits vorhandenen grundlegenden Sicherheitsempfehlungen und Best Practices für den Einsatz von IoT und Smart Infrastructure hat die Agentur der Europäischen Union für Cybersicherheit zusammengestellt.

Fazit

Wer auf diese Weise ein Umfeld geschaffen hat, in dem der Datenschutz und damit einhergehend die IT-Sicherheit auch mit dem Einsatz von IoT und Smart Infrastructure kombinierbar sind, kann in die Offensive gehen und erklären, warum das eigene Unternehmen im Gegensatz zur Konkurrenz die Risiken des IoT für den Datenschutz und die IT-Sicherheit beherrscht. So kann man sich als Technologieführer in seiner Branche im Wettbewerb um Kunden und gute Mitarbeiter behaupten und in Führung gehen.

Produktivitätszuwächse, Einsparung von Reibungsverlusten, zufriedenere Mitarbeiter durch Entschlackung des Arbeitsalltags von Routineaufgaben und smartere Abläufe, sicherere Arbeitsplätze, bessere Wartung von Infrastruktur und vieles mehr sind Vorteile des Einsatzes von IoT in Unternehmen.

Die Liste der Vorteile, die der Einsatz von IoT und verwandter Technologien Unternehmen bringen kann, ist lang und überzeugend. Umso besser ist es daher, dass der Einsatz von IoT einerseits mit gutem Datenschutz vereint wird. Auf der anderen Seite gilt es jedoch für Unternehmen, der Schaffung unnötiger Datensilos oder der Zweckentfremdung von Daten vorzubeugen und die IT-Sicherheit stärker zu durchdenken, da diese durch den Einsatz von IoT vor neue Herausforderungen gestellt wird.

Wer jedoch schon vor der Implementierung dieser neuen Technologie solche Risiken bedenkt, sie in sinnvollen Datenschutzkonzepten berücksichtigt und das auch dokumentiert, wird die Vorteile dieser nächsten Evolutionsstufe der Informationsverarbeitung schneller und besser nutzen können als seine Konkurrenten.

Dieser Artikel erschien am und wurde am aktualisiert.
Nach oben scrollen