Informationelle Selbstbestimmung Datenschutz-Probleme im Rahmen mobiler Sicherheit

Autor / Redakteur: Alexei Balaganski* / Stephan Augsten

Datenschutz und informationelle Selbstbestimmung sind wertvolle Grundrechte. Doch ist Datenschutz noch zeitgemäß? Immerhin geben IT-Nutzer ihre Informationen bereitwillig über Mobiltelefone, soziale Netzwerke und Cloud-Dienste preis. Das sollte aber kein Freifahrtschein für IT-Anbieter sein.

Firma zum Thema

Weder die Datenschutz-Gesetze noch die Anwender selbst können mit der rasanten IT-Entwicklung Schritt halten.
Weder die Datenschutz-Gesetze noch die Anwender selbst können mit der rasanten IT-Entwicklung Schritt halten.
(Bild: Archiv)

Laut einer Schätzung der International Telecommunication Union gibt es weltweit bereits mehr Mobiltelefone als Menschen. Diese kennen diverse sensible Daten über ihren Nutzer: den aktuellen und vergangene Aufenthaltsorte, private SMS und Fotos sowie Online-Banking-Anmeldeinformationen und andere Finanzdaten.

Das Smartphone ist außerdem ständig mit dem Internet verbunden und deshalb ein einfaches Ziel für Hacker und Malware. Auch die zunehmende Nutzung von Cloud-Diensten birgt neue Herausforderungen bezüglich der Privatsphäre: Mehr und mehr private Daten werden heute von Drittparteien verwaltet, so dass die Nutzer die Übersicht und die Kontrolle über ihre Daten verlieren.

Den größten Einfluss auf unsere Gesellschaft hat allerdings hat Social-Computing. Die Folge ist letztendlich eine signifikante Erosion der öffentlichen Erwartung in Bezug auf Datenschutz, und es ist nahezu unmöglich, eine versehentliche Offenlegung von privaten Daten wieder rückgängig zu machen. Einige gehen sogar so weit und behaupten, dass der Datenschutz keine wichtige Rolle mehr spielt.

In Wahrheit trifft jedoch das genaue Gegenteil zu: Mehrere Studien weisen deutlich darauf hin, dass Nutzer ihre Privatsphäre schätzen und große Einwände gegen die Offenlegung ihrer persönlichen Daten gegenüber Dritten ohne ihre Einwilligung haben. Allerdings sind viele Nutzer sich nach wie vor nicht darüber im Klaren, in welchem Ausmaß mobile Endgeräte ihre Privatsphäre beeinträchtigen können.

Anwender haben das Nachsehen

Während Mobiltechnologien immer ausgereifter werden, kann das öffentliche Bewusstsein bezüglich der damit verbundenen Gefahren einfach nicht Schritt halten. Mobilnutzer können täglich leicht einer neuen Methode zum Tracking, Stalking oder zum Missbrauch der Privatsphäre zum Opfer fallen.

Gestohlene persönliche Informationen haben sich zu einem wertvollen Gut auf dem Schwarzmarkt entwickelt. Diese Informationen umfassen nicht nur finanzielle oder medizinische Daten, sondern alle Arten von personenbezogenen Daten (Personally identifiable information, PII), die als Zugang zu Ihren anderen Assets genutzt werden können.

Nicht nur Hacker haben es auf diese Beute abgesehen: Telekommunikationsunternehmen, Suchmaschinen und soziale Netzwerke sammeln so viele private Informationen über ihre Nutzer wie möglich, um gezielte Werbung machen zu können oder einfach um sie an Dritte zu verkaufen. Und nach Edward Snowden dürfen auch Regierungsbehörden nicht auf dieser Liste fehlen.

Herausforderungen im Unternehmen

Für IT-Abteilungen in Unternehmen bringt die zunehmende Nutzung von Mobilgeräten neue Probleme mit sich. Eine der größten aktuellen Herausforderungen für die IT-Branche ist zweifelsfrei das Problem des Bring Your Own Device (BYOD). In einer angemessenen BYOD-Strategie müssen nicht nur die massiven technischen Herausforderungen berücksichtigt werden, sondern auch Datenschutzfragen.

Diese werden von vielen Unternehmen möglicherweise leicht übersehen, da die Probleme, wie beispielsweise die Haftung für die Offenlegung oder den Verlust persönlicher Daten über vom Unternehmen verwaltete Geräte, immer noch von Land zu Land unterschiedlich sind; sie gelten in vielen Fällen als Teil der Grauzone aktueller Gesetze und Verordnungen.

All diese Verordnungen verändern sich jedoch, und um auf der sicheren Seite zu bleiben, sollten Unternehmen die rechtlichen Aspekte ihrer Richtlinien zu Mobilgeräten stets sorgfältig evaluieren und behandeln, denn: Ein einziger Fehler kann Sie ein Vermögen kosten. KuppingerCole verfügt auch in diesem Bereich über Expertise.

Mehr Sicherheit für mobile Plattformen

Nur mit Richtlinien kann die grundlegende Ursache vieler datenschutzbezogener Probleme mit aktuellen mobilen Plattformen jedoch nicht gelöst werden. Moderne Smartphones und Tablets verfügen, wie bereits erwähnt, über dieselbe Rechenleistung wie Desktop-Computer. Jedoch haben bis jetzt weder die Verbraucher noch die Gerätehersteller erkannt, dass mobile Geräte mindestens das gleiche Maß an Schutz vor Malware und Hackern benötigen wie traditionelle Computer.

Moderne mobile Plattformen basieren auf Unix-ähnlichen Betriebssystemen, die verschiedene Low-Level-Sicherheitsfunktionen umfassen, wie beispielsweise Hardware Isolation oder Code Signing. Dennoch sind sie im Hinblick auf höher entwickelte Sicherheits-Tools, wie z.B. Firewalls oder Application Control, noch weit entfernt von Desktop- oder Server-Systemen.

Schlimmer noch, keine moderne mobile Plattform bietet herstellerneutrale Sicherheits-APIs, die es anderen Entwicklern ermöglichen, solche Tools zu programmieren. Obwohl heute verschiedene Lösungen angeboten werden (wie Samsung KNOX), sind sie alle auf eine kleine Anzahl von unterstützten Geräten begrenzt und beinhalten eigene Sicherheitsrisiken.

Jedes mobile OS hat eigene Schwächen

Moderne Softwareplattformen für Mobilgeräte sind viel geschlossener als Desktop-Betriebssysteme, was wiederum zu Datenschutzproblemen führt. Stellen Sie sich die folgende, für iOS typische Situation vor: Eine Datenschutzlücke oder ein anderer Verstoß in einer Standard-App kommt ans Licht, und es dauert Monate, bis Apple das Problem überhaupt anerkennt, geschweige denn dass das Unternehmen das Problem behebt.

Die Tatsache, dass es sich beim Android-Ökosystem um ein offenes System handelt, führt zu Plattformfragmentierung, und häufig stellen Anbieter die Unterstützung für ältere Mobilgeräte vollständig ein. Trotz der Unterschiede ist das Resultat gleich: Aufgrund von fundamentalen Plattformschwächen gelingt es beiden Herstellern nicht, die Daten der Nutzer auf angemessene Weise zu schützen.

Umdenken bei den Herstellern erforderlich

Es ist also deutlich, dass langfristige Lösungen für diese Probleme einen umfassenden Paradigmenwechsel erfordern. Datenschutz kann nicht durch gesetzliche Regelungen oder hinzugefügte Sicherheitsprodukte gewährleistet werden. Der Schutz persönlicher Daten muss vielmehr ein integraler Bestandteil der Plattformen und Anwendungen werden.

Leider steht dies in einem deutlichen Gegensatz zu den Zielen vieler Hardware- und Software-Hersteller, von denen nur wenige den wirtschaftlichen Nutzen eines integrierten Datenschutzes („Privacy by Design”) erkannt haben. Der aktuelle Trend geht weiter dahin, so viele Daten zu sammeln wie möglich.

Um eine Trendwende einzuleiten, müssen Verbraucher, Unternehmen und Gesetzgeber zusammenarbeiten und erkennen, dass langfristige Verluste durch den Missbrauch des Kundenvertrauens stets größer sind als kurzfristige Vorteile. Weitere Informationen und konkrete Empfehlungen für Unternehmen, Hersteller von Mobilgeräten und Anwendungsentwickler finden Sie in der KuppingerCole Advisory Note „Dealing with privacy risks in mobile environments”.

* Alexei Balaganski ist Chief Technology Officer bei KuppingerCole und als Analyst mit besonderem Schwerpunkt auf Sicherheit im Internet tätig. Seit seinem Master-Abschluss in Mathematik und Informatik an der Novosibirsk State Technical University arbeitet er nun seit über 15 Jahren in der IT-Branche.Primär befasst sich Balaganski mit den Themen Netzwerksicherheit sowie Mobile und Cloud Security. Vor seinem Start bei KuppingerCole in 2007 verwaltete er mehrere IT-Projekte im Bereich E-Commerce, Hochlast-und Cloud-Anwendungen.

(ID:43240980)