Sicherheit und Datenschutz bei Sprachassistenten bild

Sicherheit und Datenschutz bei Sprachassistenten

Sprachassistenten werden laufend verbessert. Das betrifft die GerĂ€te, die Betriebsprogramme und die einzelnen Anwendungen. Im Umfeld von regulierten Daten mĂŒssen alle Ebenen professionell beobachtet werden.đŸ‘źâ€â™€ïž ✅ Sonst wird aus einem Hey Siri oder einem OK Google ein Risiko fĂŒr die eigene DatensouverĂ€nitĂ€t.Wir sollten die Rechenpower des Google Assistants und Amazon Alexa nicht unterschĂ€tzen. Die kontinuierliche Weiterenwicklung im Bereich kĂŒnstliche Intelligenz erschließt auch Datenquellen im Bereich Smart Home.
direkt zu:

Was ist Datensicherheit?

Die Datensicherheit befasst sich mit dem generellen Schutz von Daten, unabhĂ€ngig davon, ob diese einen Personenbezug haben oder nicht. Dabei stellt sich die Frage, welche Maßnahmen ergriffen werden mĂŒssen, um den Schutz dieser Daten zu gewĂ€hrleisten und damit schließlich die bestmögliche Datensicherheit zu erreichen.

Sicherheit beginnt mit Datensparsamkeit. 🔑

Die Suche nach einer möglichst datensparsamen Lösung ist nicht nur ein Gebot des Grundrechtsschutzes. Sie wird vielfach sogar zur EffektivitĂ€t und Effizienz des jeweiligen Datenverarbeitungssystems beitragen: Nur ein System, dem die Menschen vertrauen können, weil es sie nicht ausspĂ€ht und sie keinen Repressalien unterwirft, birgt das Potential fĂŒr eine wirklich breite UnterstĂŒtzung in der Bevölkerung. – Die Wirksamkeit solcher Systeme hĂ€ngt darum auch von der Akzeptanz in der Bevölkerung ab. Diese Akzeptanz dĂŒrfte sich durch eine datensparsame Lösung steigern lassen

Sicherheit der Smart Home Komponenten 🔑

Smart-Home-GerÀte haben vier Hauptkomponenten. Jede dieser Komponenten hat Eigenschaften, die als Merkmale zur Berechnung einer Bewertung verwendet werden.

  1. Das GerĂ€t – die Hardware, z.B. Amazon Echo, Google Home, Apple Homepod, aber auch die smarten Speaker von Sonos oder anderen Herstellern.
  2. Die mobile Anwendung – die begleitende mobile Anwendung, die mit dem GerĂ€t interagiert (Android- oder iOS-Anwendung. (App bzw. Alexa Skill oder Google Action)
  3. Cloud-Endpunkte – Internet-Dienste, mit denen das GerĂ€t oder die mobile Anwendung kommuniziert (Android oder iOS-Anwendung).
  4. Netzwerkkommunikation – Netzwerkverkehr zwischen den einzelnen Komponenten (lokaler und Internet-Verkehr).

Maßnahmen des Herstellers

Der Hersteller der Hardware kontrolliert, was ein GerĂ€t zum Zeitpunkt der Auslieferung kann bzw. nicht kann. Bis zu diesem Zeitpunkt kann der Hersteller vorgeben, welche Anwendungen auf dem GerĂ€t möglich bzw. nicht möglich sein sollen. Einige Funktionen sind fest im Betriebssystem festgelegt und lassen sich nicht verĂ€ndern. Andere Funktionen sind als Programme, Apps oder Skills zwar vorgesehen. Aber Apps werden mit der Zeit aktualisiert. Entweder werden sie durch den Anbieter der Software aktualisiert oder sie werden vom Anwender als Update erneuert. Am Beispiel eines 5 Jahre alten Wifi Radios lĂ€sst sich aber einfach beschreiben, dass sich diese geplanten FĂ€higkeiten (Apps bzw. Skills) mit der Zeit bzw. mit einigen Updates wesentlich Ă€ndern können. Im positiven Fall kann das WiFi Radio z.B. den Spotify Account einfacher integrieren und von dort alle Playlists ĂŒbernehmen. 🎧 Im negativen Fall kann das WiFi Radio zwar noch seinen Basisnutzen (Radio streamen) erfĂŒllen, bekommt jedoch keine aktiven Patches mehr. Diese Situation können wir bei Funkradios unterstellen, die ĂŒber einen Discounter zum Preis von € 120,- verkauft wurden. 

Amazon, Apple und Google nehmen eine Sonderstellung ein, da sie komplette Ökosysteme anbieten. Daher kann Amazon alle Komponenten auf mehreren Ebenen schĂŒtzen und dem Anwender Transparenz wĂ€hrend der Alexa Nutzung liefern. Die zunehmende Nutzung der Sprachassistenten durch Senioren darf nicht darĂŒber hinweg tĂ€uschen, dass diese Personen normalerweise kein Bewusstsein dafĂŒr haben, welches Risiko sich aus unterlassenen Updates ergibt.   

Wie sorgen Amazon, Apple, Google und Samsung fĂŒr Sicherheit?

Amazon Alexa, Apple Siri, Google Assistant und Samsung Bixby bieten eine große Nutzerbasis, eine sehr aktive Developer Community und die mĂ€chtigen App Stores, um GerĂ€te und Anwendungen bereitstellen zu können. 

Updates sind erforderlich fĂŒr die GerĂ€te, die Betriebsprogramme und die einzelnen Voice Skills. Veraltete Apps können schadhafte Software enthalten und letztendlich z.B. Bildschirme auslesen oder Dialogen zuhören. 💬Achten Sie als Anwender darauf, keine Updates zu auszulassen. Sonst gefĂ€hrden Sie den reibungslosen Betrieb der Systeme und letztendlich risikieren Sie auch den Datenschutz. 

Was ist Datenschutz?

Unter Datenschutz versteht man grundsĂ€tzlich den Schutz sĂ€mtlicher Informationen, die nicht fĂŒr die Allgemeinheit frei zur VerfĂŒgung stehen sollen. Damit sind vornehmlich personenbezogene Daten gemeint, also Daten, die mit Person direkt in Verbindung stehen. Das umfasst also persönliche und private Informationen, aber auch Daten ĂŒber Sachen oder bestimmte Beziehungen. Der Umgang mit diesen Informationen ist im Bundesdatenschutzgesetz festgelegt.  Wörtlich heißt die Regelung in § 1 Abs. 1 BDSG:

„Zweck dieses Gesetzes ist es, den Einzelnen davor zu schĂŒtzen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeintrĂ€chtigt wird.“

Es besteht die Pflicht, nur das nötige Minimum an personenbezogenen Daten zu erheben und diese vor dem Zugriff durch Dritte zu schĂŒtzen. Denn jeder hat das Recht fĂŒr sich selbst zu bestimmen, wem er seine eigenen Daten zugĂ€nglich machen möchte, welche Daten er Dritten zugĂ€nglich machen möchte und auch wann er diese Dritten zugĂ€nglich machen möchte. Das betrifft sowohl die Daten von Kunden, Mitarbeitern oder auch Daten von GeschĂ€ftspartnern.

Welche Daten sind vom Datenschutzgesetz betroffen ?

Das Bundesdatenschutzgesetz schĂŒtzt zuerst „personenbezogene Daten.  Personenbezogene Daten sind immer dann vorhanden, wenn sie persönliche oder sachliche Informationen ĂŒber eine natĂŒrliche Person preisgeben. Dazu muss die Person nicht namentlich benannt werden.

Im Bereich der persönlichen Assistenten ist ein durchdachtes und nachvollziehbares Datenschutzkonzept von elementarer Bedeutung. Das betrifft den Ort der Datensicherung (on-remise oder in der Cloud), den Ort der Datenverarbeitung (on-remise oder in der Cloud), die Auswertung der Nutzungs- und Bewegungsdaten und natĂŒrlich auch den Standort der Server. Aus dem Standort der Server leiten sich territoriale Rechte ab, wie z.B. der potentielle Zugriff durch staatliche Sicherheitsbehörden. 

 

Assistenten im Gesundheitswesen

Sprachassistenten fĂŒr Pflegeanbieter unterliegen Gesundheitswesens verwendet werden, dann unterliegen sie den entsprechenden Regeln der zustĂ€ndigen  Gesundheitsbehörden (Bsp: 👉HIPAA). Es können grundsĂ€tzlich die identischen GerĂ€te eingesetzt werden (bis auf das Wifi Radio vom Discounter).  Aber im Software Bereich gibt es wesentliche Unterschiede. 

Informieren

Frage & Antworten
Kuratierte Inhalte 

Helfen

Erinnerungen 

Einfache Routinen

Bewerten

Vitaldaten 

Risiken zuordnen

Verschreiben

PrÀvention  

Behandlung

Kontrolle der Anwendungen

Mobile Gesundheitsanwendungen verarbeiten persönliche Daten.  Das Bundesamt fĂŒr Sicherheit in der Informationstechnik hat dazu eine Technische Richtlinie entwickelt, die bei Anwendung den Zugriff Unbefugter auf diese Daten erschweren kann. Die Richtlinie ist fĂŒr alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern relevant und gilt als Mindestanforderung. 

Der Kontosensor - Sicherheit durch Alarmierung. 🚹

Nicht ĂŒberwachte Assistenten sind aber auf mittlere Sicht ein nicht zu kalkulierendes Risiko. đŸ’„đŸ’„đŸ’„ Wir ( Impressum) verlassen uns nicht auf die großen Sprachassistenten Plattformen Amazon, Apple. Google, Microsoft). Wir nutzen zusĂ€tzlich eigene Software, um unsere Assistenten zusĂ€tzlich zu schĂŒtzen. Dazu gehört der KontoSensor, der Fachforen zum Thema Smart Home Sicherheit stĂ€ndig auf Hinweise ĂŒberwacht.

Die von uns betreuten Sprachassistenten basieren auf diesem Prinzip:

  1. Risiken im Senioren Umfeld Sprachassistenten in der Pflege erkennen.
  2. Risiken kommunizieren und Vorgehen transparent darlegen – siehe auch 👉Campus
  3. Lösungen anbieten, bzw. in eigenen Instanzen proaktiv Schutzprozesse und Alarme einbauen.🚹

Vertraulichkeit, IntegritĂ€t und VerfĂŒgbarkeit.

„Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter mĂŒssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder MedikationsplĂ€ne, lĂ€sst sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurĂŒckgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur VerfĂŒgung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.

PrÀsident des BSI, Arne Schönbohm
Share on twitter
Share on linkedin