Sicherer Datenschutz für Smarte Gebäude

“Wissen ist Macht”. Diese Redewendung wird zwar meist auf Francis Bacon zurückgeführt, jedoch weiß die Menschheit schon seit Jahrtausenden, wie wertvoll Wissen ist. Gerade heute hat Wissen eine größere Bedeutung denn je: einige Unternehmen verdienen Millionen damit, Informationen und Daten zu verkaufen. Da lohnt es sich genauer hinzusehen: wie sieht Datenschutz für Smart Buildings aus? 

 

Rechtliche Hintergründe

Das Inkrafttreten der DSGVO am 25. Mai 2018 hat in vielen Unternehmen für Trubel gesorgt: von Hinweisen, die auf der Website angezeigt werden müssen bis zu vollständig veränderten Betriebsabläufen, fast alle Gewerbe waren von der neuen EU-Verordnung betroffen. Zweck der Verordnung ist es, das Grundrecht auf Datenschutz gewährleisten, insbesondere im Hinblick auf personenbezogene Daten. Gerade in Smart Spaces, wo Menschen leben und arbeiten und somit einen großen Teil ihrer Zeit verbringen, spielt Datenschutz eine große Rolle. 

Da es sich bei der Datenschutz-Grundverordnung um eine EU-Richtlinie handelt, gilt sie nur bei Anwendern, die eine Niederlassung innerhalb der Europäischen Union haben. Jedoch muss jeder Schritt der Datenverarbeitung DSGVO-konform sein, wenn z.B. die Daten einer Person, die sich in der EU befindet, verarbeitet werden. Daher muss man bei der Wahl der Smart Building Partner aufpassen, dass man nur mit denen zusammenarbeitet, welche der Richtlinie entsprechend arbeiten, ansonsten drohen hohe Geldstrafen. Es ist deswegen in der Regel sicherer, auf Kooperation innerhalb der EU zu setzen, da sich ansässige Unternehmen meist besser mit der regionalen Gesetzeslage und deren Einhaltung auskennen.  

 

Datenschutz durch intelligente Technik

Guter Datenschutz gelingt vor allem dann, wenn nur die nötigsten Daten gespeichert werden und diese möglichst nicht einzelnen Personen zuzuordnen sind. Bei der Datenerhebung sollten dabei nur diese Informationen gespeichert werden, welche für das System zwangsweise nötig sind, außerdem sollten diese wieder gelöscht werden, wenn sie nicht mehr benötigt werden. Weiterhin ist es möglich, Einträge, die auf bestimmte Personen hindeuten, durch Pseudonyme zu ersetzen, wodurch sich diese Daten nicht mehr eindeutig bestimmten Personen zuordnen lassen und deren Privatsphäre deutlich besser geschützt wird. Am besten lässt sich für jeden Nutzer ein zufällig ausgewählter Alias anlegen, dessen Bedeutung nur ausgewählten Verwaltern zugängig ist. Zur Nachverfolgung von Öffnungsvorgängen empfehlen wir das Vorhalten einer "Dechiffriertabelle" (z.B. pseudonymisierte Nutzer ID 123456 == Petra Mustermann). Die Nutzer-ID sollte auch nur für das jeweilige Smart Building System gelten und sich nicht mit den Datenbanken anderer Gebäude vermischen, damit sich keine umfassenden Datensätze einzelner Personen erstellen lassen.

 

Häufig wird vermutet, dass das Handy für digitale Zugangskontrollen durchgehend die GPS-Daten des Nutzers abfragt, was ein weiteres potenzielles Datenleck darstellen könnte. Dies ist aber nicht der Fall. Auf Android wird lediglich die Freigabe für die Location Services benötigt. Die Location Services der Android-Plattform enthalten die Freigabe für Bluetooth. Eine Differenzierung der Freigabe und damit Reduzierung auf Bluetooth ist systemseitig auf diesem mobilen Betriebssystem nicht möglich. Daher erfolgt auch nur eine einzige Abfrage auf Android-Telefonen. Eine Freigabe der Daten bedeutet nicht zwingend die Nutzung von z.B. GPS Daten.

Weiterhin hält sich das Gerücht, dass Bluetooth nicht sicher sei. Aber auch Bluetooth entwickelt sich wie jede Technologie weiter. Gründe warum der Gedanke das Bluetooth ein Einfallstor für Hacker und Schädlinge aller Art ist, entkräftet sich nach genauerem Hinsehen:

 

  • Zur Datenübertragung zwischen 2 Bluetooth-fähigen Geräten muss zunächst ein Pairing stattfinden, sonst ist kein Datenaustausch möglich.
  • Die Pairing-Devices  bilden einen Initialisierungsschlüssel mit 128 Bit. Dieser schützt im Anschluss den Austausch des eigentlichen Verbindungsschlüssel (“Link Key”).
  • Der Link Key ist nur den beiden Pairing-Partnern bekannt, die miteinander kommunizieren wollen. Die Authentifizierung erfolgt im sogenannten Challenge-Response Verfahren.
  • Bei der eigentlichen Datenübertragung werden die übertragenen Daten zusätzlich verschlüsselt.
  • Um “Mitlauschen” zu verhindern, wechselt die Funkfrequenz 1600 Mal pro Sekunde zwischen 79 Kanälen.

 

Außerdem sind ständige Updates der Gebäudesoftware und Nutzer-App sehr wichtig, da sich nur so höchste Sicherheitsstandards gewährleisten lassen. Achten Sie dabei auf eine Garantie des Herstellers, dass Ihre Software auch in Zukunft immer auf dem neuesten Stand gehalten wird.

 

Wie wir Datenschutz umsetzen

Es lässt sich also festhalten, dass man beim Datenschutz für Smart Buildings viel falsch, aber noch mehr richtig machen kann. Der entscheidendste Aspekt ist dabei wohl die Wahl des Anbieters. Sensorberg stellt dabei mit seinem Partnernetzwerk beste Rahmenbedingungen für eine sichere Smart Space Lösung. Um höchste Ansprüche zu erfüllen, setzt man hier auf ausgeklügelte Softwarelösungen: Die Gebäudesoftware ist auf optimalen Datenschutz zugeschnitten, sie sammelt nur die notwendigsten Daten der Nutzer, wobei sich auch diese pseudonymisieren lassen. Gespeichert werden – für die Dauer der Nutzung – der Username (ggf. pseudonymisiert), die IP-Adresse und einige weitere rein technische Daten.

Die Verwaltung der Nutzerdaten liegt in der Hand der Kunden. Ausschließlich der Sensorberg-Kunde hat Zugriff auf die von seinen Nutzer generierten Daten, darüber hinaus schränkt eine zusätzliche Rechte / Rollen-Funktion innerhalb der Sensorberg Webplattform weiter ein, wer welche Daten sehen und verändern kann. Technische Daten, die für den Betrieb von Gebäuden irrelevant sind (z.B. die IP-Adresse des Nutzers), werden auf der Sensorberg Webplattform nicht dargestellt. Auf Wunsch können “Sub-Gruppen” innerhalb eines Sensorberg-Backends erstellt werden, die wiederum nur Nutzer und Gebäudeteile verwalten können, für die sie Berechtigungen besitzen. Des Weiteren entwickelt Sensorberg selbst die App, die man für die Nutzung von Smart Buildings benötigt, wodurch sich dabei das Risiko, das bei Drittanbietern besteht, ausschließen lässt. 

Durch eine ISO 27001 Zertifizierung, die Sensorberg im April 2020 bekommen wird, ist die hohe IT-Sicherheit des Unternehmens auch offiziell bestätigt. Das internationale Zertifikat ist besonders für Kunden, die mit sensiblen Daten zu tun haben, von großer Bedeutung, da es ein Nachweis für den bewussten und gewissenhaften Umgang mit vertraulichen Informationen ist. Alle Daten von App-Nutzern bzw. Endkunden werden in Deutschland gehostet und verarbeitet. Sensorberg betreibt keine eigenen Server sondern nutzt einen sicheren, externen Hosting Anbieter mit Servern in Deutschland.

 

Um keine Meldungen mehr zu innovativen und sicheren Smart Building Technologien zu verpassen, abonniere unseren  Newsletter