Apricot

Datensicherheit von IoT-Geräten automatisiert überprüfen

HDMI-CHip auf laptoptastatur
Für einen verlässlichen Datenschutz muss die Sicherheit der Daten von IoT-Geräten einfach überprüfbar sein.© Adobe Stock / Daniel CHETRONI

Motivation

Geräte, die über das Internet der Dinge (IoT) digital vernetzt sind und über Sensoren Daten sammeln, sind mittlerweile in allen Bereichen des täglichen Lebens zu finden. Autos, Smart Meter, interaktive Bildschirme oder Datenbrillen sammeln riesige Mengen an Informationen, die durch sogenannte Big-Data-Analysen ausgewertet werden, um Dienste wie Echtzeitwartung, Navigation oder gezielte Werbung zu ermöglichen. Hierbei werden auch viele persönliche Informationen wie Surfverhalten im Internet und Nutzungspräferenzen von digitalen Anwendungen erfasst oder über GPS-Daten Bewegungsmuster analysiert. Sich dieser Sammlung sensitiver Daten zu entziehen, ist angesichts der steten Zunahme der Anzahl von IoT-Geräten in allen Lebensbereichen nicht möglich. Dies führt zu einem Konflikt zwischen dem Recht des Einzelnen auf Privatsphäre und dem Interesse der Gesellschaft und Wirtschaft an der Nutzung der Vorteile von Big-Data-Analysen. IoT-Geräte und -Systeme müssen daher mit großer Sorgfalt entwickelt sein, um sicherzustellen, dass beide Ziele erreicht werden. Wie die persönlichen Daten aber in der Praxis tatsächlich von den IoT-Geräten geschützt werden, ist bisher nur unzureichend nachvollziehbar.

Ziele und Vorgehen

Das Ziel des Projekts „Assuring Privacy for Internet Connected Things“ (Apricot) ist es, jederzeit eine automatisierte Überprüfung der Datenschutzmaßnahmen von IoT-Diensten und -geräten zu ermöglichen. Hierzu sollen Methoden erforscht und Werkzeuge entwickelt werden, die die Soft- und Firmware der IoT-Geräte auf allen Ebenen und während aller Anwendungsarten analysieren und die Datenflüsse innerhalb dieser verfolgen. So kann sichergestellt werden, dass Schutzmechanismen wie Pseudonymisierung und Verschlüsselung angewendet werden. Dabei liegt ein Fokus darauf, den Datenfluss auch im produktiven Betrieb, beispielsweise von IoT-Anwendungen, nachverfolgen zu können, um die Einhaltung von Datenschutzvorgaben direkt während der Sammlung und Verwertung von sensiblen Informationen automatisiert zu überprüfen.

Innovationen und Perspektiven

Werkzeuge zur automatisierten Analyse des Datenschutzes existieren heute noch nicht. Der Innovationscharakter der Lösung besteht besonders darin, dass sie es ermöglicht, sowohl das Verhalten einzelner Geräte als auch des gesamten Systems zu analysieren. Dies ist beispielsweise mit Blick auf Cloud-Dienste wichtig. Durch die Arbeiten des Projekts werden Entwicklerinnen und Entwickler sowie Anbietende und Nutzende in die Lage versetzt, die Datenschutzkonformität von IoT-Geräten schnell und einfach zu bewerten. Somit trägt das Projekt dazu bei, dass große Datenmengen im Einklang mit geltendem Recht gewinnbringend für alle Seiten genutzt werden können. Hierdurch werden nachhaltige digitale Innovationen für die zukünftige Wissensgesellschaft ermöglicht, die zum Beispiel auf Big Data oder maschinellem Lernen basieren. Darüber hinaus können die erforschten Methoden auch in Zertifizierungssystemen genutzt werden, die im Rahmen des europäischen Rechtsakts zur Cybersicherheit entwickelt werden.