Skip to content

Die IoT Top 10, #5: Gefahren für die Privatsphäre

Bei der Beschreibung der gefährlichsten Schwachstellen in den Geräten des IoT gemäß den Top IoT Vulnerabilities von OWASP sind wir bei Punkt 5 angekommen: "Privacy Concerns" Oder auf deutsch:

Gefahren für die Privatsphäre

Und die drohen im IoT an vielen Stellen:

  • Das erste Beispiel hat mit dem, was mal allg. unter "Schutz der Privatsphäre" oder auch Datenschutz versteht nur wenig zu tun, ist aber eine nicht zu vernachlässigende Gefahr:
    Hintertüren, wie sie z.B. in IP-Kameras von Sony gefunden wurden, erlauben einem Angreifer das Ausspähen der Benutzer über ihre eigenen Geräte, in diesem Fall über Videos aus der eigenen Kamera.
    Es reicht also nicht, wenn die Geräte möglichst wenig Daten sammeln und die gesammelten Daten so gut wie möglich geschützt werden, auch der unbefugte Zugriff auf die Geräte selbst gefährdet die Privatsphäre! Außerdem gilt natürlich auch in diesem Fall: Was nicht gesammelt wird, kann nicht ausgespäht werden. Im Fall der Kameras z.B. gespeicherte Aufzeichnungen aus der Vergangenheit.
  • Schwachstellen, die die Kompromittierung des IoT-Geräts erlauben, führen i.A. zum gleichen Ergebnis - wer ein IoT-Gerät kontrolliert, kann auch auf dessen Daten zugreifen. Ein gutes Beispiel dafür sind entsprechende Schwachstellen in der Weboberfläche von IP-Kameras von Samsung.
    Hier gilt im Grunde das gleiche wie beim ersten Beispiel.
  • Werden Daten des IoT-Geräts unsicher in der Cloud gespeichert, können sie dort ausgespäht werden. Ein gutes Beispiel dafür sind die Daten von über 800.000 Nutzern eines mit dem Internet verbundenen Teddybären der Spielzeugfirma Spiral Toys, die in einer ungeschützten MongoDB-Datenbank gespeichert wurden.
  • Manchmal spionieren auch die IoT-Geräte ihre Benutzer aus, wie z.B. die Geräte des Smart-TV-Herstellers Vizio, die die TV-Nutzung ihrer Benutzer mit Hilfe von automatischer Inhaltserkennung (Automatic Content Recognition, ACR) rund um die Uhr protokolliert haben. Natürlich ohne sie vorher um Erlaubnis zu fragen. Ein Verhalten, dass sie mit vielen anderen Smart-TVs teilen, wie das Bayerische Landesamt für Datenschutzaufsicht bereits im Frühjahr 2015 festgestellt hat.
  • Fitness-Tracker, die i.A. über Bluetooth mit einem Smartphone kommunizieren, können auch verwendet werden, um den Benutzer zu tracken, sofern sie über Bluetooth sichtbar sind. Und unsichere Apps erlauben das Ausspähen der aufgezeichneten Daten auf dem Smartphone. Siehe die "Sicherheitsevaluation von 7 Fitness-Trackern unter Android und der Apple Watch" von AV-Test (PDF).
  • ...

Und das sind nur einige wenige Beispiele aus der Praxis!

Um Gefahren für die Privatsphäre zu identifizieren müssen zunächst alle vom IoT-Gerät, seiner Mobile App und seinen Cloud-Interfaces (jeweils sofern vorhanden) gesammelten Daten identifiziert werden. Es sollten nur die Daten gesammelt werden, die für die Funktion des Geräts wirklich nötig sind ("Datensparsamkeit"). Wenn möglich, sollten keine sensiblen Daten gesammelt werden. Außerdem sollten möglichst alle gesammelten Daten anonymisiert werden,

Die Daten können ausgespäht werden, wenn sie während der Speicherung oder Übertragung nicht ausreichend verschlüsselt werden. Zumindest die Daten, die eine Identifikation des Benutzers erlauben bzw. einen Benutzer zugeordnet werden können, sollten niemals unverschlüsselt gespeichert oder übertragen werden. Generell muss sicher gestellt werden, dass das IoT-Gerät und alle anderen Komponenten zumindest die persönlichen Informationen ausreichend schützen. Und wie das Beispiel der Fitness-Tracker zeigt muss z.B. auch darauf geachtet werden, wem die IoT-Geräte ihre Anwesenheit mitteilen.

Es muss geprüft werden, wer Zugriff auf die gesammelten persönlichen Informationen hat. Nur autorisierte Personen dürfen Zugriff auf persönliche Informationen haben. Dazu sollte eine Rollen-basierte Zugriffskontrolle und Autorisierung vorhanden sein.

Es sollte Beschränkungen für die Menge der gesammelten Daten geben. Werden mehr Daten gesammelt als man eigentlich vom jeweiligen Gerät erwarten würde müssen die Benutzer drüber informiert werden. Jedenfalls lt. OWASP. Ich persönlich möchte generell über die gesammelten Daten und ihrem Verwendungszweck informiert zu werden - woher will der IoT-Hersteller wissen, dass meine Vorstellungen bzgl. der zu sammelnden Daten mit seinen überein stimmen? Die Benutzer sollten auch die Möglichkeit haben, dem Sammeln der für die Funktion nicht nötigen Daten zu widersprechen.

Und zu guter Letzt muss der Benutzer die Möglichkeit haben, die gesammelten Daten zu löschen, wenn er der Meinung ist, sie nicht mehr zu benötigen. Unabhängig davon, ob sie nach einer bestimmten Zeitspanne sowieso automatisch, nach Inaktivität oder welchen Kriterien auch sonst noch gelöscht werden.

Soviel zu den "Privacy Concerns". In der nächsten Folge geht es um Punkt 6 der IoT-Top-10: "Insecure Cloud Interface" also ein unsicheres Cloud-Interface.

Carsten Eilers

Trackbacks

Keine Trackbacks