Manch „smartes“ Gerät sieht schnell unsmart aus, wenn wichtige Regeln wie Datenschutz, Sicherheit und Nutzererwartungen nicht erfüllt werden.
von Oliver Sucker
Die fortschreitende Digitalisierung eröffnet neue Wege und Techniken in allen Bereichen des täglichen Lebens, birgt aber auch Herausforderungen, Tücken und unerwartete Fallstricke. Nicht immer bringt die Digitalisierung nur Positives, wenn sie nicht richtig angegangen wird.
Insbesondere der Datenschutz ist ein essentieller Kernaspekt, will man das Vertrauen seiner Kunden nicht auf einen Schlag verspielen. Noch wichtiger ist in diesem Zusammenhang das allübergreifende Thema IT-Sicherheit: Ohne System- und Datensicherheit ist auch kein Datenschutz möglich.
Neben all den rechtlichen und komplexen technischen Fragen darf man aber auch die Erwartungen und Wünsche des Endanwenders nicht vergessen. Wenn es nicht gelingt, Bekanntes und Bewährtes in entsprechenden Analogien aufzugreifen, stößt man – insbesondere bei älteren oder sehr tradierten Menschen – schnell auf ein Akzeptanzproblem. „Smarte“ Geräte wie Fitnesstracker, Fernseher, Überwachungskameras und Alarmanlagen oder gar Sprachassistenten sind mehrheitlich ein Graus. Öffentlich im Internet verfügbare Gesundheitsdaten, zweifelhafte Clouds in Fernost, zu denen sich IP-Kameras verbinden, die blinde Datensammelwut mancher Hersteller oder wanzenartige, permanente Raumüberwachung machen sie zu potenziellen Feinden in unseren Büros, Wohnzimmern oder gar an unserem Körper. Die „Sicherheitskamera“ wird da schnell zum Einbruchinformationssystem; die Alarmanlage, die sich per unverschlüsseltem Funk einfach abschalten lässt, gibt nur trügerische Sicherheit. Manch „smartes“ Produkt schaut da schnell dumm aus der Wäsche.
Manche Geräte sind aber auch einfach nur ärgerlich: Erst nötigen sie uns zur Anmeldung bei eigentlich überflüssigen Cloud-Diensten, über deren Sicherheit, Seriosität und Fortexistenz wir weder Kenntnis noch Kontrolle haben. Ohne die Cloud am anderen Ende wird das Gerät wertlos. Es ist zudem auch höchst fraglich, ob alles in der Cloud gespeichert werden muss, nur weil es gerade so hipp ist.
Fast alle modernen Geräte enthalten neben der Hardware auch entsprechende Software (Firmware und ggf. Betriebssystem). Diese enthält generell Fehler, linear abhängig von der Komplexität des Produkts, der Kompetenz, Sorgfalt und Kultur der Entwickler sowie dem Reifegrad des Produkts. Selbst in reifen Softwareprodukten tauchen regelmäßig Fehler auf, mitunter sicherheitsrelevante.
Sicherheitslücken müssen also durch regelmäßige Produktpflege beseitigt werden, anderenfalls wird das Produkt tendenziell immer anfälliger. Das tückische dabei ist, dass der Endanwender sicherheitsrelevante Fehler – im Gegensatz zu funktionalen Mängeln – nicht selbst erkennen kann; ein ansonsten wunderbar funktionierendes Produkt kann gespickt sein mit Sicherheitslücken.
Was ist also mit dem noch prima funktionierenden Smartphone, für das der Hersteller keine Sicherheitsupdates (mehr) liefert, wie es am PC selbstverständlich ist? Wegschmeißen oder einfach darauf hoffen, dass unsere privaten Daten schon nicht gestohlen werden, obwohl unsere Haustür sperrangelweit offen steht?
Dann ist da noch der Aspekt der Benutzerfreundlichkeit: „Smarte“ Telefone haben das Telefonieren in den Augen nicht weniger Menschen schwieriger, de facto zumindest aber umständlicher gemacht. Uhren sind gar so smart geworden, dass sie vor lauter Kraft nicht mal 24 Stunden ohne Nachladen durchhalten. Die elektronische Internetbriefmarke sieht nicht nur nicht mehr schön aus, der früher oftmals nützliche Poststempel mit dem Einlieferungsdatum fällt auch ersatzlos weg. Ein jahrzehntelang funktionierender Prozess ist so zumindest teilweise ruiniert.
All diese Probleme lassen sich durch solides Know-how und guten Willen lösen; dies wäre auch ein wesentlicher Beitrag, bestehende Akzeptanzprobleme abzubauen und die digitale Spaltung der Gesellschaft abzuwenden. Derzeit ist jedoch eher ein gegenteiliger Trend zu erkennen. Zum bekannten Abfallhaufen aus kaputten Zahlungssystemen, Zertifikatsinfrastrukturen, Mobilfunktechnologien, Routern und anderen Embedded-Geräten kommt nun u. a. noch Industrie 4.0 und das „Internet of Things“ (IoT), ob im Smart Home, vernetzten Fahrzeugen oder der Smart City.
Dass die Geräte immer stärker vernetzt sind, ist aus Anwendersicht Segen und Fluch zugleich: Die Geräte werden dadurch immer angreifbarer, ebenso kann zum Beispiel das Nutzungsverhalten ausgespäht werden. Es gilt also stets abzuwägen, ob weitere Vernetzung mehr Chancen oder mehr Risiken birgt. Gleichzeitig gilt es, Risiken zu minimieren und auch die Datenverarbeitung auf das zu beschränken, was für die Funktionalität tatsächlich nötig ist – auch wenn Unmengen an Statistiken über die eigenen Kunden manche Begehrlichkeiten wecken. Nur wenn der Anwender genau weiß, welche Daten erhoben werden und wofür, bleibt das böse Erwachen am Tag X aus.
Hersteller sollten Sicherheit und Datenschutz nicht als notwendiges Übel, sondern als solide Basis jeden digitalen Handelns verstehen. Patzer können ein Produkt oder gar ein ganzes Unternehmen in den Abgrund reißen; „Digitale Abgasskandale“ sind unter allen Umständen zu vermeiden. Diese Kernaspekte müssen dazu von Anfang an in Design und Entwicklung berücksichtigt und im Rahmen der Continous Delivery/Continous Integration oder in jedem Release permanent geprüft werden, auch die etwaigen Backend-Systeme. Penetrationstests und Audits sind hier auch in einem hohen Maße automatisierbar, sodass Aufwand und Kosten überschaubar bleiben.
Kernaussagen
- Es muss nicht alles in der Cloud gespeichert werden. Es gilt, Risiken zu minimieren und die Datenverarbeitung auf das zu beschränken, was für die Funktionalität tatsächlich nötig ist.
- Für den sicheren Umgang mit „smarten“ Produkten fehlt es den Endanwendern an Prüf- und Einflußmöglichkeiten. Hersteller, Importeure, Verbraucher- und Datenschutzorganisationen sind daher stärker als bisher gefordert, für sichere und datenschutzfreundliche Produkte zu sorgen.
- Hersteller sollten Sicherheit und Datenschutz als solide Basis digitalen Handelns verstehen. Regelmäßige Sicherheitsupdates müssen garantiert beim Endanwender ankommen, im Ernstfall in wenigen Tagen oder sogar Stunden.
Eine ergänzende Möglichkeit, Ihr Vertrauen in die eigenen Produkte zu zeigen, ist das Ausschreiben von Kopfgeld-Zahlungen („Bug Bounty“) an Sicherheitsforscher, die Probleme in Produkten finden und melden. Dies kann jedoch kein Ersatz für eine fachlich versierte Produktprüfung sein, da hier nicht sichergestellt ist, wie gut, wie tief und ob überhaupt jemand prüft. Ein mickriger Geldbetrag von wenigen Hundert Euro wird außer Kinderchen, die ihr Taschengeld aufbessern wollen, niemanden anlocken und auch keine detaillierte Produktprüfung ermöglichen.
Als Minimum sollte die Produkthomepage generell eine Kontaktmöglichkeit zum Melden von Sicherheitsproblemen bieten und konkrete Informationen zur Produktsicherheit und zu wichtigen Updates liefern. Dies setzt jedoch voraus, dass sich Anwender auch aktiv informieren, wovon mehrheitlich nicht ausgegangen werden kann.
Sicher sind die Produkte aber erst, wenn Updates auch beim Endanwender installiert sind. Dazu ist es also nötig, Updates entweder komplett automatisiert auszurollen oder zumindest einen Kanal zum Endanwender aufzubauen, über den wichtige Informationen kommuniziert werden können. Ein Informationsblatt zur Produktsicherheit mit nötigen Einstellungen, Empfehlungen und Informationsmöglichkeiten ist ebenfalls sehr nützlich.
Den Anwendern kann man nur anraten, obige Punkte in Bezug auf ihren Lieferanten zu prüfen bzw. prüfen zu lassen und die Produkte genauer zu hinterfragen. Ist zum Betrieb des Produkts eine Cloud erforderlich? Wie ist sie abgesichert und zertifiziert? In welcher Jurisdiktion werden die Daten gespeichert? Was passiert im Fall einer Insolvenz oder Übernahme?
Welche Daten erhebt ein Gerät und wozu? Gibt es ein unabhängiges Audit der Software? Ist der Quellcode einsehbar? Wie, wo, wie oft und wie lange gibt es Sicherheitsupdates? Monatlich automatisch sollte hier der Standard sein – bei akuten Problemen auch schneller – wie es große Firmen wie Microsoft oder Google vormachen.
Privatanwender können all dies natürlich nicht leisten: Hier sind Hersteller, Importeure und die Verbraucher- und Datenschutzorganisationen gleichermaßen mehr gefordert, den Bereich Software genauer ins Visier zu nehmen, ansonsten wird es die Politik tun müssen. So manches Produkt, das in deutsche Lande kommt, entspricht nicht den europäischen Datenschutzbestimmungen und ist in puncto Softwaresicherheit mangelhaft.
Denke digital. Denke analog. Dann agiere klug und balanciert, unter Abwägung von Nutzen, Risiken und traditionellen Erwartungen. Und immer daran denken: Nichts verschlimmbessern und vor allem nichts kaputt machen!
Der Text ist unter der Lizenz CC BY-SA 3.0 DE verfügbar.
Lizenzbestimmungen: https://creativecommons.org/licenses/by-sa/3.0/de/
