Tweet
Hallo zusammen,
da mittlerweile einige Smart Home-Projekte bei uns auflaufen, machen wir uns gerade einige Gedanken zum Thema Datenschutz und Datensicherheit.
Uns geht es darum, sowohl uns als auch den Kunden gegen die im Zusammenhang mit der Vernetzung entstehenden Risiken und Gefahren zu schützen und abzusichern. Zu den Risiken gehören meines Erachtens hauptsächlich der unerwünschte Zugriff von Außen sowie die Absicherung der eigenen Daten.
Auf Nachfrage bei Loxone wurde mir mitgeteilt, dass hier aktuell kein Datenschutzkonzept existiert, was ich persönlich als nicht akzeptabel empfinde bei einer Firma, die das vernetzte Haus ans Internet anbinden will.
Ich habe jetzt mittlerweile einige Punkte und Richtlinien zusammengestellt, damit wir (hoffentlich) auf der sicheren Seite sind, was die Datensicherheit angeht:
- Die Passwörter für den MS werden vom Kunden vor Ort bestimmt und in Ihrer Dokumentation eingetragen. Keines der Kundenpasswörter wird in Klarnamen bei uns gespeichert.
- Der Miniserver ist standardmäßig nur lokal erreichbar. Nur auf ausdrücklichen Wunsch erhält der Kunde einen Fernzugriff über das Internet. Dazu soll er eine separate Erklärung bekommen, in der explizit auf die entsprechenden Gefahren hingewiesen wird.
- Wir behalten einen eigenen Zugang zur Programmierung mit eigenem Passwort. Zugriff darauf bekommen wir aber nur über das lokale Netzwerk. Dieser Zugang erhält keinen Zugriff auf die Visu, die standard-Benutzer-Konten bekommen keinen Zugriff auf die Programmierung.
Zusätzlich sind im MS meines Wissens die folgenden Sicherheitsfunktionen vorhanden:
- Firewall gegen SYN-Attacken
- Verschlüsselte Übertragung von Benutzername und Passwort
- Brute-Force-Schutz durch Sperrung des Angreifers bei mehrfach falscher Eingabe
Jetzt meine Frage: Wie verfahrt ihr bei euren Kunden? Welche Maßnahmen zur Datensicherheit muss ich noch beachten? Gibt es vorgefertigtes Vertragswerk, um die Installateure abzusichern?
da mittlerweile einige Smart Home-Projekte bei uns auflaufen, machen wir uns gerade einige Gedanken zum Thema Datenschutz und Datensicherheit.
Uns geht es darum, sowohl uns als auch den Kunden gegen die im Zusammenhang mit der Vernetzung entstehenden Risiken und Gefahren zu schützen und abzusichern. Zu den Risiken gehören meines Erachtens hauptsächlich der unerwünschte Zugriff von Außen sowie die Absicherung der eigenen Daten.
Auf Nachfrage bei Loxone wurde mir mitgeteilt, dass hier aktuell kein Datenschutzkonzept existiert, was ich persönlich als nicht akzeptabel empfinde bei einer Firma, die das vernetzte Haus ans Internet anbinden will.
Ich habe jetzt mittlerweile einige Punkte und Richtlinien zusammengestellt, damit wir (hoffentlich) auf der sicheren Seite sind, was die Datensicherheit angeht:
- Die Passwörter für den MS werden vom Kunden vor Ort bestimmt und in Ihrer Dokumentation eingetragen. Keines der Kundenpasswörter wird in Klarnamen bei uns gespeichert.
- Der Miniserver ist standardmäßig nur lokal erreichbar. Nur auf ausdrücklichen Wunsch erhält der Kunde einen Fernzugriff über das Internet. Dazu soll er eine separate Erklärung bekommen, in der explizit auf die entsprechenden Gefahren hingewiesen wird.
- Wir behalten einen eigenen Zugang zur Programmierung mit eigenem Passwort. Zugriff darauf bekommen wir aber nur über das lokale Netzwerk. Dieser Zugang erhält keinen Zugriff auf die Visu, die standard-Benutzer-Konten bekommen keinen Zugriff auf die Programmierung.
Zusätzlich sind im MS meines Wissens die folgenden Sicherheitsfunktionen vorhanden:
- Firewall gegen SYN-Attacken
- Verschlüsselte Übertragung von Benutzername und Passwort
- Brute-Force-Schutz durch Sperrung des Angreifers bei mehrfach falscher Eingabe
Jetzt meine Frage: Wie verfahrt ihr bei euren Kunden? Welche Maßnahmen zur Datensicherheit muss ich noch beachten? Gibt es vorgefertigtes Vertragswerk, um die Installateure abzusichern?
Kommentar