Der Aspekt, der seit Beginn unserer Produkttests im Bereich Internet of Things, für uns und auch im öffentlichen Interesse, am meisten an Relevanz gewonnen hat, ist ohne Frage der Datenschutz und der Schutz der Privatsphäre. Für unsere ersten Tests, vor nun mehr 6 Jahren, spielte dieser Testpunkt noch eine untergeordnete Rolle. Mittlerweile führt er auch in unseren Zertifizierungstests bei groben Mängeln unweigerlich zum Nichtbestehen – und das selbst dann, wenn die anderen sicherheitstechnischen Bereiche fehlerfrei absolviert wurden.
Im Gegensatz zu den weiteren in unseren Sicherheitstests adressierten Bereichen, liegt die Zielsetzung dabei nicht auf dem Schutz des Nutzers vor dem Zugriff unbefugter Dritter, sondern vor exzessiver Datensammlung und der damit verbundenen Verletzung der eigenen Privatsphäre durch ein womöglich ansonsten adäquat sicheres Produkt und dessen Hersteller.

Datenschutzerklärung

Der offensichtlichste und für den Normalkunden, mehr oder weniger, einzige Weg sich über den potenziellen Einfluss eines Produktes auf die eigene Privatsphäre zu informieren, ist die Datenschutzerklärung. Auch für unsere Analyse und Bewertung stellt sie deswegen einen ersten wichtigen Schritt dar.
Die Datenschutzerklärung dient nach Artikel 13 und 14 der europäischen Datenschutz-Grundverordnung in erster Linie dazu, Kunden bzw. Nutzer eines Dienstes oder Produktes darüber aufzuklären in welcher Form und zu welchem Zweck (vor allem personenbezogene) Daten durch den Hersteller oder Betreiber gesammelt, verarbeitet, gespeichert und gegebenenfalls an Dritte weitergeben werden. Außerdem wird im Rahmen der Datenschutzerklärung häufig noch erwähnt, welche zusätzlichen Maßnahmen ergriffen werden, um die Privatsphäre des Kunden zu schützen.

Unsere Testingenieuere prüfen im IoT-Labor auch die Datenschutzerklärung von Produkten und Services.
Unsere Testingenieuere prüfen im IoT-Labor auch die Datenschutzerklärung von Produkten und Services.

Dementsprechend müssen von uns überprüfte Produkte und Services also überhaupt erstmal eine Datenschutzerklärung bereitstellen. Das hört sich selbstverständlicher an, als es ist. Denn selbst, wenn mit DSGVO/GDPR die entsprechenden rechtlichen Grundlagen eigentlich keine Fragen aufkommen lassen, ist das für viele Hersteller längst noch keine Selbstverständlichkeit.

Anhand der in der Datenschutzerklärung gegebenen Informationen kann im Rahmen unseres Tests zumindest schon einmal eine rein theoretische Analyse und Bewertung des vorliegenden Produktes getroffen werden. Dabei wird bewertet, ob, in welcher Form und wie detailliert alle essenziellen Fragen in der Datenschutzerklärung ausgeführt wurden. Besonders wichtig sind dabei die folgenden Fragestellungen:

  • Was wird an Rohdaten erfasst und zu welchem Zweck? Ist das für die Funktionalität absolut notwendig?
  • Wie werden die Daten weiterverarbeitet? Welche zusätzlichen Informationen werden hier noch aus den Rohdaten extrahiert?
  • Wo und wie lange werden die erfassten Rohdaten sowie alle weiteren daraus abgeleiteten Nutzerdaten gespeichert?
  • Werden die Daten an Dritte weitergegeben?

Außerdem bewerten wir hier ebenfalls die Verständlichkeit der entsprechenden Ausführungen. Dafür existieren spezielle Metriken, wie zum Beispiel der Flesch-Kincaid grade level, über die sich formell und maschinell Indikatoren für die Lesbarkeit eines vorliegenden Textes ermitteln lassen. Dies erlaubt uns auch eine Bewertung der Datenschutzerklärung in Hinblick darauf, auf welche Art und Weise enthaltene Informationen dem Kunden vermittelt werden.

„Datenschutzerklärung“ wie unsere Tester sie häufig immer noch vorfindenWichtig ist noch anzumerken, dass unsere Bewertung der Datenschutzerklärung und der darin gegebenen Informationen vor allem auf dem Vertrauen darauf beruhen, dass die gemachten Aussagen praktisch auf Herstellerseite auch exakt so umgesetzt werden. Denn besonders die Punkte zur Datenspeicherung und -weitergabe lassen sich schlicht nicht von außerhalb überprüfen.

Mobile Applikationen und Firmware

Die mobilen Android- und iOS-Applikationen zu einem Produkt stellen für die Sicherheitsanalyse einen bedeutenden Aspekt dar, da sie einen erheblichen Teil der durch das Produkt zur Verfügung gestellten Funktionalität enthalten und außerdem als zentrales Steuerungselement, eines der Hauptangriffsziele für potentielle Attacken darstellen. Auch für die Untersuchung mit Fokus auf den Datenschutz sind sie zu dem sehr wichtig, denn ein Großteil, der durch ein Produkt gesammelten und über das Internet versendeten Daten läuft mit hoher Wahrscheinlichkeit irgendwann auch immer über die mobilen Applikationen. Hinzu kommen außerdem noch die Daten, die über enthaltene Tracker und Werbemodule erfasst werden.

Vorbildlich: Die Android-Applikation von NUKI kommt mit einem Minimum an Berechtigungen aus.

Die Analyse der Applikationen geschieht dabei, wie auch für den Sicherheitstest, in zwei Teilen: Einer statischen und einer dynamischen Analyse.

Im statischen Analyseteil untersuchen wir den Quellcode der mobilen Applikationen auf Hinweise für eine Datensammlung oder -ausleitung. Dabei halten wir Ausschau nach bekannten Trackern, wie sie zum Beispiel in der Exodus Privacy Datenbank inklusive ihrer Fähigkeiten aufgeführt werden. Natürlich beweist das Vorhandensein eines solchen Tracker-Moduls allein nicht automatisch, dass dieses während der Ausführung der Applikation zum Einsatz kommt, noch dass es seine vollen Datenerfassungsfähigkeiten auch einsetzt. Dennoch kann diese Information allein schon interessant sein oder zumindest einen Ansatzpunkt für die weitere dynamische Analyse liefern. Dasselbe gilt für die Berechtigungen, die sich eine Applikation auf dem Nutzergerät zusichert – Sie beweisen allein noch keine exzessive Datensammlung, liefern aber einen Ansatzpunkt für weiterführende Betrachtungen. Hier fallen besonders Berechtigungen auf, die augenscheinlich für die Gerätefunktionalität keine Rolle spielen, aber trotzdem angefragt werden.

Exodus Privacy liefert eine Übersicht über Tracker, ihre Fähigkeiten und wo sie sonst noch enthalten sind

Im dynamischen Teil der Analyse werden dann die statisch ermittelten Ansatzpunkte auf die Probe gestellt. Dafür wird das Verhalten der Applikation während der Ausführung beobachtet und ausgewertet. Besonders interessant ist hierbei die stattfindende Netzwerkkommunikation. An ihr lässt sich direkt beobachten, wann und in welchem Maße, Daten über das Internet versendet werden. Bei sicherheitstechnisch besseren Applikationen wird dies auch niemals über ungesicherte Verbindungen geschehen, sodass an dieser Stelle weitere Schritte durchgeführt werden müssen, um auch einen Blick in die übertragenen Rohdaten selbst werfen zu können.
Die Untersuchung der eigentlichen Produkthardware beschränkt sich dann im Grunde auf eine sehr ähnliche dynamische Verhaltensanalyse, bei der ebenfalls der Netzwerkverkehr bei der Ausführung bestimmter Gerätefunktionen beobachtet und ausgewertet wird. Der statische Teil ist in vielen Fällen, wenn überhaupt nur beschränkt durchführbar, da meistens ein Zugriff auf die Gerätefirmware nicht oder nur mit größerem Aufwand erfolgen kann. Dieser Umstand macht es außerdem deutlich schwerer, an den unverschlüsselten Inhalt der Kommunikation zu gelangen, da die normalerweise eingesetzten Methoden, wie beispielsweise Man-in-the-Middle-Angriffe oder eine Deaktivierung der Verschlüsselung über einen Patch der Software, bei einem adäquat sicheren System quasi beinahe ausgeschlossen sind.

Zur Minimierung der Angreifbarkeit, aber eben auch im Rahmen der Datenschutzprüfung, verringern alle Daten, die nicht erhoben, übertragen und gespeichert werden, die Gefahr durch fremden Zugriff. Dementsprechend nimmt auch die Prüfung der Datensparmsamkeit und Datenvermeidung zusätzlichen Raum in unseren Tests ein. Denn je weniger Daten zum Einsatz von Produkten und Services notwendig sind, desto weniger anfällig sind sie im Nachhinein gegen Angriffe auf die bei der Übertragung notwendige Anonymisierung und Verschlüsselung.

Fazit

Bei allen durchgeführten Analysen und Überlegungen in diesem Bereich, muss der Nutzer doch immer ein bestimmtes Maß an Vertrauen zum Hersteller aufbringen. Natürlich kann durch Tests ein guter Teil der durch den Hersteller gemachten Angaben praktisch überprüft werden, was aber dann auf Herstellerseite tatsächlich mit gesammelten Daten passiert, bleibt stets Spekulation. Auf der anderen Seite stehen aber auch die Hersteller, die selbst bei absolut vorbildlicher Praxis stets mit Argwohn und Misstrauen konfrontiert werden, ohne die Möglichkeit zu haben, sich zweifelsfrei zu beweisen. Ihnen bleibt aber zumindest immer der eine Leitspruch: Wer nichts sammelt, kann auch nichts verlieren.