Eine neu gestaltete datenschutzfreundliche Architektur soll es Entwicklern ermöglichen, Smart-Home-Apps so zu entwickeln, dass Bedenken hinsichtlich der Datenweitergabe ausgeräumt werden und die Nutzer/innen die Kontrolle über ihre persönlichen Daten behalten.
Das System mit dem Namen Peekaboo, das von Forschern der Carnegie Mellon University entwickelt wurde, „nutzt einen In-Home-Hub, um ausgehende Daten in einer strukturierten und durchsetzbaren Weise vorzuverarbeiten und zu minimieren, bevor sie an externe Cloud-Server gesendet werden“.
Peekaboo arbeitet nach dem Prinzip der Datenminimierung, d.h. es werden nur so viele Daten gesammelt, wie für einen bestimmten Zweck erforderlich sind.
Um dies zu erreichen, müssen die Entwickler/innen das Verhalten bei der Datenerfassung explizit in Form einer Manifestdatei deklarieren, die dann in einen vertrauenswürdigen Hub im Haus eingespeist wird, um sensible Daten von Smart Home-Apps wie z. B. intelligenten Türklingeln auf einer Need-to-know-Basis zu übertragen.
Der Hub fungiert nicht nur als Vermittler zwischen den Rohdaten von IoT-Geräten und den entsprechenden Cloud-Diensten, sondern ermöglicht es auch Drittanbietern, die Datenerfassung eines App-Entwicklers zu überprüfen.
Die Manifestdatei ihrerseits entspricht der AndroidManifest.xml-Datei, in der die Berechtigungen aufgeführt sind, die eine App benötigt, um auf geschützte Teile des Systems oder andere Apps zuzugreifen.
Doch während es sich bei Android eher um einen binären Ansatz handelt, bei dem Apps entweder einseitig der Zugriff auf eine bestimmte Funktion (z. B. die Kamera) erlaubt oder verweigert wird, ermöglicht Peekaboo eine anpassungsfähigere Definition der Datenerhebungspraktiken – die Art der zu erfassenden Daten, wann sie erhoben werden sollen und wie häufig.
„Mit Peekaboo kann ein Nutzer eine neue Smart Home App installieren, indem er einfach ein Manifest auf den Hub herunterlädt“, erklären die Forscher.
„Dieser Ansatz bietet mehr Flexibilität als Genehmigungen und einen Mechanismus zur Durchsetzung. Außerdem bietet er den Nutzern (und Prüfern) mehr Transparenz über das Verhalten eines Geräts, d. h. darüber, welche Daten in welcher Granularität, wohin und unter welchen Bedingungen fließen.
Darüber hinaus ist Peekaboo so konzipiert, dass es automatisch Datenschutz-Nährwertkennzeichnungen generiert, die das erklärte Verhalten einer App zusammenfassen, ähnlich wie die Datenschutzkennzeichnungen von Apple in iOS und der Datensicherheitsbereich von Android.
„Peekaboo bietet eine hybride Architektur, bei der ein lokaler, nutzergesteuerter Hub die Smart Home-Daten strukturiert vorverarbeitet, bevor er sie an externe Cloud-Server weiterleitet“, so die Forscher.