Ubiquitous Computing als große Gefahr für den Datenschutz

Eine vom Bundesforschungsministerium geförderte Analyse warnt vor gravierenden Folgen für die Privatsphäre und die Sicherheit durch die allgegenwärtige Informationsverarbeitung in Form des viel beschworenen Ubiquitous Computing (UC). "Die klassischen Sicherheitsschwächen des Internets und die Mängel der neuen lokalen Interaktions- und Zugangstechnologien zusammen werden sich im UC voraussichtlich nicht einfach addieren, sondern drohen durch den neuartigen, ungekannt hohen Grad an wechselseitiger Vernetzung eine neue Risikodimension der IT-Sicherheit zu erreichen", heißt es in der Studie (PDF-Datei) "Technikfolgen-Abschätzung Ubiquitäres Computing und Informationelle Selbstbestimmung" (Taucis), die nun, nachdem erste Ergebnisse in Berichten über eine Umfrage Anfang des Jahres bekannt geworden waren, komplett veröffentlicht wurde.

Der über 300 Seiten starke Report, den das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sowie das Institut für Wirtschaftsinformatik an der Humboldt-Universität zu Berlin (HU) erstellt haben, malt ein sehr zwiespältiges Bild der künftigen voll vernetzten Welt und des angestrebten "Internet der Dinge", das maßgeblich von Funkchips und Sensoren bestimmt sein soll. "Informations-, Kommunikations- und Automatisierungsdienste, die über UC-Technologie immer häufiger zum Einsatz kommen, werden von Verbrauchern relativ positiv bewertet", halten die Autoren zum einen auf Basis einer empirischen Untersuchung fest. Insbesondere würden Dienstleistungen geschätzt, die zu einer Zeitersparnis führen oder dabei helfen, Produktrisiken zu reduzieren.

"Allerdings scheint diese positive Beurteilung in einem Spannungsverhältnis zu einem potenziellen Kontrollverlust zu stehen", heißt es zum anderen weiter. Dieser könne zum einen in einer Aufgabe der informationellen Selbstbestimmung liegen, etwa wenn RFID-Lesegeräte unbemerkt auf Chips in den eigenen Gegenständen zugreifen. Zum anderen könne das autonome Handeln von intelligenten Objekten zu einem "physischen Kontrollverlust" führen. Beide Befürchtungen würden bei den befragten Verbrauchern zu einer reduzierten Neigung führen, Dienstleistungen rund um die allgegenwärtige Informationsverarbeitung in Anspruch zu nehmen. Es sei daher aus ökonomischer Sicht sinnvoll, Verbraucherbedenken vorausschauend zu begegnen und ihnen eine effektive Kontrolle über die Technik einzuräumen.

Die Untersuchungen legen dem Bericht zufolge nahe, "dass ein nicht unbedeutender Teil der deutschen Verbraucher sehr wenig Verständnis dafür hat, was Datenverarbeitung bedeutet." Die Mehrheit scheine zwar um die Existenz einer kommerziellen Datenverarbeitung zu wissen. Die sich daraus ergebenden Konsequenzen seien dem Einzelnen aber meist wenig transparent. Insgesamt werde an ein hohes Schutzniveau durch Gesetze geglaubt. Ein Vertrauen, das – einmal aufs Spiel gesetzt – in ein grundlegendes Misstrauen umschlagen könnte. Eine diskriminierende Nutzung von Informationen, wie sie sich etwa in der bevorzugten Behandlung besonders guter Kunden auf Basis des umstrittenen Scoring zur Kreditwürdigkeitsprüfung niederschlägt, werde von der Mehrheit weder erwartet noch gewünscht.

"Unter Datenschutzgesichtspunkten problematisch sind vor allem die Möglichkeit zur heimlichen Überwachung der Menschen und ihres Alltagsverhaltens", erläutert der ULD-Projektleiter Johann Bizer. "Um diese Risiken zu minimieren, bedarf es datenschutzkonformer und sicherer UC-Anwendungen. Anonymität und Datensparsamkeit müssen als Standardeinstellungen in den UC-Systemen verankert sein. Sollen gleichwohl Daten personenbezogen verarbeitet werden, dann gehört die Steuerung der Verarbeitungsprozesse in die Hand der Betroffenen." Anwendungsfreundlichkeit, Transparenz, Wahlfreiheit und unabhängig geprüfte technische Sicherheit seien die "Zaubermischung, mit der Vertrauen hergestellt werden kann", ergänzt die Projektleiterin der HU, Sarah Spiekermann.

Sobald Mikrochips untereinander Informationen austauschen, werden gravierende Sicherheitsfragen der Authentizität, Integrität und Vertraulichkeit aufgeworfen, führt die Studie aus. "Jeder kann sich vorstellen, was passiert, wenn Autos mit Hilfe von UC automatisch den erforderlichen Sicherheitsabstand einhalten sollen, aber die Technik die unterschiedlichen Signale nicht versteht oder Dritte die Signale manipulieren", bringt Oliver Günther von der HU ein Beispiel. Im Interesse des Standorts Deutschland sei daher es "eine gemeinsame Aufgabe von Wirtschaft, Wissenschaft und Staat, Lösungen zu entwickeln, mit denen die Selbstbestimmung der Betroffenen gewahrt werden kann."

UC unterliegt laut dem Report den rasch wechselnden Produktzyklen der heutigen IT und damit dem ökonomischen Druck, "möglichst schnell scheinbar gut funktionierende Produkte und rasche Marktfähigkeit erreichen zu müssen, ohne ausreichend und rechtzeitig einem gründlichen Prozess des Sicherheits-Engineering oder der Qualitätssicherung unterzogen worden zu sein." Grundlegende Schwierigkeiten ergäben sich etwa aus dem Problem, nur unter größerem Aufwand "gute" Kryptographie auf den Geräten einsetzen zu können, die den fundamentalen Baustein für Sicherheitslösungen bilden. Hinzu komme, dass das Problem des kryptographischen Schlüsselmanagements in den offenen Netzen des UC nicht gelöst sei.

"Lehrbuchcharakter" habe "jeglicher Verzicht auf Sicherheitsmechanismen in den Plänen der Systembetreiber im Fall RFID", beklagen die Autoren des Berichts. Dort würden Sicherheit und Datenschutz nur als nachträglicher "Patch" und nicht als fundamentaler Bestandteil einer gründlichen Ingenieurskunst betrachtet. Dazu komme, dass die Konzeption eines globalen und allgegenwärtigen Identifikationssystems für Objekte mit der informationellen Selbstbestimmung der individuellen Objekt-Besitzer von vornherein unverträglich sei. Möglichkeiten, heimlich über eine Funkschnittstelle Daten zu sammeln und zur Profilbildung zu verwenden, würden sich unter den gegebenen Bedingungen mit rein technischen Mitteln nicht wirksam unterbinden lassen. Helfen könnten nur datenschutzrechtliche Verpflichtungen, die auch wirksam durchgesetzt werden müssten. (Stefan Krempl) / (jk)