Vertretungsregelung Möglichkeiten und Grenzen informationeller Selbstbestimmung bei mehrstufigen Geschäftsprozessen
Ordnungsmerkmale
erschienen in: <kes> 2006#4, Seite 11
Rubrik: Management und Wissen
Schlagwort: Datenschutz in Geschäftsprozessen
Zusammenfassung: Identitäts-Management ermöglicht nicht zuletzt personalisierte Dienste und automatisierte Prozesse. Dabei ist es um die informationelle Selbstbestimmung derzeit aber eher schlecht bestellt. In mehrstufigen Geschäftsprozessen führen heutige Verfahren zu "Big Brothers", denen man bedingungslos vertrauen muss. Neben einer Analyse des Status quo liefert dieser Beitrag auch einen Ausblick auf mögliche Auswege.
Autor: Von Sven Wohlgemuth und Günter Müller, Freiburg
Zwei Trends im E-Commerce sind derzeit personalisierte Dienste [1] und die Automatisierung von Geschäftsprozessen [2]. Die Verknüpfung dieser Trends wirft Probleme auf: Nutzer müssen personenbezogene Daten an Dienste weitergeben, damit diese gegenüber nachfolgenden Diensten im Namen des Nutzers auftreten können und so eine personalisierte Dienstleistung des letztlich abzuwickelnden Geschäftsprozesses erbracht werden kann. Die folgenden Betrachtungen beziehen sich zwar auf die Privatsphäre von Nutzern, dürften sich aber gleichwohl analog auf schutzwürdige Belange von Organisationen anwenden lassen: Schließlich haben auch Behörden und Unternehmen ein Interesse daran, dass ihre Daten und Handlungen nicht unkontrolliert Anbietern, Konkurrenten oder der Öffentlichkeit bekannt werden.
Personalisierte Services passen ihre Dienstleistung an die Interessen und Eigenschaften ihrer Nutzer an und ermöglichen somit eine individuelle Kundenansprache. Je nach gewünschter Dienstleistung ist dazu eine Erhebung personenbezogener Daten notwendig. Ein Beispiel dafür stellt das experimentelle Kaufhaus "Extra-Future-Store" der Metro-Gruppe dar (vgl. [3]). In Abhängigkeit der erhobenen Daten werden dem Kunden unter anderem spezifische Produktinformationen, Produktvorschläge (aufgrund bereits gekaufter Produkte) und eine automatische Bezahlfunktion angeboten. Die Erhebung der Kundendaten erfolgt über sein persönliches, mobiles Endgerät, über das er mit dem IT-System des Kaufhauses interagiert. Ähnliche Mechanismen sind beim Online-Einkauf bereits üblich.
Dient eine Kette von Diensten zur Erbringung einer bestimmten Leistung, so spricht man von mehrstufigen Geschäftsprozessen mit Stellvertretern. Spätestens in solchen Szenarien erreicht die Profilerstellung, die mit den genannten Datensammlungen und -auswertungen einhergeht, einen so beträchtlichen Umfang, dass ein Stellvertreter(system) zum "Big Brother" wird. Dies ist durch seine Rolle bedingt: Es interagiert anstelle des Nutzers gegenüber nachfolgenden Diensten, in seinem Auftrag und mit seinen personenbezogenen Daten. Dabei sind dem Nutzer diese nachfolgenden Dienste nicht zwingend bekannt.
Ein Stellvertreter erhält folglich die personenbezogenen Daten seines Nutzers, die von den nachfolgenden Diensten verlangt werden. Durch die Profilbildung entsteht dabei das Potenzial zur Beobachtung der Nutzer und zum Missbrauch dieser Daten. Für die Informatik relevant werden mehrstufige Geschäftsprozesse durch die Möglichkeiten, sie mit autonomen Softwarekomponenten (z. B. Web-Services oder Agenten) spontan für eine Durchführung zu realisieren und ohne eine Interaktion mit dem Nutzer ablaufen zu lassen.
----------Anfang Textkasten----------
![[Logo: ETRICS 2006]](06-4-011-0b.jpg)
International Conference on Emerging Trends in Information and Communication Security (ETRICS)
Die Universität Freiburg hat vom 6.–9. Juni 2006 unter der Leitung des Instituts für Informatik und Gesellschaft (Prof. Müller) die internationale Sicherheitskonferenz ETRICS veranstaltet (![[externer Link]](../../../../images/link.gif)
www.etrics.org). Sie war die Abschlusskonferenz des von der Deutschen Forschungsgemeinschaft (DFG) geförderten Schwertpunktprogramms "Sicherheit in der Informations- und Kommunikationstechnik" unter der Leitung von Prof. Müller. Unterstützt durch die Gesellschaft für Informatik (GI) und den weltweit führenden Vereinigungen für Elektrotechnik (IEEE) und Informatik (ACM) haben internationale Experten aktuelle Probleme und Lösungsansätze im Bereich der Sicherheitsforschung diskutiert. Die Konferenz wurde zudem von namhaften Unternehmen wie DaimlerChrysler, Deutsche Bank, Deutsche Telekom und SAP gefördert. Das Bundesministerium für Bildung und Forschung (BMBF) hat die ETRICS in das Wissenschaftsjahr 2006 "Informatikjahr" aufgenommen.
Die ETRICS hat das Spannungsfeld zwischen Sicherheit und Privatsphäre aufgezeigt, das sich durch die technische Entwicklung hin zu hochdynamischen Systemen ergibt. Die zunehmende spontane Vernetzung von Kleinstrechnern mit unterschiedlichster Leistungsfähigkeit führt dazu, dass sich Sicherheit zukünftig auf neue Schwachstellen fokussieren muss, die durch den vermehrten Austausch von mobilem Code und die Hinzunahme sowohl von Kontext- und Ortsinformationen als auch von personenbezogenen Daten (als Eingangsparameter für Dienstleistungen) ausgenutzt werden können.
Gegenwärtige Schutzmechanismen sind für den Einsatz in solchen Umgebungen aufgrund ihres Sicherheitskonzepts der Zugriffskontrolle für fest definierte Nutzergruppen nicht geeignet. Die Interaktion mit solchen Rechnersystemen erfordert neue Formen einer Zugriffskontrolle und die Nutzung von Eingangsparametern muss vor der Verwendung eines Dienstes durch Regeln definiert werden können. Um derartige Sicherheitsregeln durchzusetzen, sind nicht nur Kontextdaten, sondern auch personenbezogene Daten notwendig. Es scheint, dass Sicherheit und Privatsphäre sich dann gegenseitig ausschließen werden.
Die wissenschaftlichen Beiträge sind in einem Tagungsband der Springer-Reihe Lecture Notes in Computer Science (LNCS) veröffentlicht ( www.springer.com). Die 36 akzeptierten Papers, die ein internationales Programmkomitee aus 180 Einreichungen ausgewählt hat, sind im Tagungsband nach den Themen Multilateral Security, Security in Service-Oriented Computing, Secure Mobile Applications, Enterprise Privacy, Privacy, Identity and Anonymity, Security Engineering, Security Policies, Security Protocols, Intrusion Detection und Cryptographic Security gegliedert: G. Müller (Hrsg.), Emerging Trends in Information and Communication Security, International Conference ETRICS 2006, Lecture Notes in Computer Science Vol. 3995, Springer Heidelberg, 2006, ISBN 3-540-34640-6.
----------Ende Textkasten----------
Technische Schutzmechanismen
Der Begriff der Privatsphäre hat sich aufgrund technischer Entwicklungen in der Vergangenheit mehrfach geändert: Durch die Einführung von tragbaren Fotoapparaten gegen Ende des 19. Jahrhunderts wurde beispielsweise Privatsphäre von den US-Bundesrichtern Samuel Warren und Louis D. Brandeis als das Recht des Einzelnen gesehen, von einer Profilbildung (u. a.) durch Fotografien nicht belästigt zu werden – "Privacy is the right to be let alone" [4]. Mit der Einführung der elektronischen Datenverarbeitung änderte sich die Bedeutung der Privatsphäre hin zur informationellen Selbstbestimmung: Der Einzelne soll bestimmen können, wem er zu welchem Zweck und in welchem Umfang personenbezogene Daten weitergibt [5]. Das deutsche Bundesverfassungsgericht hat im so genannten Volkszählungsurteil die informationelle Selbstbestimmung als Grundrecht des Einzelnen definiert, über die Herausgabe und Verwendung personenbezogener Daten selbst zu bestimmen [6]. Spätestens hier wird auch die Analogie zu Unternehmensdaten offenkundig, selbst wenn diese nicht in gleichem Maße gesetzlich geschützt sind.
Die informationelle Selbstbestimmung bezieht sich im Hinblick auf Geschäftsprozesse sowie die direkten (1:n) und indirekten (1:n:m) Kommunikationsbeziehungen eines Nutzers auf den gesamten Informationsfluss seiner personenbezogenen Daten (s. Abb. 1). Um die informationelle Selbstbestimmung in Geschäftsprozessen zu erhalten, sind technische Schutzmechanismen folglich bei der Erhebung personenbezogener Daten und bei der Verwendung bereits erhobener Daten einzusetzen. Letzteres bedeutet, dass ein Nutzer die Verwendung seines Profils bei einem Diensteanbieter und damit Teile dessen IT-Systems kontrollieren können muss, um einen Missbrauch zu vermeiden oder zumindest zu entdecken. Die hierzu bestehenden Mechanismen stehen jedoch nicht unter der Kontrolle des Nutzers, sondern dieser muss dem Betreiber des betreffenden Mechanismus dahingehend vertrauen, dass die Daten tatsächlich gemäß den Nutzer-Interessen geschützt werden [7].
![[Illustration]](06-4-011-1-400.jpg)
Abbildung 1: Bei indirekten Geschäftsprozessen ist darauf zu achten, dass die informationelle Selbstbestimmung auch bei der Weitergabe von Daten durch Stellvertreter gewahrt bleibt.
Zur kontrollierten Herausgabe personenbezogener Daten durch den Nutzer bieten sich Anonymitätsmechanismen und Identitätsmanagement an. Eine Profilbildung basierend auf den Verbindungsdaten eines Nutzers würde mithilfe von Anonymitätsmechanismen zwar wirksam vermieden [8]. Personalisierte Dienste benötigen jedoch Daten über ihre Nutzer, weswegen sich Anonymitätsmechanismen hier nicht eignen. Mit einem (datenschutzgerechten) Identitätsmanagement kontrolliert ein Nutzer die Herausgabe seiner personenbezogener Daten und kann so die Erhebung im Sinne der Datensparsamkeit minimieren [9].
Personalisierte Dienste (1:n)
Neben einer nutzer-kontrollierten Herausgabe personenbezogener Daten ermöglichen Identitätsmanagementsysteme eine nachweisbare Zuordnung von Transaktionen zu einem Nutzer und erfüllen damit gleichzeitig die Sicherheitsinteressen von Diensteanbietern nach der Zurechenbarkeit ihrer Kunden.
Gegenwärtige Identitätsmanagementsysteme und -protokolle zielen entweder auf eine einmalige, zentrale Authentifizierung für mehrere Dienste (Single Sign-on), auf eine rollenbasierte Authentifizierung mittels Teil-Identitäten oder auf eine anonyme Authentifizierung durch spezielle Credentials. Gemein ist ihnen, dass sie auf Public-Key-Infrastrukturen (PKI) basieren. Die Beziehung personenbezogener Daten und Eigenschaften zu einem Nutzer wird von einer Zertifizierungsstelle (Certification Authority, CA) durch einen digitalen Ausweis (Credential) beglaubigt. Mit einem Credential weist somit ein Nutzer die Zugehörigkeit der angegebenen personenbezogenen Daten zu seiner Person aus und erhält bei deren Korrektheit Zugriff auf bestimmte Funktionen eines Dienstes.
Aus Sicht eines Single Sign-on basieren die hier näher untersuchten Identitätsmanagementsysteme Microsoft .NET Passport [10], Shibboleth [11] und Liberty Alliance [12] auf einer CA, die zudem die Daten ihrer Nutzer verwaltet. Das in eine derart erweiterte CA gesetzte Vertrauen unterscheidet sich aus der Sicht von Diensteanbietern und Nutzern: Diensteanbieter vertrauen einer CA, dass sie die Identität der Teilnehmer gemäß ihrer Richtlinie korrekt überprüft und beglaubigt. Nutzer vertrauen einer solchen CA, dass sie personenbezogene Daten nur vereinbarungsgemäß verwaltet und herausgibt. Im Folgenden wird eine derartige CA als Privacy-CA bezeichnet.
Als Repräsentant für ein Identitätsmanagementsystem zur rollenbasierten Authentifizierung mit Teil-Identitäten wird der im DFG-Schwerpunktprogramm (1079) "Sicherheit in der Informations- und Kommunikationstechnik" [13] an der Universität Freiburg entwickelte Identitätsmanager iManager [14] und als Repräsentant für ein Identitätsmanagementsystem mit anonymisierten Credentials wird das System IBM idemix [15] betrachtet. Die Protokolle des iManager und des idemix benötigen keine Privacy-CA: Mit dem iManager verwaltet ein Nutzer seine Identität über Teil-Identitäten, das heißt einer zu einem Pseudonym zugeordneten Teilmenge seiner personenbezogenen Daten, sowie über selbst-signierte Credentials. Bei IBM idemix werden anonyme Credentials von einer CA ausgestellt, die ihre spätere Verwendung nur im Betrugsfall und mithilfe einer dritten Partei nachvollziehen kann. Eine Profilbildung ist durch die Verwendung von Zero-Knowledge-Beweisen unmöglich, da diese beim Nachweis eines Credentials keine Daten offen legen, anhand derer ein Nutzer zu beobachten wäre.
Kriterien für sichere 1:n-Kommunikation
Microsoft .NET Passport schützt seine Nutzer nicht gegen unerwünschte Profilbildung: Jeder Nutzer wird über einen eindeutigen Bezeichner identifiziert, ein Diensteanbieter erhält auf Anfrage sämtliche Attribute des Nutzers von der Privacy-CA mitgeteilt. Eine eizige Privacy-CA ist dabei global zuständig.
Die anderen Systeme schützen die Privatsphäre ihrer Nutzer vor einer unerwünschten Profilbildung durch die folgenden Maßnahmen:
- situationsbezogene Herausgabe personenbezogener Daten,
- Nicht-Verkettbarkeit von Transaktionen durch Verwendung von Pseudonymen,
- Authentifizierung eines Nutzers, ohne identifizierende Daten aufzudecken, wobei dies entweder über eine Privacy-CA oder durch Zero-Knowledge-Beweise erreicht wird,
- Nicht-Abstreitbarkeit von Transaktionen eines Nutzers durch den nachweisbaren Ablauf eines Protokolls über eine Privacy-CA oder einen Diensteanbieter und
- Aufdeckung der Anonymität eines betrügerischen Nutzers durch eine Privacy-CA oder im Falle anonymer Credentials durch einen De-Anonymisierungsdienst.
Mehrstufige Geschäftsprozesse (1:n:m)
Werden die vorgestellten Identitätsmanagementsysteme und -protokolle auf mehrstufige Geschäftsprozesse angewendet, so entsteht an der Position des Stellvertreters wie bereits angesprochen großes Missbrauchspotenzial: Bei den Systemen mit einer Privacy-CA authentifiziert sich der Nutzer ihr gegenüber mit seinem geheimen Authentifizierungs-Token, im einfachsten Fall einem Passwort. Benötigt ein Stellvertreter bestimmte Daten eines Nutzers, so muss der Nutzer sein geheimes Token an den Stellvertreter weitergeben. Damit hat der Stellvertreter jedoch uneingeschränkten Zugriff auf die Identität des Nutzers, die von der entsprechenden Privacy-CA verwaltet wird (vgl. Abb. 2). Der Nutzer verliert die Kontrolle, sein Stellvertreter wird zum "Big Brother", dem man auf Gedeih und Verderb vertrauen muss. Die aktuelle Spezifikation der Liberty Alliance berücksichtigt zwar Stellvertreter, allerdings muss der Nutzer zusätzlich zur Privacy-CA in diesem System immer auch dem Dienst vertrauen, dem gegenüber das Credential verwendet wird.
![[Illustration]](06-4-011-2-400.jpg)
Abbildung 2: Übernimmt ein Stellvertreter ("Reisebüro"-Icon) in einem Identity-Management-Szenario die Aushandlung eines Dienstes für den Nutzer, so muss er in dessen Namen auf die Privacy-CA ("Hochhaus"-Icon) zugreifen können und wird zum "Big Brother".
Anonyme Credentials mit den ausgewählten personenbezogenen Daten zur Weitergabe sind an den geheimen Schlüssel des Nutzers gebunden. IBM idemix erschwert die Übertragung von Credentials an Stellvertreter dabei durch zwei Mechanismen: PKI-basierte und "Alles-oder-Nichts"-Weitergabe. Im ersten Fall wird die verschlüsselte Identität des Nutzers, im zweiten Fall werden alle Credentials und Pseudonyme des Nutzers an seinen geheimen Schlüssel gebunden und über Verzeichnisdienste veröffentlicht. Da ein Credential ohne den geheimen Schlüssel nicht verwendet werden kann, benötigt ein Stellvertreter Zugriff auf diesen Schlüssel. Dies führt wiederum dazu, dass der Stellvertreter die Identität des Nutzers erfahren und sogar alle Credentials und Pseudonyme des Nutzers ohne Einschränkung verwenden sowie neue Credentials erstellen kann. Auch hier wird ein Stellvertreter also zum "Big Brother" (vgl. Abb. 3).
![[Illustration]](06-4-011-3-400.jpg)
Abbildung 3: Auch mit anonymen Credentials, die ein Nutzer von einer CA bezieht ("Hochhaus"-Icon), benötigt sein Stellvertreter ("Reisebüro"-Icon) in mehrstufigen Geschäftsprozessen Zugriff auf dessen geheimen Schlüssel, um Dritten gegenüber für ihn Geschäfte tätigen zu können.
Kriterien für sichere 1:n:m-Kommunikation
Ein datenschutzgerechtes Identitäts-Management für Stellvertreter muss zum Ziel haben, diesem nicht die "gesamte Identität" des Nutzers, sondern ausschließlich die angeforderten beziehungsweise für eine Transaktion notwendigen Daten in Form eines Credentials zu übermitteln, sodass er sie anschließend gegenüber nachfolgenden Diensten verwenden kann. Hierzu schlagen die Autoren vor, das Identitäts-Management derart zu erweitern, dass statt des Authentifizierungs-Tokens lediglich eine (begrenzte) Nutzungs-Berechtigung für die personenbezogenen Daten weitergegeben werden muss. Diese Berechtigung bezieht sich auf den Umfang der gewünschten personenbezogenen Daten und ihre Verwendung durch den anfragenden Stellvertreter.
Um die informationelle Selbstbestimmung zu gewährleisten, müssen Identitäts-Managementsysteme hierbei die folgenden Kriterien erfüllen:
- Die Integrität einer Berechtigung ist sicherzustellen, das heißt eine Modifikation muss als solche erkennbar sein.
- Es soll ausschließlich die für eine delegierte Aufgabe minimal erforderliche Berechtigung weitergegeben werden, damit ein Stellvertreter keine personenbezogenen Daten erhält, die über diese Aufgabe hinaus gehen.
- Die weitergegebene Berechtigung soll ausschließlich für den Zweck der Delegation gültig sein: Sie ist daher an die Identität des Stellvertreters und des nachfolgenden Diensteanbieters, den benötigten Funktionsaufruf des betreffenden Dienstes oder seinen Typ zu binden. Die Berechtigung sollte zudem in Bezug auf die Gültigkeitszeit und die Anzahl der erlaubten Benutzungen gebunden sein.
- Eine weitergegebene Berechtigung darf vom Stellvertreter nur nach Einwilligung des Nutzers an weitere Stellvertreter weitergegeben werden können und gültig sein.
- Ein Nutzer soll eine vergebene Berechtigung widerrufen können, falls sich ein Stellvertreter als Angreifer herausstellt, die delegierte Aufgabe früher als erwartet erledigt ist oder das zugehörige Credential des Nutzers abgelaufen ist oder widerrufen wurde.
- Um einen Disput zwischen Nutzer und Stellvertreter hinsichtlich der Verwendung eines Credentials aufzulösen, muss die Nutzung eines Credentials auf den Nutzer beziehungsweise dessen Stellvertreter eindeutig zurückzuführen sein.
Eine derart strenge Zweckbindung wirkt sich allerdings auch auf die Funktionalität eines Stellvertreters hinsichtlich der Auswahl nachfolgender Dienste aus: Zwar kann ein Stellvertreter seinem Nutzer Dienste vorschlagen, die Auswahl muss jedoch durch den Nutzer selbst erfolgen und stellt gleichzeitig dessen Einwilligung zur Verwendung seiner herausgegebenen Attribute dar.
Datensparsame Delegation
Als Erweiterung für Identitäts-Management-Systeme ist an der Universität Freiburg das allgemeine Delegationsprotokoll DREISAM [16] entwickelt worden. Es kombiniert anonymisierte Credentials mit einer credential-basierten Zugriffskontrolle und beruht auf den bereits erwähnten Systemen iManager [14] und idemix [15].
Durch die Verwendung anonymisierter Credentials ist keine Privacy-CA erforderlich. Die credential-basierte Zugriffskontrolle ermöglicht es zudem, Credentials ohne den geheimen Schlüssel des Nutzers weiterzugeben. Eine Berechtigungsvergabe des Nutzers zur Verwendung herausgegebener personenbezogener Daten durch einen Stellvertreter wird durch einen speziellen Credential-Typ realisiert – den Proxy Credential. Nach Vorlage eines gültigen Proxy Credentials erhält der betreffende Stellvertreter von der CA ein anonymisiertes Credential zu den benötigten personenbezogenen Daten des Nutzers. Durch die Anonymisierung kann dieser dabei unter verschiedenen Pseudonymen auftreten und Eigenschaften seiner personenbezogenen Daten anstatt dieser Daten selbst weitergeben. Damit wird eine datensparsame Dienstnutzung erreicht und der Nutzer bleibt für alle Beteiligten auch über mehrere Transaktionen hinweg unbeobachtbar.
![[Illustration]](06-4-011-4-400.jpg)
Abbildung 4: Das an der Universität Freiburg entwickelte Delegationsprotokoll DREISAM erweitert bestehende Identitäts-Management-Systeme um die Möglichkeit einer nicht-verkettbaren Rechteweitergabe zu personenbezogenen Daten.
Das Delegationsprotokoll DREISAM besteht aus vier Phasen, deren Protokollschritte in Abbildung 4 dargestellt sind:
- Phase A
- Anfrage eines Stellvertreters nach personenbezogenen Daten seines Nutzers (Protokollschritte 1–3).
- Phase B
- Anfrage eines Nutzers nach einem Proxy Credential bezüglich der angeforderten personenbezogenen Daten und Weitergabe an den Stellvertreter (Protokollschritte 4–8).
- Phase C
- Anfrage des Stellvertreters nach einem anonymisierten Credential zu dem erhaltenen Proxy Credential (Protokollschritte 9–11).
- Phase D
- Verwendung des anonymisierten Credentials durch den Stellvertreter (Protokollschritte 12–13).
Die erlaubte Verwendung seiner personenbezogenen Daten definiert der Nutzer durch eine Policy. Deren Regeln beziehen sich auf die Identität des Stellvertreters und der nachfolgenden Diensteanbieter, die Angabe der nachfolgenden Dienste, zu deren Verwendung der Nutzer eingewilligt hat, die Anzahl der erlaubten Anwendungen der übertragenen personenbezogenen Daten, ob und gegebenenfalls an wen eine Weitergabe erlaubt ist und den Zeitraum, in dem die Berechtigung für den Stellvertreter gültig ist.
Um die Anzahl der Nutzung eines weitergegebenen anonymen Credentials einzuschränken, werden für den Stellvertreter anonymisierte Einmal-Credentials verwendet – eine Mehrfachverwendung wird entdeckt. Auch die Angaben der Policy zur Verwendung einer delegierten Berechtigung werden in das Einmal-Credential eingefügt. Der Widerruf einer Berechtigung erfolgt für Proxy Credentials mit den Mechanismen einer üblichen PKI (vgl. [17]), beispielsweise einer Widerrufsliste – anonymisierte Credentials werden gegebenenfalls durch einen so genannten Akkumulator widerrufen (s. [18]).
Allerdings kann auch in diesem System ein Nutzer die Durchsetzung seiner Policy letztlich nicht selbst überprüfen, da er keine Kontrolle über die Systeme der beteiligten Parteien hat. Vielmehr muss er dem Diensteanbieter, gegenüber dem der Stellvertreter das vergebene Credential verwendet, und zudem der CA vertrauen, dass beide seine Policy bezüglich der Verwendung des Credentials einhalten. Benötigt ferner ein Stellvertreter Daten des Nutzers, die ihn eindeutig identifizieren, so kann auch DREISAM keinen vollständigen Schutz bieten und der Nutzer wird beobachtbar.
Fazit
Informationelle Selbstbestimmung wird derzeit mit Identitäts-Management durch eine nutzer-kontrollierte Herausgabe personenbezogener Daten nach dem Prinzip der Datensparsamkeit erreicht. Bislang gab es jedoch keinen Schutzmechanismus, der die Privatsphäre in Geschäftsprozessen mit Stellvertretern schützt. Mit dem vorgestellten Delegationsprotokoll DREISAM und seiner Integration in bestehende Identitäts-Management-Systeme wird informationelle Selbstbestimmung auch bei einer Delegation von Zugriffsrechten an Stellvertreter in Geschäftsprozessen umsetzbar. Die Verwendung der (gezielt und begrenzt) herausgegeben Daten steht allerdings nicht mehr unter der Kontrolle des Nutzers. Hier erscheint die Grenze der Datensparsamkeit mit Identitäts-Management erreicht.
Anstelle der Datensparsamkeit schlagen die Autoren daher für zukünftige Entwicklungen das Prinzip der Transparenz zur nachvollziehbaren Verwendung herausgegebener personenbezogener Daten vor. Dabei soll mittels eines Audits eine Art Beweis generiert werden, dass ein Stellvertreter die erhaltenen Daten des Nutzers tatsächlich gemäß einer vereinbarten Policy verwendet hat. Die Voraussetzung für ein solches Audit ist ein fälschungssicherer Protokoll-Mechanismus. Vorarbeiten dazu sind an der Universität Freiburg ( www.telematik.uni-freiburg.de) in Entwicklung [19] und werden im EU-Projekt "Future of Identity in the Information Society" ( www.fidis.net) unter der Leitung der Universität Freiburg evaluiert.
Dipl.-Informatiker Sven Wohlgemuth (wohlgemuth@iig.uni-freiburg.de) ist wissenschaftlicher Assistent an der Albert-Ludwigs-Universität Freiburg, Institut für Informatik und Gesellschaft, Abteilung Telematik. Prof. Dr. Günter Müller (mueller@iig.uni-freiburg.de) ist Gründungsdirektor für das Institut für Informatik und Gesellschaft an der Albert-Ludwigs-Universität Freiburg.
Literatur
- [1]
- S. Sackmann, und J. Strüker, Electronic Commerce Enquête 2005 – 10 Jahre Electronic Commerce: Eine stille Revolution in deutschen Unternehmen, Institut für Informatik und Gesellschaft, Telematik, Universität Freiburg, 2005, Konradin 2005, ISBN 3-920560-22-1
- [2]
- M. Huhns, M. Singh, Service-Oriented Computing, Key Concepts and Principles, IEEE Internet Computing 49(1) 2005, S. 75
- [3]
- T. Litfin, G. Wolfram, New Automated Checkout Systems, in: Retailing in the 21st Century: Current and Future Trends, M. Krafft und Murali K. Mantrala (Hrsg.), S. 143, Springer 2006, ISBN 3-540-28399-4
- [4]
- Samuel D. Warren, Louis D. Brandeis, The Right to Privacy, 4th Harvard Law Review 193, 1890, www.louisville.edu/library/law/brandeis/privacy.html
- [5]
- F. A. Westin, Privacy and Freedom, Atheneum 1967, ISBN 0-370-01325-5
- [6]
- Bundesverfassungsgericht, Volkszählungsurteil Az. 1 BvR 209/83, z. B. in: Entscheidungen des Bundesverfassungsgerichts, Band 65, S. 1, 1983, NJW 84/419
- [7]
- S. Sackmann, J. Strüker, R. Accorsi, Personalization in Privacy-Aware Highly Dynamic Systems, in: Communications of the ACM 49 (9), ACM Press 2006
- [8]
- D. Chaum, Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms, in: Communications of the ACM 24 (3), S. 84, ACM Press 1981
- [9]
- S. Clauß, M. Köhntopp, Identity Management and its Support for Multilateral Security, in: Computer Networks 37 (2), S. 205, Elsevier 2001
- [10]
- Microsoft Corporation, Microsoft .NET Passport Review Guide, www.microsoft.com/net/services/passport/review_guide.asp (s. a. www.microsoft.com/germany/technet/datenbank/articles/900325.mspx)
- [11]
- M. Erdos, und S. Cantor, Shibboleth-Architecture DRAFT v05, http://shibboleth.internet2.edu/docs/draft-internet2-shibboleth-arch-v05.pdf
- [12]
- Liberty Alliance Project, Liberty ID-FF Architecture Overview, www.projectliberty.org
- [13]
- DFG-Schwerpunktprogramm (1079) Sicherheit in der Informations- und Kommunikationstechnik, www.telematik.uni-freiburg.de/spps/
- [14]
- S. Wohlgemuth, , U. Jendricke, D. Gerd tom Markotten, F. Dorner, G. Müller, Sicherheit und Benutzbarkeit durch Identitätsmanagement, in: D. Spath, K. Haasis (Hrsg.), Aktuelle Trends in der Softwareforschung – Tagungsband zum doIT Software-Forschungstag 2003, S. 241, IRB Verlag Stuttgart 2004, ISBN 3-8167-6453-3
- [15]
- J. Camenisch, E. Van Herreweghen, Design and Implementation of the idemix Anonymous Credential System, in: Proceedings of the 9th ACM CCS, S. 21, ACM Press 2002
- [16]
- S. Wohlgemuth, G. Müller, Privacy with Delegation of Rights by Identity Management, erscheint in: Proceedings of the International Conference on Emerging Trends in Information and Communication Security (ETRICS) 2006, LNCS Vol. 3995, Springer 2006, ISBN 3-540-34640-6
- [17]
- W. Ford, M. Baum, Secure Electronic Commerce, Prentice-Hall 1997, ISBN 0-13-476342-4
- [18]
- J. Camenisch, A. Lysyanskaya, Dynamic Accumulators and Application to Efficient Revocation of Anonymous Credentials, in: CRYPTO 2002, LNCS Vol. 2442, S. 61, Springer 2002, ISBN 3-540-44050-X
- [19]
- R. Accorsi, On the Relationship of Privacy and Secure Remote Logging in Dynamic Systems, in: S. Fischer-Hübner, K. Rannenberg, L.Yngström, S. Lindskog (Hrsg.), IFIP International Federation for Information Processing, Volume 201, S. 329, Springer 2006, ISBN 0-387-33405-X
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#4, Seite 11
![[Illustration]](06-4-011-1.jpg)
![[Illustration]](06-4-011-2.jpg)
![[Illustration]](06-4-011-3.jpg)
![[Illustration]](06-4-011-4.jpg)
