Risikobericht über RFID & Co. auf Flughäfen
Flughäfen sind Hotspots der modernen Kontrollgesellschaft. Die EU-Sicherheitsagentur ENISA hat in einem neuen Bericht die Risiken des Einsatzes von IT-Kontrollsystemen im Flugreiseverkehr analysiert. Sie warnt darin vor der Datensammelwut staatlicher und privater Organisationen und zeigt sich besorgt über Mechanismen, die zu einer Zweiklassengesellschaft auf dem Airport führen können.
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) veröffentlichte am Dienstag einen Bericht über die Risiken des zunehmenden Einsatzes vernetzter IT-Systeme im Flugreiseverkehr. Der Bericht soll aufzeigen, welche Risiken und Folgen sich mit der Einführung von Technologien wie RFID-Funkchips im Kontext des "Internets der Dinge" (Internet of Things, IoT) ergeben könnten.
Die elektronische Identifizierung von Gegenständen, Reisenden und Angestellten im Flugverkehr erzeuge "eine zunehmende konstante Interaktion zwischen Smart Devices", so die Agentur in ihrer Mitteilung. In Europa würden jährlich rund zehn Millionen Flüge abgefertigt, dabei falle "eine signifikante Menge an vertraulichen Informationen" an.
Gefährlicher "Mission Creep"
Der 109 Seiten umfassende Bericht identifiziert verschiedene Risiken des Einsatzes des IoT im Lufttransportszenario. Als eine der größten Gefahren identifiziert die ENISA den "Mission Creep" und die nachträgliche Veränderung der Verwendungsrichtlinien der gesammelten Datenbestände. "Je mehr Daten gesammelt werden, desto größer die Wahrscheinlichkeit, dass Datenverwalter und andere auf Ideen kommen, wie diese Daten neu eingesetzt werden können", heißt es in dem Bericht, und: "Die stille Weiterverwendung von Datenbeständen ist eine der bösartigsten Aktivitäten gegen Privatsphäre und Datenschutz. Sie unterminiert das Vertrauen."
Konkret könnten etwa die in den Reservierungssystemen gespeicherten Daten über die Ernährungsgewohnheiten von Reisenden zu gezielter Werbung genutzt werden. Außerdem hätten Strafverfolger und Geheimdienstler die Tendenz, auf Datenbestände zugreifen zu wollen, die andere Institutionen zu anderen Zwecken gesammelt haben. Sowohl Regierungen als auch Privatunternehmen würden derzeit in vielen Fällen nicht besonders viel Wert auf den Schutz der Privatsphäre von Individuen legen, so die Agentur.
Zweiklassengesellschaft auf dem Airport
Die ENISA warnt auch vor der Nutzung von Passagierdatenbanken zur Identifikation von Reisemustern, wie es beispielsweise von US-Diensten betrieben wird. Dabei seien auch Strafverfolger, die diese Möglichkeiten ausnutzen wollten, nicht davor gefeit, dass Angreifer falsche Daten in die Systeme schleusen. Auch dass sich Fahnder auf IT-Systeme blind verlassen, könne gefährlich sein. Das zunehmend "aggressive Profiling" durch IT-Systeme könne weiters dazu führen, dass bestimmte Nutzergruppen von einigen Dienstleistungen ausgeschlossen bzw. privilegiert behandelt werden. Als Negativbeispiel führt die ENISA die "Trusted Traveller"-Programme an, bei denen sich Geschäftsreisende mit ihren biometrischen Daten registrieren können, damit sie schneller an den Grenzen abgefertigt werden.
Die ENISA zeigt sich nicht gänzlich ablehnend gegenüber den IoT-Technologien, drängt aber in ihren Empfehlungen an die Gesetzgeber darauf, beispielsweise den Nutzern mehr Kontrolle über ihre persönlichen Daten zu geben und sie besser darüber zu informieren, wie ihre Daten verwendet werden. Der EU-Kommission legen die Forscher unter anderem ans Herz, die Auswirkungen der neuen Technologien auf Sicherheit und Datenschutz zu testen, bevor diese breit eingeführt werden.