#M2M News “MerlinCryption Launches MerlinM2M Encryption Platform Solution” ow.ly/8NlnH

Offensichtlich kann (oder soll) hier mit Sicherheit und Verschlüsselung bei M2M-Anwendungen Geld verdient werden, was denn auch immer eine “M2M Encrytion Platform” ist.

Bei frühen M2M-Projekten waren alle Beteiligten zufrieden, wenn die Anwendung gut und verlässlich funktionierte. Fein, aber leider Geschichte…

Spätestens – Stuxnet sei Dank – seit der Erkenntnis, dass nicht nur eBay-Accounts oder Kreditkarten, sondern auch Zugänge zu Anlagen und Maschinen bei dunklen Gestalten begehrt sind, haben sich die Anforderungen auch an M2M-Lösungen und Komponenten deutlich verändert. Während früher das Thema Sicherheit (und in direkter Folge auch Datenschutz) nur in wenigen Branchen und in wenigen Köpfen ein wirkliches Thema war, so finden sich heute zu Recht diese Stichpunkte in praktisch jedem Anforderungsprofil und (fast) jedem Produktblatt von M2M-Komponenten oder Systemen.

Eine sicherlich positive Entwicklung, aber so richtig «wertvoll» wird dieses Umdenken erst dadurch, dass es aufgrund der breiten Diskussion nicht nur in den Köpfen der Techniker, sondern auch im Management und – besonders wichtig – in den kaufmännischen Abteilungen angekommen ist. Sicherheit darf jetzt vielleicht sogar etwas kosten!

Aber ich frage mich, ob denn Sicherheit in M2M-Projekten wirklich immer neuer propietäre Lösungen und Produkte bedarf. Die eigentliche Chance besteht aus meiner Sicht darin, dass nun das Thema Sicherheit in M2M-Projekten wirklich in allen Bereichen akzeptiert ist – gut für Projektleiter:

• Definieren Sie Sicherheit (und Datenschutz) von Beginn an als ein Projektziel!
• Sichern Sie sich ggf. externe Unterstützung oder Beratung zum Thema Sicherheit (aber bitte unabhängige Beratung!)

Lassen Sie sich nicht ins Bockshorn jagen, angemessene Sicherheit ist in jedem M2M-Projekt zu vernüftigen Kosten realsiertbar, auch ohne propietären Schnick-Schnack.

Im Auftrag des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (oder kurz ULD) hat Dr. Moritz Karg ein Gutachten

Datenschutzrechtliche Bewertung
des Einsatzes von „intelligenten“ Messeinrichtungen  (Smart Meter)
für die
Messung von gelieferter Energie

erstellt.

«Smart Metering» ist eine M2M-Anwendung, die bei näherer Betrachtung eben nicht “nur” die Übertragung von Messwerten, sondern sehr wohl auch eine  Verarbeitung von personenbezogener Daten und fällt daher unter eine Reihe von gesetzlichen Regelungen, die man tunlichst beachten sollte.

Auch wenn das Gutachten für Nicht-Juristen eine doch schon  etwas sperrige Lektüre ist, lohnt sich die Mühe doch: Der Leser erhält einen guten Eindruck, wie M2M-Anwendungen durch die “Datenschutz-Brille” betrachtet werden.

Thilo Weichert, Leiter des ULD:

„Neue Technologien eröffnen neue Möglichkeiten – Smart Meter z.B. zum Energiesparen – und neue Risiken. Das frühzeitige Beachten der Datenschutzvorgaben durch die Betreiber und Anbieter verhindert spätere Mehrkosten und Konflikte. Wer sicher gehen möchte, dass die eigenen Verfahren rechtskonform sind, kann diese zertifizieren lassen.“

Wer sich mit M2M-Projekten beschäftigt, muss sich also nicht nur mit technischen und kaufmännischen Problemen herumschlagen, sondern sollte tunlichst auch ein – professionelles – Auge auf das Thema Datenschutz werfen (lassen).

Auch wenn es auf den ersten Blick “nervt”, bin ich doch froh, dass in Deutschland das Thema Datenschutz – zumindest im Vergleich mit dem Rest der Welt – gesetzlich einigermassen gut verankert ist, auch wenn das Thema häufig noch nicht wirklich ernst genug genommen wird.

Der technische Fortschritt und die extrem stark zunehmende Verbreitung, die wir alle für M2M-Anwendungen in den nächsten Jahren erwarten, erfordert zwingend einen etablierten Datenschutz. Ohne Datenschutz wird es zukünftig keine Akzeptanz des Themas M2M in der Bevölkerung geben.

Mehr zum Thema auf dem M2M Weblog:

• http://m2m-blog.de/2009/01/12/m2m-produkt-mit-datenschutzsiegel/

Weitere Ressourcen im Netz:

• Zeit Online: Was der intelligente Stromzähler ausplaudern darf
• Mühlheimer Bürger Initialiven zur “ModellStadt Smart Metering”
• Heise Online: Intelligente Stromnetze: Ich weiß, ob du gestern geduscht hast

In den vergangenen Monaten in der Presse:

Immer mehr verlorene Festplatten und Laptops mit vertraulichen Daten in England, geklaute Kreditkartendaten in den USA und Millionen von Kunden- und Bankdaten in Deutschland zu verkaufen.

Heute weiß es Jedermann: Auch bei uns ist Deutschland es in Sachen Datenschutz nicht gut bestellt, von der Situation im Ausland wo teilweise sogar die gesetzlichen Grundlagen fehlen ganz abgesehen.

Die vermutlich aktivsten Verfechter des Datenschutzgedankens sitzen ganz im Norden unserer Republik im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein oder kurz ULD. Neben der Kontrolle von Behörden und der Verfolgung von Datenschutzverstößen werden dort auch Schulungen (Stichwort Datenschutzakedemie) durchgeführt und vor allem auch präventive Arbeit in Form von Audits und Prüfung von Produkten (Datenschutz-Gütesiegel) geleistet.

Datenschutz spielt aber nicht nur im Rahmen personenbezogener Daten eine Rolle, sondern auch für M2M-Anwendungen sollte man sich fragen, ob die notwendigen Standards eingehalten werden. Neben warmer Worte gab es aber bisher schlicht und einfach “nichts”.

Aber jeder, der eine M2M-Anwendung plant oder bereits betreibt, sollte sich in einer ruhigen Stunde einmal fragen, was er denn über diese weichen (d.h. nicht rein funktionalen) Aspekte seiner Anwendung weiß und wie potentiellen Gefahren (Informationsweitergabe, Manipulation, Folgeschäden, Haftung) begegnet wird.

Insbesondere interessant ist der Nachweis der “notwendigen Sorgfalt” im Falle eines Falles zur Minimierung einer – evtl. auch persönlichen – Haftung.

Erstes M2M-Produkt mit Datenschutz-Gütesiegel

Jetzt hat das ULD mit dem Produkt fixed.IP – vertrieben durch die mdex GmbH und realisiert in den Rechenzentren der ic3s AG – das erste M2M-Produkt durch die Verleihung des Datenschutz-Gütesiegel ausgezeichnet (Kurzgutachten als PDF).

Aus dem Gutachten:

“Bei dem IT-Produkt „mdex fixed.IP“ handelt es sich um eine gut durchdachte technische Lösung zur sicheren IP-basierten Kommunikation von Mobilgeräten. Die Daten werden dabei zunächst durch den GSM spezifischen A5 Algorithmus verschlüsselt, dann durch das IPSEC-Protokoll (bei der Kommunikation zwischen dem Mobilfunknetzbetreiber und mdex) und im VPN durch deren spezifische Verschlüsselung bei der Kommunikation zwischen mdex und dem Anwender.

Das Rechenzentrum des Produktherstellers ist nach dem Stand der Technik gesichert. Es bestehen keine Bedenken, die Datenverarbeitung durch den Produkthersteller im Wege der Auftragsdatenverarbeitung durchführen zu lassen.

Das Produkt „mdex fixed.IP“ fördert den Datenschutz durch eine nach dem Stand der Technik gesicherte Möglichkeit der IP-basierten Kommunikation von Mobilgeräten.”

Ein weiteres Produkte für die M2M-Kommunikation über Mobilnetze (GPRS/EDGE/UMTS/HSDPA), das auf “fixed.IP” aufbaut, ist die Zugriffsvariante “mdex.WebDirect“.