Smart-Home & Homeoffice: Risiko für den Datenschutz im Unternehmen
Sicherheitslücken in Smart-Home-Lösungen betreffen nicht nur Privathaushalte. Durch die Entwicklung hin zu Homeoffice und Hybrid Work sind unsichere Geräte und Anwendungen auch zum Risiko für den betrieblichen Datenschutz geworden. Machen Sie Smart-Home-Sicherheit daher zum Thema in Ihrer Datenschutzunterweisung.
Smart-Home-Geräte und Homeoffice teilen sich das WLAN
Neben der privaten IT gibt es noch andere Geräte im Homeoffice, die den Datenschutz negativ beeinflussen können: Smart-Home-Geräte, die sich im Homeoffice befinden oder sich mit dem Homeoffice das private Netzwerk teilen, meist das private WLAN.
Viele Unternehmen machen sich inzwischen Gedanken darüber, dass Homeoffice und Hybrid Work als Wechsel zwischen Heimarbeit und Büroarbeit zu einem erhöhten Risiko für den Datenschutz führen können.
Meist resultieren die Bedenken daraus, dass die Beschäftigten in ihrem Homeoffice ihre private IT zu betrieblichen Zwecken nutzen, je nach Unternehmen sogar nutzen müssen. Tatsächlich erhöhen oft private PCs, Notebooks, Tablets, Smartphones und Drucker das Risiko. Denn:
- Sie sind nicht über die betriebliche IT-Sicherheit geschützt.
- Und die Sicherheitslücken, die die Geräte haben, kennt das Unternehmen weder noch kann es sie direkt beheben.
Smart Home und Homeoffice: Beides keine Seltenheit mehr
Dabei sind inzwischen weder Homeoffices die Ausnahme noch Smart-Home-Lösungen.
Aktuell verfügen 41 Prozent der Menschen in Deutschland über vernetzte Geräte in ihrem Zuhause, so der Digitalverband Bitkom. 88 Prozent hiervon sind sich sicher, dass Smart-Home-Anwendungen in ein paar Jahren in jedem Haushalt zu finden sein werden. 77 Prozent würden in ihren eigenen vier Wänden am liebsten alle technischen Geräte miteinander vernetzen und digital steuern.
Datensicherheit ist bei der Auswahl kaum ein Thema
Die so beliebten Smart-Home-Lösungen wählen die Nutzerinnen und Nutzer selten nach den Kriterien aus, die sich Datenschutzbeauftragte wohl wünschen würden:
- Am meisten achten Nutzerinnen und Nutzer auf Benutzerfreundlichkeit (60 Prozent) und die Kompatibilität zu bereits vorhandenen Smart-Home-Anwendungen (36 Prozent), wie Bitkom berichtet.
- 35 Prozent achten auf den Preis und fast ebenso viele (34 Prozent) auf ein gutes Testergebnis, etwa durch die Stiftung Warentest oder ein Fachmagazin.
- Die Aspekte Datensicherheit und Datenschutz spielen für ein Viertel beim Kauf eine Rolle (25 Prozent).
- Die allermeisten Nutzerinnen und Nutzer (98 Prozent) wünschen sich aber eine klare Kennzeichnung, welche Smart-Home-Produkte sicher sind. Leider findet man diese bisher aber nicht.
Darum muss man davon ausgehen, dass Smart Homes ein Problem für den Datenschutz darstellen. Das gilt auch für den betrieblichen Datenschutz, wenn Beschäftigte im Homeoffice arbeiten, oder dann, wenn Mitarbeiterinnen und Mitarbeiter zum Beispiel mit ihrem Smartphone Firmen-E-Mails bearbeiten und sich dazu im heimischen Netzwerk befinden.
Risiko Hackerangriffe und Einbrüche
Dabei sind es nicht nur Hackerangriffe, die die Smart-Home-Lösungen erleichtern könnten und so betriebliche Daten in Gefahr bringen. Sogar die Zutrittskontrolle zum Homeoffice kann gefährliche Lücken aufweisen.
Aktuell ist es nach Einschätzung der Experten des Bayerischen Landeskriminalamts (BLKA) für Einbrecher zwar noch leichter, nicht geschützte Fenster und Türen mit einem Schraubendreher zu öffnen. Doch Sicherheitslücken bei intelligenten Systemen im Haushalt, also Smart-Home-Anwendungen, werden zunehmend zum Risiko.
Denn während mit dem Smartphone oder Tablet steuerbare Alarmanlagen und Lichtsysteme bei den Verbrauchern immer beliebter werden, ist der IT-Schutz bei den Geräten oft zu lasch. Davon können Kriminelle profitieren.
Achtung
Belastbare Zahlen zu Wohnungseinbrüchen, die auf Smart-Home-Geräte zurückgehen, hat das BLKA noch nicht. Das Phänomen ist neu, und Kriminelle müssen ihr Handwerk erst an die neuen Möglichkeiten anpassen.
„Wir gehen aber davon aus, dass unzureichend geschützte Netzwerke für Einbrecher immer interessanter werden“, sagt der Präsident des Bayerischen Landeskriminalamts, Harald Pickert. „Darauf müssen wir uns als Ermittler strategisch einstellen.“ Auch Kriminalitätsphänomene wie Stalking und Erpressung seien in Zusammenhang mit Smart-Home-Systemen denkbar.
Risiken durch Smart Homes bekannter machen
Oftmals fühlen sich Verbraucher nicht ausreichend über Datenschutz und Datensicherheit von Smart-Home-Geräten informiert und fürchten um den Schutz ihrer Privatsphäre, wenn sie diese nutzen.
„Diese Bedenken sind nicht unbegründet“, sagt Tobias Hollmann von TÜV Rheinland. Smarte Geräte sind durchgehend mit dem WLAN verbunden, speichern Zugangsdaten wie das WLAN-Passwort und sammeln viele verschiedene Informationen über ihre Nutzenden und deren Zuhause.
Mehr Sicherheit fürs WLAN
Als Schutz vor Datenmissbrauch sollten Verbraucher daher ein sicheres Passwort wählen und nicht das voreingestellte des Anbieters beibehalten.
Wichtig ist auch, Updates zuzulassen und durchzuführen. Aktualisierungen bedeuten nicht, dass das Produkt schlecht ist, sondern im Gegenteil. „Der Hersteller nimmt seine Verantwortung wahr und schließt mit den Updates Sicherheitslücken“, erläutert Hollmann.
Da die im Smart Home gesammelten Daten viel über die Nutzenden verraten, beispielsweise wann sie zuhause sind oder zu Bett gehen, empfiehlt sich außerdem, beim Kauf einen Blick in die Datenschutzerklärung zu werfen.
Anforderungen an Smart-Home-Sicherheit steigen
Leider gibt es bei vielen Smart-Home-Lösungen immer noch keine Updates. Zudem sind viele Sicherheitslücken nicht in der Öffentlichkeit bekannt. Doch es gibt Entwicklungen, die dies in Zukunft ändern werden. Als Beispiele seien die folgenden genannt.
Projekt der Uni Bremen
Ein Verbund unter Leitung der Universität Bremen entwickelt neue Lösungen, um Sicherheitslücken in Smart-Home-Systemen zu schließen.
Das Projekt soll Wege aufzeigen, wie sich die Nutzung digitaler Technologien mit dem Wunsch nach Datenschutz und Privatsphäre in Einklang bringen lässt. Neue Technologien können beispielsweise helfen, Datenflüsse mithilfe eines gewöhnlichen Smartphones zu visualisieren, Einstellungen anschaulich zu erklären und die Konsequenzen der gewählten Optionen vorab zu simulieren.
BSI: Mindeststandard und Testspezifikation
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet aktiv an der weiteren Absicherung im Bereich Smart Homes. Ein Standard für nachweisbare Sicherheit bei vernetzten Geräten im Smart Home existiert schon länger. Doch bislang fehlte die Testspezifikation, so das BSI.
Nun hat die europäische Normungsorganisation ETSI (European Telecommunications Standards Institute) diese Spezifikation veröffentlicht. Als Cyber-Sicherheitsbehörde des Bundes war das BSI daran beteiligt, den Mindestsicherheitsstandards ETSI EN 303 645 sowie die Testspezifikation ETSI TS 103 701 zu entwickeln.
Security by Design beim Smart Home
Der Standard ist eine Empfehlung an die Hersteller, Internet-of-Things-Geräte von Anfang an sicher zu entwickeln (Security by Design) und zugleich eine international anerkannte Messgröße, um zu beurteilen, ob die Geräte über ein Mindestmaß an Cyber-Sicherheit verfügen. Die Spezifikation beschreibt nun, wie sich die Konformität definieren und gemäß den Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend testen lässt.
Vergleichbare Prüfergebnisse
Mit ETSI TS 103 701 ist gewährleistet, dass Prüfergebnisse der Sicherheitseigenschaften von IoT-Geräten vergleichbar sind. Das ermöglicht IoT-erfahrenen Personen eine entsprechende Sicherheitsbewertung. Hersteller können die Testspezifikation für einen Selbsttest nutzen oder ihr Produkt durch eine Prüfstelle evaluieren lassen. Die Testspezifikation lässt sich außerdem als Grundlage für das geplante IT-Sicherheitskennzeichen heranziehen.
Beschäftigte zu Smart Home und Datenschutz schulen
Entscheidend ist dabei, dass die Nutzer und Nutzerinnen von Smart-Home-Lösungen über die Risiken und Gegenmaßnahmen sowie Kennzeichen für mehr Sicherheit in Smart Homes informiert sind, auch um mehr Datenschutz im Homeoffice zu gewährleisten. Deshalb ist dies ein wichtiges Thema für die betriebliche Datenschutzunterweisung.