Zum Hauptinhalt springen
Blogbeitrag

Datenschutzdilemma Smart Home

Smart Home-Geräte finden eine immer weitere Verbreitung, und dieser Trend wird sich voraussichtlich in den kommenden Jahren fortsetzen (bitkom.org). Dabei handelt es sich um unterschiedlichste Geräte wie z.B. IP-Kameras, smarte Türschlösser, intelligente Küchengeräte, digitale Heizungssteuerungen, IP-basierte Alarmanlagen oder Smart-TV-Geräte. Durch die Vernetzung dieser Geräte und die bequeme Steuerung per mobiler Anwendung tragen Smart Home-Geräte dazu bei, unser Leben bequemer zu machen. Allerdings steigen hierdurch auch Risiken, die beispielsweise die Informationssicherheit und den Datenschutz betreffen. So könnten Angreifende schlimmstenfalls über ans Internet angeschlossene Geräte unautorisiert Zugang zum Heimnetz erhalten, wenn entsprechende Sicherheitslücken in der Software existieren. Aber auch aus der räumlichen Nähe sind beispielsweise über unsichere Implementierungen von Funkprotokollen Angriffe denkbar. Darüber hinaus ist oft unklar, ob und welche Daten an Hersteller oder Drittanbieter (z.B. über die Anwesenheit in der Wohnung und Verhaltensweisen der Nutzerinnen und Nutzer) abfließen.

Kompliziert wird die Thematik insbesondere dadurch, dass sehr unterschiedliche Geräte, die darüber hinaus diverse Formen von Kommunikationstechnologien (z.B. Bluetooth LE, WiFi, ZigBee, Z-Wave, Homematic IP, MQTT, HTTP(S)) verwenden und von verschiedensten Herstellern stammen, im Smart Home miteinander verbunden sind. Für Nutzende sind somit weder die Bedrohungslage noch die bereits existierenden Sicherheits- und Datenschutzmaßnahmen klar. Aber selbst wenn Nutzende geeignete Kenntnisse in diesem Bereich aufweisen und eine entsprechende Transparenz sichergestellt werden kann, stellt sich noch immer die Frage, ob sie motiviert werden können, sicher in diesem Umfeld zu handeln.

Aus diesem Grund ist ein holistischer Ansatz für den Datenschutz und die Informationssicherheit für das Smart Home wünschenswert, bei dem Nutzende, die ja solche Systeme in ihrem Heim einsetzen, im Fokus stehen. In einem solchen Ansatz werden Methoden der Mensch-Technik-Interaktion (engl. human-computing interaction, HCI) mit dem juristischen sowie lern- und motivationspsychologischen Aspekten verknüpft. Um Informationsflüsse im Smart Home transparent darzustellen, lässt sich beispielsweise Augmented Reality (AR) einsetzen, d.h. die reale Welt, hier die Geräte im Heimnetz, wird durch virtuelle Elemente mit Zusatzinformationen angereichert. Hierdurch können Datenflüsse im Smart Home und hinaus ins Internet dargestellt werden, um ggf. Datenschutzverletzungen zu erkennen. Auch werden so ungesicherte Verbindungen oder Geräte, die Software mit Sicherheitslücken enthalten, angezeigt. Durch den Einsatz von AR sollen Nutzende auf diese Weise eine geeignete Datenschutzsicht auf ihr eigenes Smart Home erhalten.

AR-basierte Anwendung auf Basis einer Anforderungsanalyse

Die Arten von Diensten, die Smart Homes Nutzenden anbieten, können nach ihren Bedürfnissen oder nach der Art von technischen Anwendungen gruppiert werden. Um die Daten der Nutzerinnen und Nutzer sicher zu verarbeiten und Datenschutzverletzungen zu verhindern, sollten die Anbieter von Smart Homes eine Reihe von Datenschutz- und IT-Sicherheitsanforderungen erfüllen. Allerdings erfolgen all diese Anforderungen nicht automatisch, und Nutzende sollten darüber informiert werden und vor allem mittels geeigneten Smart Home-Schnittstellen Entscheidungen treffen. Daher sollten Entwicklungsteams Anforderungen wie Vertraulichkeit, Integrität und Verfügbarkeit in einem nutzerzentrierten Designansatz berücksichtigen. Durch den Einsatz von HCI-Methoden wie Gamification und Augmented Reality (AR) sollen Nutzende dazu motiviert werden, auch ihr Nutzungsverhalten zu verändern, wenn sie mit datenschutzrelevanten Informationen in einer benutzerfreundlichen und visuellen Form konfrontiert werden. 

Motivationspsychologische Aspekte

Ein zentraler, die Relevanz von Motivation für den individuellen Datenschutz aufzeigender Aspekt ist die Kluft zwischen dem, was Smart Home-Nutzenden eigentlich wichtig ist an Privatheit zu schützen, und dem, was sie durch ihr Nutzungsverhalten aber tatsächlich an Datenzugriffen erlauben („Privacy Paradoxon“). Diese paradoxen Befunde können durch motivationspsychologische Aspekte in Einklang gebracht werden, um letztendlich das gewünschte Niveau der eigenen Privatsphäre zu erreichen. Eine etablierte Einflussgröße aus der Motivationsforschung ist hier zum Beispiel das Vertrauen gegenüber den Standardeinstellungen von Smart Home-Geräten. Fühlen sich Nutzende in der Lage, Sicherheitsmaßnahmen umzusetzen, und ziehen eine realitätsnahe Skepsis als Vertrauensbasis für voreingestellte Datenzugriffe heran, wird die Informationssicherheit im Smart Home signifikant kohärenter mit den eigenen Wünschen.

Juristische Aspekte

Auch in rechtlicher Hinsicht bringen vernetzte Smart Home-Strukturen verschiedene Herausforderungen mit sich. Dabei sind weder „Smart Home“ noch „IoT“ juristisch definierte Begriffe. Gleichwohl haben sie unter vielerlei Gesichtspunkten eine erhebliche rechtliche Relevanz, die sowohl das Zivilrecht (z.B. zu Fragen der Haftung für „intelligente Produkte“, zu Fragen der Vertragsgestaltung im IoT, zur Herstellerhaftung für nicht datenschutzkonforme Produkte, zur intelligenten Wohnung und rechtserheblichen Erklärungen sowie zur Verwendung von sog. „Dash Buttons“ (verbraucherzentrale.de) unter Gesichtspunkten des Verbraucherschutzrechts), das öffentliche Recht mit klassischen datenschutzrechtlichen Fragestellungen (z.B. zum Produktdatenschutz und zur Verantwortung zwischen Herstellern und Anbietern sowie zum Datenschutz von Kindern und zur IT-sicherheitsrechtlichen Verantwortung) und im weitesten Sinne auch das Strafrecht (beispielsweise unter dem Gesichtspunkt des Datenzugriffs auf Smart Home-Systeme, intelligente Geräte und IoT-Produkte zu Ermittlungszwecken) betreffen und teils kontrovers diskutiert werden. Viele der gegenwärtig erörterten juristischen Probleme sind dabei noch ungelöst. Diese Vielzahl von möglichen Anwendungsszenarien, in Verbindung mit dem Fehlen einer kodifizierten juristischen Regelung, erschwert für Anbieter nicht nur die Compliance, sondern setzt die Verbraucherinnen und Verbraucher zusätzlichen Risiken aus. Eine weitere juristische Herausforderung für Smart Home und IoT stellt der Transfer von personenbezogenen Daten in das Nicht-EU-Ausland dar, soweit Cloudserver außerhalb der EU eingesetzt werden.

Dieser Beitrag entstand im Rahmen des BMBF-Verbundprojektes UsableSec@Home. Vielen Dank an Mehrdad Bahrini und Karsten Sohr (Digital Media Lab der Universität Bremen), Dennis-Kenji Kipker (Certavo GmbH), Malte Elson und Nele Borgert (Ruhr-Universität Bochum) und Marcus-Sebastian Schröder (neusta mobile solutions GmbH).

© Ground Picture - Shutterstock