Modul 6 - Datenschutz: IoT-Geheimagenten im Einsatz

Daten sind wertvoll und müssen geschützt werden, denn ohne Datenschutz ist unsere Privatsphäre und damit wir und unsere Angehörigen gefährdet. Davon hörst du sicher nicht zum ersten Mal. Im folgenden Modul möchten wir euch zeigen, wie einfach es ist, private Daten zu erfassen, welche Anwendungsgebiete es selbst in eurer Umgebung geben könnte und wie leicht man sie interpretieren kann, um damit einen Mehrwert aus diesen Daten zu ziehen. Also aufgepasst, die IoT-Agenten sind auf geheimer Spionagemission!

Das Problem

Du kennst es bestimmt aus deiner eigenen Schule: Das Smartphone muss während der Klassenarbeit ausgeschaltet werden. Um zu überprüfen, ob wirklich jedes Smartphone aus ist, müsste man allerdings auch jedes Smartphone anschauen. Daher muss man das Smartphone auch meistens in den Rucksack legen. Also stellt sich die Frage: Kann man zentral überprüfen, wie viele Smartphones im Raum an sind? Im Folgenden werden wir uns mit dieser Fragestellung befassen.

 

Wie können wir das Problem lösen?

Jedes Handy kommuniziert kontinuierlich mit der WLAN-Basisstation (falls eingebucht) oder macht sich selbst auf die Suche nach einer solchen. Die dabei ausgetauschten Informationen des WLAN-Protokolls sind unverschlüsselt und können von Jedermann mitgehört werden. Hierbei handelt es sich nicht um die transportierten Nutzdaten, sondern um die weltweit eindeutigen MAC-Adressen. Die MAC-Adresse (Media-Access-Control-Adresse) ist die Hardware-Adresse jedes einzelnen Netzwerkadapters, die als eindeutiger Identifikator des Geräts in einem Rechnernetz dient.

Unser Octopus besitzt mit dem ESP8266 eine WLAN-fähige Komponente, die, bei geschickter Programmierung, als Smartphone-Zähler genutzt werden kann. Der im Ardublock realisierte PaxCounter ist also gewissermaßen ein Softwaresensor für Menschen (mit ihren Handys). Anhand der im Datenstrom identifizierten verschiedenen MAC-Adressen wird die Anzahl der im lokalen Umfeld vorhandenen Geräte geschätzt.

Da mittlerweile viele Handys auch der WLAN im 5 GHz Bereich nutzen, unser ESP aber nur das 2.4 GHz Band empfängt, funktioniert das Ganze nicht wirklich quantitativ. Aber wir sehen sehr schön die Auswirkungen der modernen Technik auf unsere Privatsphäre.

Wenn du weitere praktische Einsatzorte kennenlernen möchtest, oder Dich über den Datenschutz informieren möchtest, dann schaue dir doch einmal die optionalen fachlichen Informationen am Ende des Moduls an!

Umsetzung des PaxCounters

Der Pax-Counter steht dir als ein einziges Ardublock-Bauteil in der IoT-Privatsphäre Schublade zur Verfügung. Du musst keine Einstellung verändern und kannst es so in die Schleife des Ardublocks einfügen (siehe Abbildung 1). Selbst die Ausgabe auf dem seriellen Monitor wird dir abgenommen (siehe Abbildung 2).

Möchtest du die Daten des Pax-Counter weiter verwenden, solltest du wie in der Abbildung gezeigt, eine Zahlvariable verwende, um die Daten zu speichern. Auf diese Weise kannst du die Daten auch ins Thingspeak laden (siehe Abbildung 3). Da der Pax-Counter das WLAN Modul des Octopus verwendet und dadurch die Verbindung mit dem WLAN abbricht, müssen wir diese in jedem Schleifendurchlauf herstellen. Aus diesem Grund befindet sich das WLAN-Bauteil nicht im Setup- sondern im Schleifen-Block.

Abb. 1 So sieht das fertige Ardublock Programm aus
Abb. 2 Du bekommst automatisch im seriellen Monitor angezeigt, wie viele Smartphones erkannt wurden
Abb 3. Du kannst die erfassten Daten auch ins Thingspeak laden
Wie können wir unsere Daten schützen?

Ein Weg zum Schutz unserer Daten ist die Datenschutz-Grundverordnung (DSGVO). Doch auch sie ist aus unterschiedlichen Gründen nicht perfekt. Man sollte sich daher nicht nur auf andere verlassen und sich selbst darüber bewusst sein, wann man Daten veröffentlicht und wie man dies verhindern kann.  Einige Betriebssysteme führen  daher eine zufällige Auswahl der MAC-Adressen durch, d. h. diese werden fortlaufend variiert. Manchmal reicht es auch, dass Smartphone für kurze Zeit auszumachen. Deswegen gilt generell: Das WLAN nur dann aktivieren, wenn man es wirklich braucht!

Auch mit der Weitergabe der MAC Adresse des eigenen Handys (soweit man die überhaupt kennt), sollte man sehr vorsichtig sein.

Fachliche Informationen (optional)

Der Pax-Counter im praktischen Einsatz - Welche Auswirkungen kann es geben

Im Verlauf der letzten Abschnitte konntest du sehen wie der Pax-Counter funktioniert und wie man ihn verwendet. Doch neben dem Klassenzimmer, könnten Unternehmen den Pax-Counter verwenden, um Kunden zu überwachen:

Stelle dir vor du gehst in einen Supermarkt und schaust dich an verschiedenen Regalen um. An jedem Regal ist ein Pax-Counter befestigt, der deine MAC-Adresse speichert. Weiter wirst du an der Kasse, nach deinem Einkauf, nach deiner E-Mail-Adresse für weitere Angebote gefragt. Der Betreiber des Supermarkts hat nun einige Informationen, die er im Nachgang auswerten könnte. Er könnte in einem ersten Schritt die gespeicherte MAC-Adresse mit deiner E-Mail-Adresse verbinden. Daher weiß er, wie viel Zeit du an den unterschiedlichen Regalen verbracht hast. Darüber hinaus weiß der Betreiber, welche Dinge du gekauft hast, denn heutige Kassen speichern die Quittungen automatisch ab. Durch die Abfrage der E-Mail-Adresse könnte der Betreiber dir nun automatische Angebote schicken, die deinem Kaufverhalten entsprechen. Weiter könnte er die Push-Nachrichten auf dein Smartphone schicken, wenn du den Supermarkt beim nächsten Mal betrittst.

Das hört sich im ersten Moment eigentlich nicht so schlecht an. Du erfährst immer früh genug, wann deine Lieblingsprodukte im Angebot sind. Doch der Betreiber könnte deine Daten auch weiterverkaufen und du bekommst keine Angebote des Supermarkts, sondern Angebote eines Fitnessstudios, wenn du beim letzten Einkauf zu lange am Süßigkeiten-Regal gestanden hast. Oder das Angebot eines psychologischen Dienstes, wenn du öfter Alkohol kaufst.

Du merkst, dass es an dieser Stelle problematisch wird. Aus diesem Grund ist die Verknüpfung der MAC Adressen mit personenbezogenen Daten in Deutschland aus gutem Grund untersagt. Sogar der wissenschaftliche Dienst des Bundestages hat sich in einer Ausarbeitung mit dem Thema befasst. Eine zeitweise anonymisierten Speicherung (wie bei unserem Pax-Counter) zur Zählung von Personen am Bahnhof oder touristischen Plätzen wird dagegen bereits häufig eingesetzt.

Weitere denkbare Einsatzzwecke

Zählung der Handys direkt an einem lokalen Gegenstand (z.B. am Poster zur IoT-Werkstatt auf Messen): Hierzu wird auf allen WiFi-Kanälen nach MAC-Adressen mit hoher Feldstärke (d.h. dicht am Sensor) gelauscht und diese gezählt.

Zählung der Besucher einer Veranstaltung: Da unser Octopus mit seiner auf der Platine nur eine winzige Leiterbahnantenne besitzt, ist die Empfangsreichweite lokal begrenzt. Über die notwendige Feldstärke kann der Erfassungsbereich z. B. auf den Veranstaltungsort abgestimmt werden.

Anwesenheitssensor fürs Büro oder für das Eigenheim: Da jedes Handy eine weltweit einzigartige MAC-Adresse besitzt, ließe sich der Sensor auch sehr gut zur Anwesenheitserkennung eines spezifischen Handys einsetzen. Aber wäre das erlaubt?

Nein, es handelt sich dabei um die Erfassung personenbezogener Daten, denn hierzu ist ja die Kenntnis der jeweiligen MAC-Adresse nötig. Damit ist vor Verarbeitung auch das schriftliche Einverständnis des Eigentümers notwendig.

Quelle: https://pixabay.com/de/images/search/detective/
back-to-top nach oben