Kontakt

+49 40 248 259 81

Ostende 40, 22045 Hamburg, Germany

Sicherheit im Digitalzeitalter

Warum Sie Ihre Daten schützen sollten

Was würden Sie machen, wenn ein Staubsaugervertreter, der an Ihrer Tür geklingelt hat, plötzlich anfängt Ihre Wohnung zu vermessen, Sie danach fragt, wann sie nicht zuhause sind und dann die Daten in sein Notizbuch schreibt?

Kommt da bei Ihnen nicht ein komisches Gefühl auf? Warum dann nicht bei Ihrem Roboter-Staubsauger, der zwingend eine Internetverbindung braucht und immer nur dann staubsaugt, wenn sie nicht da sind?

Heute brauchen viele Smart Home und IoT (Internet der Dinge) Geräte zwingend einen Internet Anschluß und in der Regel einen Cloud Account auf dem Server des Herstellers.  Beim IoT klingt das zwar auch logisch doch meiner Meinung nach sollte es lieber ein „Intranet der Dinge“ geben.

Wir hier bei Clever Home Labs beschäftigen uns schon eine ganze Zeit mit IT-Sicherheit, Datensicherheit und Datenschutz.  Als ich vor ein paar Jahren eine neue Heizung brauchte, wurde mir eine Heizung eingebaut die ich auch über mein iPhone steuern kann. Diese Heizung speichert seitdem nun Daten irgendwo in der Cloud des Herstellers. Es ist nicht klar wer nun alles Zugriff auf meine Heizungsdaten hat, denn laut Hersteller kann der Heizungsmonteur automatisch benachrichtigt werden, wenn Parameter nicht stimmen. Wird dann auch weitergeleitet, wenn ich die Heizung in unserem Einfamilienhaus in den Urlaubsmodus schalte? Das wären ziemlich sensible Daten, über die ich die Kontrolle verliere. Nun sagen viele vielleicht, es gibt auch Leute, die ihren Urlaubsplan auf Facebook posten, dies ist natürlich auch nicht gut, aber grundsätzlich sagt das noch nichts darüber aus ob noch jemand weiteres im Haus wohnt oder nicht. Wenn die Heizung eines Einfamilienhauses in den Urlaubsmodus geht, heisst das mit ziemlicher Sicherheit das niemand im Haus ist.

Natürlich geht jeder davon aus, dass unsere Daten verschlüsselt und sicher in den verschiedenen Cloud Services liegen. Doch sicher ist nur, dass nichts sicher ist!  Unlängst habe ich an einem Unternehmer-Event in Hamburg teilgenommen. Einer der Sprecher wies auf den Punkt hin, dass der verschlüsselte sichere E-Mail-Verkehr nicht mehr sicher ist, da eine schwerwiegende Sicherheitslücke in den Verschlüsselungs- und Signierungsprogrammen PGP und S/MIME aufgedeckt wurde (Artikel der Süddeutschen Zeitung). Im folgendem Satz erklärte er aber wie sicher doch die Daten in seiner Cloud seien. Die E-Mail Verschlüsselung galt über viele Jahre als noch nicht einmal vom NSA hackbar. Somit ist es ganz sicher auch nur eine Frage der Zeit bis zur nächsten Verschüsselungslücke.

Das Problem der meisten Cloud-Lösungen ist, dass es völlig intransparent ist, wie die Daten überhaupt gespeichert werden. Sind sie schon auf dem Client verschlüsselt – ich spreche hier nicht vom Transport Layer Security  (TLS) – oder werden sie vielleicht überhaupt nicht verschlüsselt? In jedem Fall müssen wir immer davon ausgehen, dass der Administrator des Cloud-Lösungsanbieters sich immer zwischen den eingehenden Datenstream und die Anwendung schalten kann. Denn auf dem Server wird üblicherweise erst einmal der Datenstrom entschlüsselt, bevor er weiter verwendet wird.  In den letzten Jahren sind  auch immer wieder kleine Datenskandale aufgetaucht, bei denen die Kennwörter der Kunden abgegriffen wurden, die im Klartext abgespeichert waren. So kann man natürlich auch die effektivste Verschlüsselung entschlüsseln wenn man gleich den Schlüssel hat.

Haben sie schon mal bei irgendwelchen Services Ihre Kennwörter von anderen Services hinterlegt? Denken sie mal drüber nach. Haben sie vielleicht ein Amazon Echo oder ein Google Home?  So toll es auch ist, dass Alexa Ihre Smart Home Geräte steuern kann, sie müssen Amazon ja Zugang gewähren und vertrauen, dass die Zugangsdaten nur zum schalten und nicht zum profiling oder der Analyse ihres Tagesablaufes verwendet werden. Grundsätzlich können natürlich Amazon & Co. sowieso die Befehle, die Sie an Alexa geben, auswerten. Es muß aber auch jeder selber wissen, wem er seine Daten anvertraut.

Ich höre immer wieder, das es Leuten egal ist, ob Firmen wie Amazon, Google & Co. Zugriff auf diese persönlichen Daten haben. Zu groß ist der Nutzen und zu klein die momentan bekannten Risiken. Hellhörig werden Leute immer erst wenn es weh tut. So kann ich mir gut vorstellen, dass eine Versicherung mit Amazon zusammenarbeitet und diese dann bald gemeinsam eine Hausratsversicherung anbieten. Für einige  könnte der Tarif für die Hausratsversicherung höher werden, da man aus den Daten sehen kann, dass Sie häufig sehr lange nicht im Hause sind. Vielleicht im Urlaub? (Hat uns Ihre Heizung gezwitschert ;-). Genauso fängt es an, dass Krankenkassen gerne Health-Daten auswerten.
Je gläserner wir werden je mehr steigt das Risiko von Nachteilen und Beeinflussung.

Dies soll Ihnen nicht den Spaß an der Home Automatisierung nehmen, sondern Ihnen nur die möglichen Risiken aufzeigen. Die meisten Firmen bieten die Cloud Services auch nur an, da es der einfachste Weg ist, Ihre Smart Home und IoT Geräte aus der Ferne zu steuern.

Wir finden, dass es an der Zeit ist, dass der Kunde seine Datenhoheit wieder zurück bekommt.
Wir arbeiten sehr hart daran, das zu ermöglichen.

Matthias Fricke
Matthias Fricke

Seit Anfang der 90er arbeitet Matthias Fricke in der IT- und Internet Industrie. Mitte der 90er gründete er mit einem Partner eine erfolgreiche Internet/Intranet Consulting Firma für die er später auch in die USA ging. IT-Training und Knowledge Transfer waren immer stete Begleiter und bilden auch heute noch die Grundlagen seiner täglichen Arbeit.