Welche Herausforderungen IoT für die Einhaltung der DS-GVO darstellt
Mobile Endgeräte werden immer mehr auch zu technischen Helfern zur Nutzung anderer Geräte. Neuste Umfragen zeigen, dass immer mehr Menschen mit Ihrem Smartphone zum Beispiel Haushaltsgeräte bedienen oder das Handy mit Auto oder anderen technischen Dingen verbinden.
Die Zukunft wird vermutlich gestaltet werden durch weitere technische Errungenschaften und deren Nutzung und Verbindung auch in Arbeitsprozessen zum Beispiel in der Industrie.
Was ist das Internet der Dinge?
Das Internet der Dinge (Internet of Things – auch IoT) beschreibt das Zusammenspiel zwischen verschiedenen Prozessen durch die entsprechende Technik.
Es verbindet zum Beispiel Internet, Big Data, Industrie 4.0, Digitalisierung, Soziale Medien usw. miteinander. Dabei unterscheidet man zwischen industriellem und verbraucherbezogenem IoT. Im industriellen Bereich zählen dazu auch Großmaschinen, Transportmittel, Automatisierung aber eben auch Abläufe in Fabriken und auch die Gesundheitsversorgung. Das IoT bezeichnet dabei also vernetzte Geschäftsprozesse durch Geräte o.ä.
IoT als Wirtschaftsfaktor
Durch die Weiterentwicklung von Arbeitsprozessen ist es immer notwendiger Abläufe und Produkte miteinander zu verknüpfen. Dazu gehören Dinge wie vorausschauende Instandhaltungen z.B. im Bereich von Kfz-Werkstätten, technische Infrastrukturen bei Fuhrparks, Produktionsabläufen, Überwachungs- und Sicherheitsmaßnahmen. Auch im Einzelhandel und in der Medizin werden immer mehr Smart-Home-Lösungen in den kommenden Jahren die konventionellen Lösungen wohl nach und nach ablösen. Das Internet of Things verbindet dabei auf unterschiedlichste Art verschiedene Technologien.
Vernetzte Geschäftsprozesse bilden richtig ausgeführt dann auch intelligente Prozesse, die vor allem Unternehmen die Abläufe erleichtern.
Datensicherheit und Datenschutz beim Internet der Dinge
Betrachtet man die Daten, die hier verarbeitet werden, genauer, so zeigen die oben genannten Beispiele sehr deutlich, dass mit der fortschreitenden Digitalisierung auch Risiken im Datenschutz und in der Datensicherheit steigen.
Weitreichende Digitalisierung kann angreifbar machen, wenn man nicht ausreichende Schutzmaßnahmen für die Daten ergreift. Neben den bekannten Maßnahmen, wie VPN-Zugängen, Virenschutz, sicheren Kennwörtern und so weiter, stellen auch sogenannte IoT-Schatten-Geräte eine Gefahr dar. Von diesen spricht man, wenn unautorisierte Endgeräte in Verbindung mit Firmensoftware oder -Hardware genutzt werden.
Vor allem in Zeiten von Homeoffice und Co, aber auch in Abläufen bei der Produktion usw. nutzen Mitarbeiter immer öfter auch private Geräte in Zusammenhang mit firmeninternen Abläufen. Sind diese Geräte nicht autorisiert und verfügen nicht über eine entsprechende Sicherheit, kann das für die Daten eines Unternehmens eine empfindliche Schwachstelle darstellen.
Dazu gehören auch vermeintlich harmlose Geräte wie Smart-TV, Smartwatch oder auch Multimediasysteme (auch im Auto). Eine entsprechende Sicherheit oder Barriere für die zu schützenden Daten sollte hier also darüber hinaus geprüft werden. Am sichersten ist es aber, auf diese Art von Nutzung der privaten Systeme zu verzichten.
Gerätesicherheit für den Datenschutz
Nicht nur externe, nicht autorisierte Geräte können eine Sicherheitslücke für personenbezogene Daten darstellen. Der Schutz vor Malware und vor unverschlüsselten Übertragungen von Daten kann auch durch genutzte firmeninterne Geräte gefährdet werden.
Unverschlüsselte Informationsaustausche zwischen Geräten, veraltete Software (z.B. bei medizinischen Geräten) können darüber hinaus eine Schwachstelle darstellen. Auch Apps, die auf den Geräten genutzt werden, können Sicherheitsschwachstellen werden.
Richtiger Schutz personenbezogener Daten beim Internet der Dinge (IoT)
Geräte, die in Unternehmen genutzt werden, sollten einige wichtige Grundlagen erfüllen. Dazu gehört zum Beispiel, dass voreingestellte Zugangsdaten für die IoT-Geräte jederzeit von autorisierten Personen änderbar sein müssen und voreingestellte Passwörter anpassbar sein sollten.
Nicht unbedingt notwendige Dienste und Einstellungen sollten deaktiviert werden können und jegliche Kommunikation der Geräte (auch intern) sollte verschlüsselt stattfinden. Sicherheitsupdates sollten regelmäßig zur Verfügung stehen.
Menschen werden durch die Bedienung oder Einbindung in die Prozesse entlastet aber auch ein Teil der Technologie. Bewusst oder unbewusst. Die Datensicherheit muss dabei umso mehr sichergestellt werden. Technische und organisatorische Maßnahmen (TOM), wie oben bereits angeschnitten, bilden dabei eine wichtige Grundlage.
Grundlagen für die Sicherheit
Aus der Nutzung der IoT-Geräte ergeben sich daher folgende erste Maßnahmen:
- Aktuelle Software und Sicherheitsupdates nutzen
- Sicherheit durch Router und zentrale Firewall herstellen
- Keine Standardpasswörter verwenden
- Verschlüsselte Kommunikation und lokale Nutzung einführen
- VPN-Zugänge einrichten
- Erreichbarkeit von Internet nur geschützt zulassen
- Nicht benötigte Dienste deaktivieren
- Cloud-Lösungen vermeiden
- Interne Netze separat erstellen und nutzen
- Zuständigkeiten und Zugriffsrechte festlegen
- Physische Zugriffe auf Systeme durch Unbefugte vermeiden
- Setzen Sie IoT-Geräte bewusst und nicht wahllos ein
Datenschutz und Internet der Dinge
Das Internet der Dinge stellt durch seine komplexen Verbindungen zwischen Geräten und Systemen eine besondere Herausforderung für den Datenschutz dar. Für die personenbezogenen Daten bedeutet jeder Zugriff von außen eine potentielle Gefahr.
Daher sollte der Datenschutz und die damit zusammenhängenden Mechanismen kontinuierlich geprüft und weiterentwickelt werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.