29. Juli 2013 - Context-Aware Security

Auch im Datenschutz kommt es auf den Zusammenhang an

Neue IT-Lösungen bieten sogenannte Context-Aware-Funktionen an, berücksichtigen also, in welchem Zusammenhang die Funktionen ausgeführt werden. Context-Aware Security soll dadurch Risiken genauer erkennen können. Doch der Datenschutz kann betroffen sein, wenn die Zusammenhänge immer genauer analysiert werden.

auch-im-datenschutz-kommt-es-auf-den-zusammenhang-an.jpeg
Bei der Erhebung von Daten durch Context-Aware-Funktionen, sollte geprüft werden, ob eine Anonymisierung stattfindet (Bild: Thinkstock)

Context-Aware Computing im Anmarsch

Intelligente IT-Lösungen bieten nicht immer die gleichen Funktionen an, sondern passen diese dem aktuellen Bedarf an. Dafür gibt es viele Beispiele: Ein Drucker erkennt, dass Fotos ausgedruckt werden sollen, und wählt automatisch das passende Papier aus dem Papierfach. Ein Tablet-PC erkennt, dass das Umgebungslicht schwach ist und erhöht deshalb die Display-Helligkeit.

Oder aber das Auto erkennt, dass der Treibstofftank bald leer ist, das Navigationsgerät sucht automatisch eine Tankstelle in der Nähe. Marktforscher sind sich sicher, dass in den nächsten Jahren die IT mehr und mehr auf die Umgebung, auf den Kontext achtet und die Funktionen entsprechend anpasst. Im Bereich IT-Sicherheit ist dieses Context-Aware Computing jedenfalls schon Realität.

Die Vermessung der Umgebung

Wenn eine IT-Lösung die Umgebung berücksichtigen soll, benötigt sie Umgebungsdaten und dafür Sensoren, die Messungen durchführen. Im Bereich der IT-Sicherheit können zum Beispiel Messungen zum aktuellen Standort, zum genutzten Netzwerk, zur Nutzungsdauer, zum verwendeten Endgerät und zu anderen Geräten in der Nähe erfolgen.

Dieser Kontext einer IT-Lösung hat nämlich Einfluss auf mögliche Bedrohungen: Es macht einen Unterschied, ob ein Tablet im Firmengebäude oder im Hotel, im Unternehmensnetzwerk oder in einem offenen WLAN, während oder nach der Arbeitszeit, zusammen mit USB-Sticks oder in Verbindung mit einem Drucker genutzt wird. Deshalb prüfen Lösungen aus dem Bereich Context-Aware Security genau die IT- und Anwendungs-Umgebung. Das aber kann auch den Nutzer betreffen.

Die Werbung macht es bereits vor

Context-Aware Computing geht oftmals weiter als bis zur Messung der IT-Umgebung. Auch der Anwender und sein Verhalten werden ausgewertet. Anwendungen aus der Werbung zeigen, was das bedeutet: So könnte der Nutzer in einem sozialen Netzwerk angegeben haben, dass er eine bestimmte Kaffeehaus-Kette bevorzugt. Ist er unterwegs, könnte sein Tablet die Nähe zu einem entsprechenden Kaffeehaus feststellen, am einfachsten über die Kennzeichen des WLAN-Angebotes aus der Coffee-Bar, die der WLAN-Scanner des Tablets registriert. Der Nutzer erhält dann zum Beispiel die aktuellen Angebote dieser Filiale.

Context-Aware Analysen dürfen nicht zu weit gehen

Ob der Nutzer tatsächlich der Verwendung seiner Daten für die Kaffee-Werbung zugestimmt hat, ist die Frage. Fragen sollten Sie sich bei Ihrer Datenschutzkontrolle auch, welche Parameter die eingesetzten IT-Sicherheitslösungen auswerten. Je nach IT-Security-System und eingesetztem Endgerät können dies durchaus sensible Informationen sein. So könnte eine IT-Sicherheitslösung für die Auswertung der IT-Umgebung unter anderem feststellen wollen, wo der Nutzer wann welche Anwendung nutzt, welche Zusatzgeräte dazu verwendet werden und welche Datenkategorien dabei verwendet werden.

Vorsicht vor Verhaltenskontrolle und bei Privatnutzung

Die Analysen zu der aktuellen IT- und Nutzerumgebung könnten mehr aufzeichnen und auswerten, als dem Datenschutz recht ist. Deshalb sollte bei einer Kontrolle genau darauf geachtet werden, ob die erforderliche Anonymisierung oder Pseudonymisierung für den Dateschutz stattfindet, zu welchem Zweck welche Umgebungsdaten erhoben werden, ob die Nutzer entsprechend informiert sind und ob die Zweckbindung denn eingehalten wird. So können Content-Aware-Lösungen für die IT-Sicherheit und in anderen Bereichen einen echten Mehrwert bieten, da das Funktionsangebot relevanter für den Nutzer wird oder die Datensicherheit steigt.

Allerdings können durch die Messung und Speicherung der Umgebungsparameter auch ganz neue Einsichten und Möglichkeiten für Nutzerprofile entstehen, die über den Zweck der IT-Sicherheit hinausgehen. Besondere Vorsicht ist geboten, wenn Endgeräte, die auch privat genutzt werden dürfen, über Context-Aware-Security geschützt werden. Dann fließt die private IT-Nutzung in die Analysen ein. Nutzen Sie deshalb die aktuelle Checkliste für Ihre Datenschutzkontrolle im Bereich Context-Aware-Computing.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln