Kategorie: Software Entwicklung

Sicherheit und Datenschutz bei Sprachassistenten

Sicherheit beginnt mit Datensparsamkeit.

Die Suche nach einer möglichst datensparsamen Lösung ist nicht nur ein Gebot des Grundrechtsschutzes. Sie wird vielfach sogar zur Effektivität und Effizienz des jeweiligen Datenverarbeitungssystems beitragen: Nur ein System, dem die Menschen vertrauen können, weil es sie nicht ausspäht und sie keinen Repressalien unterwirft, birgt das Potential für eine wirklich breite Unterstützung in der Bevölkerung. – Die Wirksamkeit solcher Systeme hängt darum auch von der Akzeptanz in der Bevölkerung ab. Diese Akzeptanz dürfte sich durch eine datensparsame Lösung steigern lassen

Sicherheit der Smart Home Komponenten

Smart-Home-Geräte haben vier Hauptkomponenten. Jede dieser Komponenten hat Eigenschaften, die als Merkmale zur Berechnung einer Bewertung verwendet werden.

  1. Das Gerät – die gekaufte Hardware (Alexa, Sonos usw.).
  2. Die mobile Anwendung – die begleitende mobile Anwendung, die mit dem Gerät interagiert (Android- oder iOS-Anwendung.)
  3. Cloud-Endpunkte – Internet-Dienste, mit denen das Gerät oder die mobile Anwendung kommuniziert (Android oder iOS-Anwendung).
  4. Netzwerkkommunikation – Netzwerkverkehr zwischen den einzelnen Komponenten (lokaler und Internet-Verkehr).

Maßnahmen des Herstellers

Der Hersteller der Hardware kontrolliert, was ein Gerät zum Zeitpunkt der Auslieferung kann bzw. nicht kann. Bis zu diesem Zeitpunkt kann der Hersteller vorgeben, welche Anwendungen auf dem Gerät möglich bzw. nicht möglich sein sollen. Einige Funktionen sind fest im Betriebssystem festgelegt und lassen sich nicht verändern. Andere Funktionen sind als Programme, Apps oder Skills zwar vorgesehen. Aber Apps werden mit der Zeit aktualisiert. Entweder werden sie durch den Anbieter der Software aktualisiert oder sie werden vom Anwender als Update erneuert. Am Beispiel eines 5 Jahre alten Wifi Radios lässt sich aber einfach beschreiben, dass sich diese geplanten Fähigkeiten (Apps bzw. Skills) mit der Zeit bzw. mit einigen Updates wesentlich ändern können. Im positiven Fall kann das WiFi Radio z.B. den Spotify Account einfacher integrieren und von dort alle Playlists übernehmen. Im negativen Fall kann das WiFi Radio zwar noch seinen Basisnutzen (Radio streamen) erfüllen, bekommt jedoch keine aktiven Patches mehr. Diese Situation können wir bei Funkradios unterstellen, die über einen Discounter zum Preis von € 120,- verkauft wurden. 

Amazon, Apple und Google nehmen eine Sonderstellung ein, da sie komplette Ökosysteme anbieten. Daher kann Amazon alle Komponenten auf mehreren Ebenen schützen und dem Anwender Transparenz während der Alexa Nutzung liefern. Die zunehmende Nutzung der Sprachassistenten durch Senioren darf nicht darüber hinweg täuschen, dass diese Personen normalerweise kein Bewusstsein dafür haben, welches Risiko sich aus unterlassenen Updates ergibt.  

Die Anbieter von Sprachassistenten

Amazon Alexa, Apple Siri, Google Assistant und Samsung Bixby bieten eine große Nutzerbasis, eine sehr aktive Developer Community und die mächtigen App Stores, um Geräte und Anwendungen bereitstellen zu können. 

Updates sind erforderlich für die Geräte, die Betriebsprogramme und die einzelnen Voice Skills. Veraltete Apps können schadhafte Software enthalten und letztendlich z.B. Bildschirme auslesen oder Dialogen zuhören.

Assistenten im Gesundheitswesen

Sprachassistenten für Pflegeanbieter unterliegen Gesundheitswesens verwendet werden, dann unterliegen sie den entsprechenden Regeln der zuständigen  Gesundheitsbehörden (Bsp: 👉HIPAA). Es können grundsätzlich die identischen Geräte eingesetzt werden (bis auf das Wifi Radio vom Discounter).  Aber im Software Bereich gibt es wesentliche Unterschiede.

Informieren

Frage & Antworten
Kuratierte Inhalte 

Helfen

Erinnerungen 

Einfache Routinen

Bewerten

Vitaldaten 

Risiken zuordnen

Verschreiben

Prävention  

Behandlung

Kontrolle der Anwendungen

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Technische Richtlinie entwickelt, die bei Anwendung den Zugriff Unbefugter auf Gesundheitsdaten Daten erschweren kann

Mobile Gesundheitsanwendungen verarbeiten sensible und besonders schützenswerte persönliche Daten.  Das Bundesamt für Sicherheit in der Informationstechnik hat dazu eine Technische Richtlinie entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann.

Die TR „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) ist unabhängig von und bereits im Vorfeld der gegenwärtigen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.

Die Richtlinie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden.

Der Kontosensor - Sicherheit durch Alarmierung.

Nicht überwachte Assistenten sind aber auf mittlere Sicht ein nicht zu kalkulierendes Risiko. 💥💥💥 Wir ( Impressum) verlassen uns nicht auf die großen Sprachassistenten Plattformen Amazon, Apple. Google, Microsoft). Wir nutzen zusätzlich eigene Software, um unsere Assistenten zusätzlich zu schützen. Dazu gehört der KontoSensor, der Fachforen zum Thema Smart Home Sicherheit ständig auf Hinweise überwacht.

Die von uns betreuten Sprachassistenten basieren auf diesem Prinzip:

  1. Risiken im Senioren Umfeld Sprachassistenten in der Pflege erkennen.
  2. Risiken kommunizieren und Vorgehen transparent darlegen – siehe auch 👉Campus
  3. Lösungen anbieten, bzw. in eigenen Instanzen proaktiv Schutzprozesse einbauen.

Vertraulichkeit, Integrität und Verfügbarkeit.

„Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.

Präsident des BSI, Arne Schönbohm

Amazon Alexa selbst abhörsicher machen

Was bedeutet abhörsicher?

Sprachgesteuerte Assistenten müssen ihre Umgebung abhören um ihrer Aufgabe gerecht zu werden. Sie interpretieren die Tonsignale und setzen sie in die gewünschten Aktionen um. Einen Sprachassistent abhörsicher machen bezieht sich darauf, die Sprachdialoge nicht unberechtigten Zuhörern zugänglich zu machen. Ebenso wichtig ist es, die unbegründete Speicherung der Sprachdialoge zu verhindern. Für das Umfeld von Senioren und Pflegebedürftigen ist hier etwas Hilfestellung. Denn es ist durchaus im Interesse der seriösen Anbieter von Sprachassistenten Plattformen dies Vertrauen nicht zu mißbrauchen. 

 

Verhindere, dass Amazon Mitarbeiter deine Sprachdialoge mithören

Um die Qualität der gegebenen Antworten zu überprüfen, kann es geschehen, daß auch Mitarbeiter von Amazon einem Sprachdialog zuhören. Falls du das verhindern möchtest, dann kannst du diese Form der Überwachung stoppen.

Diese sogenannte Opt-out-Option verhindert, dass Dritte deinen Alexa abhören. Den Opt-out aktivierst du wie folgt:

  1. Öffne die Alexa App.
  2. Tippe auf “Einstellungen”.
  3. Tippe auf “Privatsphäre”.
  4. Wähle die Option, die es dir erlaubt, deine Alexa-Daten zu verwalten.
  5. Hier kannst du ausschalten, dass deine Sprachaufnahmen zu Zwecken der Programmverbesserung genutzt werden (Opt-out).

Lösche die Aufzeichnungen deiner Sprachdialoge

Um alle bisher aufgezeichneten Daten auf einmal zu löschen, musst du nur dies tun.

In den Alexa-Datenschutzeinstellungen oder in der Alexa App können Sie Ihre Sprachaufzeichnungen jederzeit sehen, anhören und löschen. Um eine Aufzeichnung per Sprachbefehl zu löschen, sagen Sie einfach „Alexa, lösche, was ich gerade gesagt habe“ oder „Alexa, lösche alles, was ich heute gesagt habe“.

 

Die Opt-out-Option verhindert, dass Dritte deinen Alexa abhören. Den Opt-out aktivierst du wie folgt:

  1. Öffne die Alexa-App auf deinem Smartphone.
  2. Tippe auf die drei Striche am oberen Rand.
  3. Wähle  “Einstellungen” und gehe daraufhin auf “Alexa-Konto”.
  4. Klick danach auf “Alexa Datenschutz” und wähle “Sprachaufnahmen-Verlauf prüfen”
 
Du kannst hier einzelne Aufnahmen anhören und löschen oder auf “Alle Aufnahmen von heute löschen” klicken. Damit löschst du immerhin alle Befehle desselben Tages. Möchtest du die Aufnahmen des vorherigen Tages oder eines bestimmtes Zeitraums löschen, gehe einen Schritt zurück und klicke auf “Heute”. Dort kannst du auch die gesamten Daten löschen, die Alexa seit Beginn gespeichert hat.
 
Sprachassistenten sind in der Pflege ein langfristig angelegtes Vorhaben. Vertrauen der Anwender muss sich verdient werden und alle Beteiligten müssen sich transparent verhalten, um ehrliche Partner zu sein.   

Estland die Digitale Republik

NewYorker Magazine Artikel: Estland, The Digital Republic.

new yorker image

konsequent auf Digitale Dienste ausgerichtet

Mit lediglich 1,3 Millionen Einwohnern und und lediglich vier Millionen Hektar, von denen die Hälfte aus Wald besteht hat sich Estland konsequent auf Digitale Dienste ausgerichtet und spart dadurch 2 % seines Bruttosozial Produkts an Kosten | Quelle: NewYorker

BMWI Analyse 2017

Estland hat sich über die baltische Region hinaus einen Namen als Standort für digitale Produkte und Dienstleistungen gemacht. Insbesondere die Digitalisierung der Verwaltung (E-Government) ist international stark beachtet und führte 2016 zur Einladung des damaligen Regierungschefs, Taavi Rõivas, ins Bundeskanzleramt. Die estnische Wirtschaft entwickelte sich auch in den Krisenjahren rascher als die der beiden baltischen Nachbarn. Dies liegt nicht zuletzt an der bewusst gepflegten Nähe zu Skandinavien – und dort insbesondere zu Finnland, das nur eine kurze Fährstrecke von der estnischen Hauptstadt Tallinn entfernt liegt. Besonders zu beobachten ist die positive Entwicklung im Bereich der Informations- und Kommunikationstechnologie (IKT). Die Branche gilt als einer der zentralen europäischen Wachstumsmotoren und liefert darüber hinaus als Querschnittstechnologie entscheidende Impulse für weitere Märkte. Das kleine Estland will, wie die folgende Untersuchung zeigt, dabei eine führende Rolle übernehmen.

Gleichzeitig hat in Estland während der vergangenen Jahre die Bedeutung innovativer Unternehmensgründungen im Bereich digitaler Gesundheitsdienste. Im Jahr 2015 wurde von der estnischen Regierung die Organisation Startup Estonia gegründet, deren Ziel es ist, ein möglichst optimales System für die Startup-Branche zu schaffen. Der Organisation stehen bis zum Jahr 2020 7 Millionen Euro zur Verfügung. Diese werden vom Europäischen Fonds für

Ferner zeichnen sich weitere Entwicklungen ab, die von einer zunehmenden Professionalisierung und Institutionalisierung der Gründerszene in Estland zeugen. Die Startups gründen branchenspezifische Verbände, kooperieren mit Universitäten und Hochschulen und unterhalten Netzwerke. Größere Anbieter stellen Inkubatoren zur Verfügung. Mit diesem Rückenwind im kleinen Heimatmarkt fassen estnische Startups gezielt Europa und andere Märkte ins Auge. Umgekehrt bietet die Marktdynamik in Estland auch ausländischen Unternehmen eine gute geschäftliche Perspektive, die sich in den vergangenen Jahren kontinuierlich verbessert hat.

Quelle: Zielmarktanalyse 2017, IT-STARTUPS IN ESTLAND 

Herausgeber:  Bundesministerium für Wirtschaft und Energie (BMWi) Öffentlichkeitsarbeit, www.bmwi.de. Die Studie wurde im Rahmen des BMWi-Markterschließungsprogramms für das Projekt – Geschäftsanbahnungsreise “Chancen für deutsche IT-Startups in Estland, Lettland, Litauen” erstellt.

Die Infrastruktur der Digitalen Republik

Estland hat trotz Budget Knappheit die offensichtlich richtigen Entscheidungen getroffen und eine hervorragende digitale Infrastruktur aufgebaut. Gesicherte Leitungswege wie die X-Road sind die Voraussetzung für Server Infrastrukturen, die sehr schwer zu kompromittieren sind. Trotz der vergleichsweise geringen Einwohnerzahl hat das Baltikum eine weltweit führende Community von Mobile Payment und Security Experten – dort ist auch das NATO Cooperative Cyber Defence Centre of Excellence 

nato cc image

Digitale Staatsbürgerschaft

Ich bin seit 2017 e-Resident, um die Möglichkeiten im Umgang mit staatlich angebotenen Dienstleistungen selbst am eigenen Leib zu testen. Dazu gehörte 2017 noch die Zusammenarbeit mit Repräsentanten, die englisch nur sehr ruppig sprachen. Doch im Bezug auf Sicherheit und Innovation ist Estland führend und testet 2020 Voice Services bereits als Erweiterung zu den eigenen Government Plattformen.

key to e-estonia image

Jeder, der in Estland ein Unternehmen gründen möchte, kann seit 2017 Zugang zu allen von der Regierung angebotenen elektronischen Dienstleistungen erhalten. Zur Klarheit: Estland ist kein weiterer Hafen, um Steuern zu sparen, sondern ein auf überlegener Technik basierender Anbieter von digitalen Dienstleistungen.

Digitale Lehrplattformen

E-learning Angebote aus Estland stehen 2020 im Zeichen des Coronavirus weltweit kostenlos zur Verfügung. Estland  belegt den 1. Platz im PISA-Test und hat seit dem 16. März 2020 alle Schulen geschlossen. Als vergleichsweise kleine Volkswirtschaft demonstriert Estland einen eindrucksvollen Erfolg mit begrenzten Mitteln aber viel Verstand. Seit 2017 gilt Estland als eine der fortschrittlichsten digitalen Nationen der Welt. 

Lehrrplattformen