Feature Stories - Wissenschaftler bringen dem klatschsüchtigen Internet Diskretion bei
Fragen des Datenschutzes, des Schutzes der Privatsphäre und der Sicherheit gehen gewissermaßen Hand in Hand - Fälle schweren Datenmissbrauchs sind leider keine Seltenheit mehr. Erst im April diesen Jahres hatte einer der führenden Hersteller von Unterhaltungselektronik mit einer massiven Verletzung der Datensicherheit zu kämpfen: Es wurden über 100 Millionen Nutzerkontendateien gestohlen. Und diese Dateien enthalten fein säuberlich Namen, Adressen und Kreditkartendaten - das sagt wohl alles... In den USA postete ein renommiertes Krankenhaus die Daten von 20.000 Notaufnahmepatienten auf seiner öffentlich zugänglichen Website, während es Zeitungsreportern im Vereinigten Königreich gelang, in die Mobiltelefone der königlichen Familie, britischer Prominenter sowie von Opfern spektakulärer Verbrechen einzubrechen. Die wohl eher wenig überraschenden Bedenken der Menschen zum Thema Diebstahl privater Daten und Identitätsdiebstahl wachsen in dieser unsicheren Onlineumgebung zunehmend an. "Die Menschen wollen ihre Privatsphäre schützen und die Kontrolle über ihre persönliche Daten behalten - ganz egal, welchen Aktivitäten sie nachgehen", erklärt Dieter Sommer, Koordinator des PrimeLife-Projekts ("Privacy und Identity Management in Europe for life"). "Aber die gängigen Informationstechnologien erfüllen diese Anforderungen kaum, womit sie die Privatsphäre der Bürger eindeutig gefährden." Das sei bei verschiedenen traditionellen Dienstleistungen im World Wide Web schon immer so gewesen, merkt Sommer an, nun aber bedeute der zunehmend kollaborative Charakter des Internets, dass die User mehr und mehr persönliche Informationen beitragen. "Der Einzelne steuert immer wieder Dinge bei, so dass sich ein Leben lang eine Spur aus persönlichen Daten verfolgen lässt." Diese Datenspur ist ein erhebliches Problem, dessen Herausforderungen sich PrimeLife stellte. Das auf drei Jahre angelegte Projekt vereinte 14 der europaweit auf dem Gebiet des Datenschutzes führenden Unternehmen und Forschungseinrichtungen sowie einen US-amerikanischen Partner. PrimeLife baute auf der Arbeit des PRIME-Projekts ("Privacy und Identity Management in Europe") auf. "Prime konzentrierte sich auf die Datenminimierung, so dass nur eine minimale absolut erforderliche Menge an Daten ausgetauscht wird, um Transaktionen abzuschließen", erklärt Sommer. "In PrimeLife entwickelten wir eine viel breitere Perspektive. Ein Aspekt … bestand darin, die Arbeit des PRIME-Projekts weiter voranzubringen, aber wir haben auch eine Reihe anderer Themen angepackt." Vision von PrimeLife ist es, Datenschutz, Vertrauen und Identitätsmanagement mittels Tools wie Browser-Plug-ins, sozialer Netzwerke und Verschlüsselung anbieten zu können - diese Aufgabe ist jedoch eine gewaltige Herausforderung. Die Menschen tauschen heute weitaus öfter "personenbezogene Daten" aus, ob es sich nun um eine Anmeldung für Nachrichtendienste oder Mautzahlungen, das Engagement in sozialen Netzwerken oder E-Government und E-Commerce handelt. Und die Landschaft der Informationsgesellschaft verändert sich stetig: neue Geschäftsmodelle und neue Servicebereitstellungsplattformen vervielfachen die Anzahl der Fälle, in denen Informationen ausgetauscht werden. Für die Nutzer ist es nahezu unmöglich zu verfolgen, welche Informationen wohin sickern. PrimeLife rief eine ganze Serie von Forschungsarbeiten ins Leben, um die Natur des Problems zu bewerten, robuste Lösungen zu entwickeln und konkrete Methoden für den Einsatz dieser neuen Technologien zu formalisieren. Die erste Aktivität setzte sich damit auseinander, was lebenslanger Datenschutz bedeutet; es wurden Userszenarien entwickelt und evaluiert. Waren die Anwendungsfälle eingeführt, begann das Projekt mit der Entwicklung von Mechanismen in einem anderen Bereich der Forschung. Eine besonders wichtige Aktivität betrachtete Politik und Gesetzgebung, wohl die wirkungsvollsten Wege, um den Menschen die Kontrolle über ihre Privatsphäre in die eigenen Hände zu geben. Die Politik kann zum Beispiel fordern, dass für eine Dienstleistung benutzte persönliche Daten nicht zum Direktmarketing verwendet oder nur von bestimmten Parteien verwendet werden dürfen. Allgemeine Verwirrung Usability - Gebrauchstauglichkeit - war ein weiterer Schwerpunkt von PrimeLife. Die Nutzer lesen nur selten das Kleingedruckte und die aktuell herrschende allgemeine Verwirrung rund um Schnittstellen zur Privatsphäre und zur Kontrolle des Datenschutzes ist einer der Hauptgründe, warum die User oft ungeschützt bleiben. PrimeLife erforschte und entwickelte außerdem Infrastrukturen wie den politikgesteuerten Datenschutz bei Dienstleistungen und sicheren Mobilgeräten und betrachtete wirtschaftliche Gesichtspunkte als Bestandteil dieses Aspekts der Projektforschung. Im Laufe der wissenschaftlichen Arbeit verfolgte das Projektteam eine parallele Aktivität betreffend die gesamte Forschung, das "Privacy Live". Im Rahmen von Privacy Live bemühte man sich kontinuierlich darum, die Forschung nach außen in die breitere Gemeinschaft derer zu kommunizieren, die durch Standards, Verbreitung, Zusammenarbeit und Freigabe quelloffener Software an Datenschutzfragen arbeiten. Tools zum Schutz der Privatsphäre und der Daten, die den Social Network Communities zur Verfügung gestellt wurden, und einige sehr erfolgreiche Beiträge zur Grundlagenforschung für Anmeldedatensysteme, zur Kryptographie - Verschlüsselung - im Allgemeinen und anderen wichtigen Bereichen des Datenschutzes zählten zu den wichtigsten Ergebnissen. Damit verbunden war eine beachtliche Anzahl von Open-Source-Tools, die dazu bestimmt sind, sämtliche Aspekte des Datenschutzproblems in den Griff zu bekommen. PrimeLife entwickelte beispielsweise sein eigenes soziales Netzwerk - Clique -, das den Nutzern durch eine Trennung der Beteiligten die Oberhand über ihre Privatsphäre lässt. So können zudem einen Kreis von Adressaten wie Freunden gehören, in einem anderen sammelt man die Kollegen - damit werden Informationen wie ein Benutzername oder das Profilfoto automatisch an bestimmte Zielgruppen des Publikums gebunden. Zu den Erfolgen des Projekts zählt überdies die Entwicklung von Scramble, einem Web-Browser Plug-in, mit dem die Nutzer ihre Daten verschlüsseln können, so dass eine Zugriffskontrolle auf Social Networking Websites durchsetzbar ist. Eine weitere interessante Technologie ist Identity Mixer, mit dem sich User auf sichere Weise selbst authentifizieren können, ohne ihre Identität offenlegen zu müssen: Die Nutzer können ihre Vertrauenswürdigkeit beweisen, ohne preiszugeben, wer sie tatsächlich sind. Das bedeutet letztlich, dass zum Beispiel Verbraucher-Websites nicht all die sensiblen Daten bekommen müssen, über die sie heute verfügen, um Dienstleistungen bereitzustellen. Dadurch wird das Risiko eines Datenverlusts und -missbrauchs markant reduziert. Die politische Arbeit könnte außerdem den Datenschutz für komplexe "composed services" revolutionieren. Wird beispielsweise ein Rabattgutscheinservice mit einem Händler, der Sonderangebote zum Ziel hat, vereint, so könnten Informationen zu Identität oder Standort ausgetauscht werden. Der in PrimeLife verfolgte Ansatz würde es nun aber einem Nutzer gestatten zu kontrollieren, welche Daten an welche dieser Services gehen. Hierbei handelt es sich natürlich nur um ein sehr vereinfachtes Beispiel, aber die von PrimeLife entwickelten Werkzeuge könnten gleichermaßen ungemein komplexe Servicekonstellationen behandeln. PrimeLife-Tools könnten auch für Unternehmen moderne Datenschutzdienstleistungen bereitstellen. Forscht ein Biotech-Unternehmen zum Beispiel auf Grundlage von Informationen einer DNA-Datenbank eines Drittanbieters, so wird es auf die Daten zugreifen wollen, aber den Serviceanbieter nicht wissen oder aufzeichnen lassen wollen, auf welche Daten zugegriffen wurde, da dies mit vertraulichen Forschungszwecken oder Patientendaten verknüpft werden kann. Möchte ein Unternehmen zurzeit auf diese Weise vorgehen, muss eine lokale Kopie der gesamten Datenbank gemietet werden, was nicht nur teuer, sondern auch aus Sicht der Sicherheit aufgrund des Werts der Datenbank problematisch ist. Mit moderner Verschlüsselungstechnologie à la PrimeLife kann der Biotech-Kunde nun jedoch auf die Datenbank zugreifen und für diesen Service bezahlen, dabei allerdings seine Anonymität wahren: Keiner weiß, wer er ist oder was er gerade erforscht. Und Resultate wie dieses streifen die in PrimeLife gewonnenen Erkenntnisse lediglich. PrimeLife vereinte - koordiniert von der schweizerischen IBM Research Zürich - SAP, das Microsoft Innovation Center, die Technische Universität Dresden, das Unabhängige Landeszentrum für Datenschutz, Giesecke & Devrient und die Goethe-Universität Frankfurt am Main, alle Deutschland, die Karlstads Universitet, Schweden, die Universita degli Studi di Milano und die Universita degli Studi di Bergamo, Italien, die Universität Tilburg, Niederlande, die Katholieke Universiteit Leuven, Belgien, das Center for Usability Research & Engineering, Österreich, und die Brown University in den USA. Bezeichnenderweise war auch das World Wide Web Consortium (W3C), das führende Gremium zur Standardisierung der das World Wide Web betreffenden Techniken, durch seinen europäischen Standort in Frankreich in dem Projekt vertreten. PrimeLife schloss den EU-finanzierten Aspekt der Forschung im Juni 2011 ab. Viele der Mitglieder des Konsortiums setzen diese Arbeit nun in der einen oder anderen Form fort. Ein neues http://abc4trust.eu (Projekt - ABC4Trust) - übernimmt die Pionierarbeit für die beiden großen derzeit verfügbaren Systeme für anonyme Anmeldeinformationen, von denen eines die Identity Mixer-Technologie von IBM ist, die in PrimeLife erforscht wurde. Ein weiteres Projekt mit der Bezeichnung FIware , eine europäische Plattform für das Internet der Zukunft, wird die Anmeldedaten-Technologie als Teil der Sicherheit innerhalb die Plattform integrieren. Insgesamt konnte PrimeLife große Fortschritte verzeichnen und Technologien entwickeln, die schon bald zum Einsatz kommen könnten, um endlich einen besseren Schutz der Privatsphäre der Nutzer im Internet durchzusetzen. Das PrimeLife-Projekt erhielt Finanzmittel in Höhe von 10,2 Mio. EUR (Projektgesamtbudget: 14,93 Mio. EUR) im Unterprogramm "Secure, dependable and trusted infrastructures" des Siebten Rahmenprogramms der EU (RP7). Nützliche Links: - Projekt "Privacy and identity management in Europe for life" - PrimeLife-Projektdatensatz auf CORDIS - Prime-Projektdatensatz auf CORDIS - ABC4Trust - Attribute-based credentials for trust - FIware - Future Internet core platform Weiterführende Artikel: - Datenschutz in den Mittelpunkt biometrischer Systeme rücken - A matter of trust: privacy and security issues in the Information Age - Me and my files - What is the identity of identity in the digital age? - Einführung elektronischer Ausweisdokumente in Europa schreitet voran