Schutz der persönlichen Daten in einer sicheren Online-Umgebung
Die Identifizierungs- und Authentifizierungsverfahren, die man als Nutzer beim Anmelden in den sozialen Medien, beim Zugriff auf eine gesperrte Seite oder bei der Ausübung jeglicher Online-Aktivitäten befolgen muss, sichern diese Vorgänge ab. Allerdings gibt es immer mehr Bedenken, dass Nutzer mehr Informationen als eigentlich erforderlich preisgeben müssen, was ihre Privatsphäre einschränkt. Deshalb wurde im EU-finanzierten Projekt ABC4TRUST eine neue Methode entwickelt, mit der die Systeme sicher bleiben und Identität des Nutzers geschützt wird. Wenn weniger mehr ist "Auf vielen Internetseiten ist eine 'Über-Identifizierung' erforderlich, d. h. es werden Informationen über den Nutzer abgefragt, die gar nicht benötigt werden", erklärt der Projektkoordinator Prof. Dr. Kai Rannenberg von der Goethe-Universität in Frankfurt. "Wenn die zur Identifizierung und Authentifizierung gesammelten personenbezogenen Daten in falsche Hände geraten, könnte dies negative Konsequenzen haben." Mit einer Reihe bahnbrechender Versuche demonstrierten Rannenberg und sein Team, dass Nutzer mit nur wenigen persönlichen Daten authentifiziert und autorisiert werden können und dass man die Nutzer selbst entscheiden lassen kann, welche Informationen sie über sich preisgeben. Dies wurde mithilfe datenschutzfreundlicher attributbasierter Berechtigungsnachweise (Privacy ABCs) erzielt. Diese Technologie kann besonders für Institutionen von Nutzen sein, in denen personenbezogene Daten geschützt werden müssen, etwa in Bildungseinrichtungen. Doch auch für geschäftliche Szenarien ist die Technologie denkbar. "Mit Privacy-ABCs können sich Nutzer bei einem Dienst anmelden, indem sie lediglich nachweisen, dass ein bestimmter Teil eines größeren Zertifikats gültig ist, z. B. dass sie einer bestimmten Schulklasse angehören", sagt Rannenberg. "Die benötigte Menge an Informationen für den Zugriff auf gewisse Dienste ist äußerst gering, und die Integrität des Nutzers bleibt erhalten." Junge IT-Pioniere Das ABC4TRUST-Team zeigte in Situationen aus dem echten Leben genau, wie die neue Technologie sowohl dem Nutzer als auch den Institutionen nutzen kann. An der Sekundarschule Norrtullskolan im schwedischen Söderhamn beispielsweise war es den Schülern, die sich online beraten lassen wollten, bis vor kurzem nicht möglich, ein Pseudonym zu verwenden. Stattdessen mussten sie sich mit ihrem Namen identifizieren, damit die Schule überprüfen konnte, ob sie Anspruch auf die Beratung hatten. Damit sowohl die Anonymität gewahrt als auch die Sicherheit garantiert werden konnte, erhielt jedes Kind im Rahmen des ABC4TRUST-Pilotprogramms eine Auswahl digitaler Zertifikate, mit denen Daten wie ihr Einschreibungsstatus, ihr Geburtsdatum usw. überprüft wurden. Die Schüler, die so anonym bleiben konnten, waren nun anscheinend eher bereit, über ihre Probleme zu sprechen. "Die Schulen müssen auf die fortschreitende Digitalisierung reagieren, indem sie z. B. 'Internetkompetenz' in den Lehrplan aufnehmen", erläutert Rannenberg. "Die Implementierung von Privacy-ABCs in die Schulnetzwerke könnte dazu beitragen. Es wird derzeit aktiv darüber verhandelt, die Pilotprogramme in größere Systeme einzubinden. Wir erwarten also mittelfristig, dass immer mehr öffentliche Dienstleister und andere Organisationen in Europa auf Privacy-ABCs umsteigen werden." In einem weiteren Pilotprojekt an der Patras-Universität in Griechenland wurden den Studenten sogenannte Smartcards zur Verfügung gestellt, mit denen von der Universität vergebene Privacy-ABCs abgefragt wurden. Die Studenten konnten mithilfe der Smartcard anonym ihre Anwesenheit bestätigen, indem sie sie durch ein Lesegerät im Hörsaal zogen. Außerdem konnten Studenten mit der Smartcard anonym Feedback zu ihren Kursen und Vorlesungen hinterlassen, wobei gleichzeitig sichergestellt wurde, dass nur Studenten an den Umfragen teilnehmen konnten, die die jeweiligen Kurse ausreichend häufig besucht hatten. "Wir konnten den Nutzen der Privacy-ABC-Technologie erfolgreich demonstrieren, nun müssen wir sie allerdings verbessern, z. B. mit einer Anpassung an Smartphone-Apps", erläutert Rannenberg. "Die Herausforderung hierbei ist nicht die Privacy-ABC-Technologie an sich, sondern vielmehr die Unsicherheit heutiger Smartphones im Vergleich zu den Smartcards aus unseren Pilotprogrammen." Die aktuelle Version des ABC4TRUST-Engine-Quellcodes ist auf der Ressourcenwebseite erhältlich. "Das Konsortium entschied sich dazu, die Architekturimplementierung für alle verfügbar zu machen, um die Anwendungen zu verbessern", so Rannenberg. "App-Entwickler und eID-Anbieter zeigten bereits großes Interesse an unserer Arbeit."
Schlüsselbegriffe
ABC4TRUST, persönliche Daten, soziale Medien, IT-Sicherheit, Privacy ABCs, attributbasierte Berechtigungsnachweise, Studenten, anonym