Seien Sie sich der Risiken bewusst, die den meisten IoT-Systemen innewohnen
Home » IoT » Integrität und Vertraulichkeit » Seien Sie sich der Risiken bewusst, die den meisten IoT-Systemen innewohnen

Bei der Festlegung der Funktionen der IoT-Anwendung und der möglichen Auswirkungen auf den Datenschutz müssen wichtige Aspekte berücksichtigt werden, wie z. B:

  • Im Allgemeinen gibt es einen Teil für die Datenerfassung oder für die Bereitstellung von Informationen für die IoT-Anwendung oder -Dienste, so dass die Sicherheit der erfassten Daten verwaltet werden muss.
  • Die Verarbeitung oder Analyse dieser Daten findet in der Regel an sehr weit entfernten Standorten in der Cloud statt, und um sie erreichen zu können, müssen gemeinsame Netze, öffentliche Netze usw. genutzt werden. Dieser Aspekt wirkt sich auf den Schutz der gespeicherten und in Bewegung befindlichen Daten aus, die vom Entwicklungsteam selbst oder von einem Dritten verwaltet werden.
  • Es kommt immer häufiger vor, dass IoT-Anwendungen mit anderen Anwendungen des gleichen oder eines anderen Herstellers bzw. Entwicklers hyperverbunden sind, wodurch große Netze von IoT-Geräten entstehen. Es ist daher notwendig, die Sicherheit der Daten zu berücksichtigen, die von Dritten geteilt werden oder zugänglich sind.
  • Die Integration von Drittanbietern gewährleistet die Kompatibilität mit anderen Produkten und verleiht der Anwendung eine größere Vielseitigkeit und Funktionalität, macht es aber andererseits erforderlich, ein Verfahren zur Bewertung der Sicherheit der von externen Anbietern bereitgestellten Komponenten zu definieren.
  • Die Interaktion zwischen dem menschlichen “Benutzer” und der “Produktmaschine” ist vorhanden, und es muss besonders darauf geachtet werden, dass eine zufriedenstellende Benutzererfahrung gewährleistet ist, ohne die Sicherheit zu beeinträchtigen.
  • Die Sicherheitsbewertung der IoT-Anwendung sollte technische Tests wie die Überprüfung des Codes und Penetrationstests umfassen. Penetrationstests dienen der Überprüfung des Sicherheitsniveaus des Systems, der frühzeitigen Erkennung und, im Falle von Fehlern, der Behebung möglicher Fehler, die die Datensicherheit während der Implementierung beeinträchtigen könnten, um die Risiken vor der Überführung in die Produktion zu mindern oder zu minimieren. Penetrationstests sind ein sehr effizienter Test während der Evaluierungsphase, da sie Lösungen denselben Bedrohungen aussetzen, denen sie beim normalen Betrieb einer IoT-Anwendung ausgesetzt sein könnten. Als Teil des sogenannten ethischen Hackings zielen diese Tests darauf ab, Schwachstellen im System aufzudecken, die in Zukunft von einem Hacker ausgenutzt werden könnten.
Kasten 11:

Eine IoT-Anwendung, die es ermöglicht, Glühbirnen von einem mobilen Gerät aus fernzusteuern, das durch drahtlose Kommunikation mittels des Protokolls oder der Spezifikation Zigbee unterstützt wird, und die gleichzeitig ein Gateway für die Verbindung mit dem Internet nutzt, kann ein nützliches Beispiel für die wichtigsten Aspekte sein, die bei der oben genannten Funktionalität zu berücksichtigen sind.
Checkliste: Rechte der betroffenen Personen

☐ Die für die Verarbeitung Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Personen angemessen gewahrt werden, unabhängig davon, ob es sich um Endnutzer oder Dritte handelt.

☐ Die für die Verarbeitung Verantwortlichen haben die erforderlichen Verfahren eingeführt, um sicherzustellen, dass die Rechte der betroffenen Person rechtzeitig wahrgenommen werden (höchstens einen Monat nach Antrag).

☐ Die für die Verarbeitung Verantwortlichen haben effiziente Instrumente eingeführt, um sicherzustellen, dass die betroffenen Personen ihre Rechte auf praktische Weise wahrnehmen können, beispielsweise durch die Einführung von Standards für die Interoperabilität von Daten.

☐ Betroffene Personen haben Zugang zu all ihren personenbezogenen Daten, einschließlich der Rohdaten, die von IoT-Geräten registriert werden.

☐ Die IoT-Entwickler haben Tools implementiert, mit denen die Daten lokal gelesen, bearbeitet und geändert werden können, bevor sie an einen für die Datenverarbeitung Verantwortlichen übermittelt werden. Außerdem werden die von einem Gerät verarbeiteten personenbezogenen Daten in einem Format gespeichert, das die Datenübertragbarkeit ermöglicht

☐ Die für die Verarbeitung Verantwortlichen haben Instrumente eingeführt, die es ermöglichen, jedem Empfänger, dem die personenbezogenen Daten mitgeteilt wurden, berichtigte Daten zu übermitteln, es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden.

☐ Die für die Verarbeitung Verantwortlichen haben Instrumente eingeführt, mit denen sichergestellt werden kann, dass alle Daten auf Antrag der betroffenen Personen wirksam gelöscht werden, wenn keine rechtmäßigen Gründe dagegen sprechen.

☐ Die Kontrolleure haben dafür gesorgt, dass die Rücknahmeregelungen feinkörnig sind und sich erstrecken:

(1) alle Daten, die durch eine bestimmte Sache gesammelt werden;

(2) eine bestimmte Art von Daten, die durch irgendetwas gesammelt werden;

(3) eine spezifische Datenverarbeitung.

☐ Den betroffenen Personen wird die Möglichkeit geboten, die “verbundene” Funktion des Gegenstands zu deaktivieren und ihn wie den ursprünglichen, nicht verbundenen Gegenstand funktionieren zu lassen (d. h. die Verbindungsfunktion der Smartwatch oder der Brille zu deaktivieren).

☐ IoT-Entwickler haben benutzerfreundliche Schnittstellen für Nutzer eingeführt, die sowohl aggregierte Daten als auch Rohdaten, die sie noch speichern, erhalten möchten. Diese Tools ermöglichen es den betroffenen Personen, ihre Daten einfach in einem strukturierten und allgemein verwendeten Format zu exportieren.

☐ Die Kontrolleure haben alle Informationen zu diesen Fragen dokumentiert.

 

Skip to content