Ist die Smart City gefährlich?
BLOG: Datentyp
Kommunen wollen smart werden. Smart-City-Projekte folgen der Vision einer intelligenten und vernetzten Stadt.
Unter dem Begriff der „Smart City“ werden unterschiedliche Konzepte und Ideen zusammengefasst: Verwaltungen, die informiert agieren und sich technologisch weiterentwickeln, Vernetzung von Sensoren und Aktoren der öffentlichen Daseinsfürsorge zu einem smarten Gesamtsystem mit Bürgerbeteiligung, gesellschaftliche Innovation aufgrund von verfügbaren öffentlichen Daten, breitbandigen Netzanbindungen und Systemschnittstellen (städtische APIs), Handeln als Kommune in einer global vernetzten Welt, Digitalisierung der urbanen Prozesse. Der Begriff „Smart City“ ist also nicht scharf umrissen, stellt aber in der Regel technologiebasierte Veränderungen des städtischen Lebensraums in den Mittelpunkt der Betrachtung.
Fortschritt über Digitalisierung
Die Digitalisierung und Vernetzung kommunaler Infrastrukturen stellen einen ersten Schritt in Richtung Smart City dar. Digitalisierung weist ein bedeutendes Potential in vielen Bereichen der städtischen Daseinsvorsorge auf, die noch oft unter isolierten, papierbasierten und bürokratischen Prozessen leidet.
Smarte Systeme benötigen und erzeugen Daten. Mit der Erhebung und Verarbeitung von Daten sind stets Risiken verbunden, insbesondere, wenn diese einen Personenbezug aufweisen. Zur Betrachtung und Minderung von Risiken im Umfeld der Smart City gehören daher die Durchsetzung eines effektiven Datenschutzes, aber auch die Absicherung kritischer digitaler Infrastrukturen.
Die Verunglimpfung des Datenschutzes als Innovationshemmnis
Datenschutzinteressen werden oft als Hemmnis von innovativen Veränderungen wahrgenommen. Das liegt in der Praxis weniger an übergriffigen Vorgaben seitens der Verantwortlichen, vielmehr werden Datenschutzaspekte oft zu spät in die Konzeptentwicklung eingebracht, zudem wird eine Verzögerung von Technologieprojekten oft mit „dem Datenschutz“ begründet – das ist einfacher als die Ursache bei Planungsfehlern oder der Projektsteuerung zu verorten.
Keine Freigabe-Instanzen schaffen!
Aspekte von Datenschutz und Datensicherheit sollten stets von Beginn an und gestalterisch in der Konzeption von Smart-City-Projekten berücksichtigt werden. Nicht effizient und fehleranfällig ist eine – in der Kommunalverwaltung leider nicht unübliche – primäre Rollenzuweisung einer Freigabeinstanz: Datenschützer und Sicherheitsverantwortliche sollen zum Start einer Pilotphase oder der Produktivsetzung eines neuen Systems eine Freigabe erteilen und damit eine oft nebulös bleibende Unbedenklichkeit bescheinigen. Dies führt in der Praxis zu überbordenden Auflagen und bürokratischen Hemmnissen, da die benannten Personen sich gegenüber einer „politischen Haftung“ absichern wollen.
“Unser System könnte so schön funktionieren, wenn der Datenschutz nicht gefragt worden wäre.”
Ist das Projekt bereits hinsichtlich seiner Architektur spezifiziert und für den Testbetrieb einsatzbereit, ist es für die Wahrung von Datenschutz- und Datensicherheitsinteressen ohnehin zu spät: Umfangreiche Änderungen der Architektur würden nun Kosten- und Zeitrahmen sprengen, es sind meist nur noch überschaubare Anpassungen möglich, die wie Flicken auf eine technische Lösung aufgebracht werden und sich mehr nicht harmonisch in den Designentwurf einfügen: Dies ist für das Image der Freigabeinstanz nicht förderlich, da sie in die Rolle eines Buhmanns gerät: „Unser System könnte so schön funktionieren, wenn der Datenschutz nicht gefragt worden wäre.“
Usability ist nicht der Feind des Datenschutzes
Allen Unkenrufen zu Trotz bleibt aber festzuhalten: Tatsächlich kollidieren Interessen von Datenschutz und Datensicherheit nicht mit der Gebrauchstauglichkeit und der Funktionsfähigkeit von digitalen Infrastrukturen! Es bedarf auch hier – wie in vielen politischen Entscheidungsprozessen – einer vorausschauenden Planung und wirksamen Einbindung der Interessen.
Folgende Beispiele aktueller Smart-City-Anwendungen dienen als Beispiel einer sicherheitstechnischen und datenschutzfreundlichen Gestaltung.
- Mängelmelder oder Bürgeranliegen-Apps bieten Funktionalitäten, die Bürgerinnen und Bürgern einer Stadt in die Lage versetzen, mithilfe von Smartphones Mängel oder Anregungen zu dokumentieren – meist mit Foto, Ortskoordinaten und kurzer Beschreibung – und den Verlauf der Bearbeitung zu verfolgen. Neuartige Lösungen bereichern diese Vorgänge um Transparenzfunktionen ähnlich sozialer Netze: Die Meldungen sind allgemein sichtbar und können gemeinsam verfolgt und kommentiert werden, es entsteht eine lebendige Kommunikationsbeziehung zwischen Verwaltung und Bürgerschaft. Ein Einführungsprojekt einer solchen Anwendung sollte bereits zu Beginn wichtige Parameter hinsichtlich Datenschutz und Datensicherheit festlegen: Setzt die Meldung zwingend voraus, dass personenbezogene Daten, etwa Name und Anschrift, zum Fall übermittelt werden oder kann das System auch anonym oder mit Pseudonymen genutzt werden? Pseudonyme erleichtern kollaborative Funktionen, z. B. Beantwortung von Nachfragen, die durch Anonymität verhindert werden. Liegen die zu speichernden Daten auf einem Server des kommunalen Rechenzentrums oder findet eine zentrale Speicherung bei einem Dienstleister statt, der auch als Systemlieferant auftritt und sich außereuropäischer Clouddienste bedient? Gibt es eine Funktionalität, Rechtsverstöße oder Verletzungen der Privatsphäre aufgrund von hochgeladenen Bildern zu melden, diese Meldungen effizient zu bearbeiten und den Vorgang nachvollziehbar darzustellen? Diese Fragen machen deutlich, dass eine Beantwortung zum Ende des Projektes viel zu spät wäre, denn dann sind nur noch „Notlösungen“ möglich, z. B. die nachträgliche Anonymisierung von Datensätzen aufgrund von Beschwerden.
- Bei Lösungen mit Parkleitfunktionen, Verkehrszählungs-Sensoren und optischer Überwachung, z. B. die Feststellung belegter Parkplätze, sollte frühzeitig spezifiziert werden, dass keine personenbezogenen Daten anfallen. Hier gilt der Grundsatz: Daten, die nicht erhoben werden, brauchen nicht geschützt zu werden. So sollten Kennzeichen nicht erfasst werden oder – wenn eine Erfassung kurzfristig benötigt wird, um das Passieren eines Bereiches festzustellen – nach Beendigung des Zählvorgangs nicht gespeichert werden. Falls Bilddaten gespeichert werden, ist bereits vor dem Speichervorgang eine Unkenntlichmachung von Gesichtern und Kennzeichen vorzunehmen. Abrechnungsdaten, die oft Kontoverbindungen enthalten, sind von einem getrennten Server zu verwalten, so dass jeweilige Systemverantwortliche diese Daten nicht zusammenführen können. Alle zuvor aufgeführten technisch-organisatorischen Maßnahmen sind mit geringem Aufwand umsetzbar und kollidieren nicht mit nützlichen Funktionen, sofern sie bereits architekturell berücksichtigt sind.
- Bei Systemen, die Anlagen steuern, den ÖPNV unterstützen, die Umwelt überwachen oder die Energieverteilung regeln wie z. B. Telematiklösungen oder Photovoltaik-Grids kommt dem Versorgungssicherheitsaspekt besondere Bedeutung zu: Hier können bei Störungen, Hackerangriffen oder Malware-Verseuchung buchstäblich die Lichter ausgehen! In der Planungsphase ist daher die IT-Sicherheit in den Vordergrund zu stellen: Trennung von Netzen, Abschottung von Übergangspunkten, Auswahl sicherer Plattformen. Für den Betrieb sind auch Verantwortlichkeiten zu klären: Wer ist zuständig, Aktualisierungen vorzunehmen, auf Sicherheitsvorfälle zu reagieren und Systemzustände zu überwachen? Und nicht zuletzt: Gibt es einen Plan für den Fall, dass eine Komponente ungeplant ausfällt oder gehackt wurde? Dabei sind auch Fallback-Szenarien zu betrachten, damit aus einem Cyber-Incident kein Desaster-Fall wird: z. B. ein Notbetrieb ohne Steuerungsfunktion oder ein Rückfall auf analoge Komponenten. Smarte Systeme sollen sich auch bei Angriffen und Störungen smart verhalten!
Es geht nicht um Technologiefeindlichkeit!
Eine Betrachtung von Risiken in Bezug auf Datenschutz und Datensicherheit bei Smart-City-Projekten ist keineswegs mit Technologiefeindlichkeit oder Alarmismus zu verwechseln. Im Gegenteil: Smarte Lösungen berücksichtigen potentielle Risiken und weisen in ihrer Architektur bereits risikomindernde Aspekte auf. Mit dem Internet verbundene Systeme sind ständigen Attacken ausgesetzt. Niemand sollte leichtsinnigerweise davon ausgehen, dass das eigene Projekt zu uninteressant für Kriminelle ist.
Akteure vor Ort sind gefragt
Kommunalpolitische Akteure können bei der Risikobetrachtung mitwirken, indem sie bei Entscheidungsvorlagen darauf achten, dass nicht nur Funktionalitäten (Lastenhefte) beschrieben sind sondern bereits Planungsdokumente vorhanden sind, die eine sichere Gestaltung der smarten Infrastruktur abbilden. Soll ein System von Grund auf neu entworfen und implementiert werden, ist die sicherheitstechnische Gestaltung als wesentliches und früh zu spezifizierendes Element der Architektur vorzusehen. Die gewählten Mandatsträger/innen können sich dann Zwischenergebnisse oder die Bewertung durch externe Sachverständige vorlegen lassen, denn eine Korrektur ist nur in frühen Projektphasen sinnvoll möglich.
Der Text wurde in etwas kompakterer Form als Diskussionsbeitrag in der Fachzeitschrift für alternative Kommunalpolitik AKP, Nr. 5 (September 2017), ISSN: 0941-9225 unter dem Schwerpunkt „Smart City“ veröffentlicht. Es finden sich weitere Beiträge zum Schwerpunktthema in derselben Ausgabe.
In der Smart-City werden sehr viel mehr Daten erhoben – auch Daten über Bürger und wo sie sich befinden, engagieren, wie sie aussehen, etc. Doch warum sollte das gefährlich sein wie im Titel angedeutet. Tatsächlich haben die meisten Bürger allein dadurch, dass man mehr über sie weiss, nichts zu befürchten. Wenn schon ist heute die grösste Gefahr für den einzelnen, früher anonymen Bürger, dass jemand seine Identität stehlen könnte – einfach darum, weil der Identitätsdieb heute ebenfalls über sehr viel mehr Informationen über eine Identität verfügt. Der Kriminelle der Zukunft begeht seine Tat als Bürger XY, nicht als er selbst. Er benutzt beispielsweise eine Gesichtsmaske um sehr schnell an alle Konten des zu Beraubenden zu kommen.
Jeder Bürger wiederum – und nicht nur der Schwerkriminelle – kann einfache Formen von Identitätsdiebstahl oder Identitätstäuschung begehen. Beispielsweise indem er im Namen einer anderen Personen eine EMail verschickt oder einen Facebookeintrag macht. Bestimmte Leute anzuschwärzen geht mit elektronischen Mitteln und Smart-City-Apps aber auch über manipulierte Bilder. Den Mängelmelder der Smart-City beispielsweise beschickt man mit einem Bild, welches Müll vor dem Haus des gehassten Nachbarns, zeigt. Dazu genügen heute Anfänger-Fotoshop-Kenntnisse
@ Herr Holzherr :
Streng genommen wäre es ‘riskanter’, vs. ‘gefährlicher’, die Gefahr meint ein Schlechtes, das von außen kommt, das Risiko ein Schlechtes, das auf Grund eigener Handlung in Kauf genommen wird, Belohnungen, Rewards meinend.
Zumindest meinte Luhmann so.
Im hier dankenswerterweise bereit gestellten Dokument, geht es darum bereits gezielt bei der Erfassung nur das Notwendige, auch Bürger meinend, zu erfassen und als Data zu persistieren, letztlich als Information, und das nicht für den Vorgang Benötigte nicht zu erfassen und als Data zu persistieren, letztlich als Information.
Was perfekt Sinn macht.
Auch die sogenannte Smart-City meinend.
Den Überlegungen zur Anonymisierung, Pseudonymisierung etc. ist aus Sicht des Schreibers dieser Zeilen kaum etwas beizufügen.
Dies hier – ‘Tatsächlich kollidieren Interessen von Datenschutz und Datensicherheit nicht mit der Gebrauchstauglichkeit und der Funktionsfähigkeit von digitalen Infrastrukturen!’ – war die zentrale Aussage.
—
Q: Warum macht es Sinn nicht Benötigtes nicht zu erfassen?
A: Um möglichen Missbrauch beim späteren Gebrauch dieser Daten an vorderster Stelle vorzubeugen, nämlich bei der (selektiven) Erfassung (die aus Sicht Dr. Webbaers zurecht hier beworben wird).
Q: Können Datenschutzbeauftragte hier, die Systementwicklung und den späteren Systembetrieb meinend und wie im dankenswerterweise bereit gestellten WebLog-Artikel gemeint geeignet und zeitnah mitarbeiten?
Q: In praxi oft nicht, hier sollte auf bessere Ausbildung geachtet werden, aber sie sollten.
HTH (“Hope to Help”)
Dr. Webbaer
*
A: In praxi oft nicht, hier sollte auf bessere Ausbildung geachtet werden, aber sie sollten.
Smart City ist eine Horrorvision.
Wenn die Buchhalter einmal die Macht übernommen haben, wird alles geplant, optimiert und durchleuchtet.
Ein Gefühl für Individualität und Respekt vor anderen Menschen scheint zu fehlen.
Auch wenn man noch so viel Sicherheitsschranken einbaut, man wird immer einen Grund finden, dieses oder jenes zu erruiren. Ich warte nur noch auf die Frage, wie oft benützen Sie ihre Toilette und zu welcher Zeit. Das interessiert natürlich die Kläranlagen oder die Wasserwerke.
Die Bonuskarte bei den Supermärkten notiert ihre Verbrauchergewohnheiten. Regt sich da noch jemand auf?
Bei der elektronischen Vernetzung wird alles erhoben. Wann sie aufstehen, wann sie ihr frühstück machen, wann sie aus dem Haus gehen usw. usw.
Und die Bürger, durch die sozialen Netzwerke schon abgestumpft, finden das noch toll.