Digitaler Datenschutz — Europäisches Forschungskonsortium erprobt neue Techniken zum Schutz der Privatsphäre in einer Schule und einer Universität

English | Danish | Dutch | German | Greek | Spanish | Swedish

Frankfurt, Deutschland, und Rüschlikon, Schweiz, 28. Januar 2011—Anlässlich des heutigen Datenschutztages wurde eine europäische Forschungs­initiative angekündigt, um innova­tive Ver­schlüs­selungs­technik zu erproben, mit denen Bürger künftig ihre Privat­sphäre und Identitäten besser schützen können. Das Projekt „Attribute Based Credentials for Trust (ABC4Trust)“ fokussiert auf daten­schutz­fördernde Techniken und wird diese in Pilot­versuchen mit Schülern einer schwedischen Schule und Studenten der Patras-Universität in Griechen­land erproben.

Gemäss einer von comScore ver­öffent­lichten Statistik surfen europäische und US-ameri­kani­sche Nutzer monatlich im Schnitt 25-32 Stunden im Internet.¹ Während dieser Zeit greifen sie auf tausende verschie­dener Seiten und Dienste wie Online-Banking und E-Shopping oder soziale Netz­werke zu. Die meisten Dienste verlangen die Erstellung eines personali­sierten Profils; die Zugangs­kontrolle erfolgt durch Eingabe von Nutzer­name und Passwort oder, um erhöhten Sicherheits­anforde­rungen zu genügen, mittels krypto­graphi­scher Zertifi­kate. Zwar bieten solche Zertifikate für viele Einsatz­zwecke eine hin­rei­chende Sicher­heit, jedoch bleibt die Privat­sphäre der Nutzer unge­schützt. Nutzer geben ihre Identi­tät daher oftmals unbewusst gegen­über den Dienste­anbietern preis, obwohl dies zur Erbringung der Leistung oder des Dienstes nicht erforderlich wäre.

„Mehr als die erforderlichen Informationen zu offenbaren, gefährdet nicht nur die Privat­sphäre der Nutzer sondern erhöht auch die Gefahr des Identitäts­missbrauchs und –betrugs, wenn personen­bezogene Informationen in die falschen Hände Fallen. Ziel von ABC4Trust ist es, aufzuzeigen, dass Systeme mit attribut-basierten Zertifikaten sowohl eine sichere Authenti­fizierung unter­stützen als auch die Privat­sphäre des Einzelnen schützen, beispiels­weise im Rahmen mobiler sozialer Netwerke. Unsere Forschung unter­stützt dabei unmittelbar die von der Europäischen Union mit der Digitalen Agenda² verfolgten Ziele“, betont Prof. Dr. Kai Rannenberg, Koordinator des Projekts und Inhaber der T-Mobile Stiftungs­professur für Mobile Business & Multi­lateral Security an der Goethe-Universität Frankfurt.

In dem vierjährigen Projekt wird die daten­schutz­fördernde Technik so genannter attribut-basierter Zertifikate (in Englisch attribute based credentials) in Pilot­versuchen erprobt. Diese ermöglichen es, genau die notwendigen Eigen­schaften und Angaben nachzuweisen, ohne dabei die voll­ständige Identität zu offenbaren. So kann ohne die Weiter­gabe des Geburts­datums oder der Adresse, wie bei einer Authenti­fizierung mittels Aus­weises bisher üblich, trotzdem ein Nach­weis erbracht werden; beispiels­weise älter als 18 Jahre, Student einer bestimmten Universität oder Bürger einer bestimmten Gemeinde zu sein. Das eingesetzte Credential-System baut dabei auf den Technologien von IBMs Identity Mixer und Microsofts U-Prove auf.

„Mit Technologien wie Identity Mixer schaffen wir für Internet­dienste die technischen Voraus­setzungen, neben einer sicheren Verschlüsselung auch einen besseren Daten­schutz zu gewähren“, schildert Dr. Jan Camenisch, Krypto- und Daten­schutz­experte bei IBM Research – Zürich. „Lösungen, die in zehn Jahren Forschung und Ent­wicklung entstanden, setzen wir in die Praxis um und befassen uns mit Fragen der Bedien­bar­keit und Inter­operabili­tät.

„Technologien zur minimalen Preisgabe von Daten wie U-Prove und Identity Mixer liefern wichtige Bau­steine für die Schaffung eines nach­haltigen Identitäts­management-Metasystems“, sagt Kim Cameron, Chief Architect of Identity bei Microsoft. „Das ABC4Trust-Projekt wird ein hervor­ragendes Forum für alle Beteiligten sein, um sich den Heraus­forder­ungen eines sichereren und vertrauens­würdigen Internets zu stellen.

„Mit unserer Identity Management (IDM)-Lösung können Tele­kommunikations­anbieter als Identitäts-Broker für ihre Kunden auftreten. Einerseits werden dabei die persönlichen Daten geschützt, andererseits können bessere, personi­fizierte Dienste angeboten werden, die das Konsumenten­vergnügen steigern“, so Robert Seidl, der die IDM-Forschung bei Nokia Siemens Networks ver­ant­wortet. „Durch ABC4Trust werden zwei hervor­ragende daten­schutz­fördernde Technologien von IBM und Microsoft inter­operabel — und zwar durch die IDM-Lösung von Nokia Siemens Networks, die beide Techno­logien zusammen bringt.“

Pilotversuche in Schweden und Griechenland

Ein Pilotversuch findet an der Norrtullskolan, einer Sekundär­schule in Söder­hamn, Schweden, statt. Im Test ermöglicht das von den Forschern implemen­tierte Identitäts­management-System Schülern, Lehrern und Eltern, sich sicher gegen­über Diensten zu authenti­fizieren, die von der Schule angeboten werden, u.a. zur Kommu­ni­kation mit der Schul­kranken­schwester, Ver­trau­ens­lehrern, der Sozial­mitarbeitern oder in internen sozialen Netz­werken, die sich auf bestimmte Schüler­gruppen beschrän­ken lassen, ohne dass Nutzer ihre volle Identität preis­geben müssen.

In einem zweiten Pilotversuch am Research Academic Computer Technology Institute in Patras, Griechen­land, wird das System Studenten ermög­lichen, Kurse und Dozenten im Rahmen der Evaluation der Lehre daten­schutz­freundlich/anonymisiert zu bewerten. Die Evaluation der Lehre ist an vielen europä­ischen Universi­täten üblich geworden. Dabei wird die Bewertung meist ohne Computer­unter­stützung durch­geführt oder aber unter Mit­wirkung einer unabhängigen dritten Instanz, um die Privat­sphäre und Interessen der Studierenden zu schützen. Das System mit attribut-basierten Zertifi­katen ermöglicht, die Bewertung jenen vorzu­behalten, die an einer Vor­lesung tatsächlich teil­ge­nommen haben, ohne deren Identität offen­baren zu müssen. Daneben wird dieser Test Mög­lich­keiten auf­zeigen, wie sich Korrekt­heit und Glaub­würdig­keit bei computer­basierten Umfragen und Abstimmun­gen, beispiels­weise im Marketing, verbessern lassen, ohne dass die Privat­sphäre der Teilnehmer aufgegeben wird.

In beiden Pilotversuchen ermöglicht es ABC4Trust den Bildungs­einrichtungen, ihren Nutzern Zertifikate aus­zu­stellen. Mit einem solchen Zertifikat kann ein Nutzer bei­spiels­weise nach­weisen, einen bestimmten Kurs zu besuchen, Mitglied einer bestimmten Gruppe oder Mann­schaft zu sein oder ein bestimmtes Alter oder Geschlecht zu haben. Gespeichert auf einer Smart­card oder in einem Mobil­telefon können diese Zertifi­kate zur Authenti­fizierung gegenüber Diensten genutzt werden. Beim Pilot­versuch in Patras wird die Universität ein eigenes computer­gestütztes Feedback­system betreiben, bei dem die Studierenden dennoch darauf vertrauen können, dass ihre Identität geschützt bleibt.

Die Zukunft personenbezogener Daten und elektronischer Identitäts­nachweise

Seit elektronische Identitätsnachweise und Führerscheine eine immer grössere Verbreitung für die Identifikation, Authenti­fizierung und Bezahlung bei einer Vielzahl von Anwendungen finden, stellt der Daten­schutz eine grössere Heraus­forderung als bisher dar. Es ist daher notwendig, nach­haltige daten­schutz­fördernde Techno­logien, wie in ABC4Trust eingesetzt, in die Systeme einzu­binden, um deren Vorteile auch in der sich weiter ent­wickelnden Informations­gesell­schaft nutzbar zu machen.

IBM Identity Mixer und Microsoft U-Prove

IBM Identity Mixer und Microsoft U-Prove nutzen anspruchsvolle, aber ef­fiziente Verschlüs­selungs­algorithmen, um sicher­zu­stellen, dass Identitäts­informationen der Einzelnen, einschliesslich persönlicher Anga­ben oder Verhaltens­profile nicht ohne Ein­willigung der Betrof­fenen über­mittelt werden. Beide Technologien sind für eine Viel­zahl von Bereichen geeignet wie Versiche­rungen, Online-Shops, Kredit­karten oder Gesund­heits­wesen. Die Technologien und deren Entwickler haben diverse Auszeich­nungen wie den Best Innovation European Identity Award 2010 erhalten.³

ABC4Trust-Konsortium

ABC4Trust ist ein Projekt mit einem Umfang von 13,5 Millionen Euro, das mit 8,85 Millionen Euro im Siebten Rahmenprogramm (RP7) der Europäischen Union gefördert wird. Das inter­nationale multi­disziplinäre ABC4Trust-Konsortium wird geleitet von der Johann Wolfgang Goethe-Universität Frank­furt am Main, Deutsch­land. Weitere Projekt­partner: Alexandra Instituttet, Däne­mark; Research Academic Computer Technology Institute, Griechen­land; IBM Research Zürich, Schweiz; Miracle A/S, Däne­mark; Nokia Siemens Networks GmbH & Co. KG, Mün­chen, Deutsch­land; Technische Universität Darm­stadt, Deutsch­land; Unabhängiges Landes­zentrum für Daten­schutz, Deutsch­land; Eurodocs AB, Schweden; Crypto­Experts, Frank­reich; Microsoft Research and Develop­ment France SAS, Frankreich, Söderhamn Kommun, Schweden.

ABC4Trust startete im November 2010 und hat eine Laufzeit von vier Jahren.

Über das siebte EU-Forschungs-Rahmenprogramm

Wissen ist eine „Herzensangelegenheit“ der Lissabonner Strategie, die „dynamischste und wett­bewerbs­fähigste wissens­basierte Wirt­schafts­region der Welt zu werden“. Das „Wissens­dreieck“ — Forschung, Aus­bildung und Inno­vation — ist ein zentraler Faktor in den Bemü­hungen Europas, um die Ziele von Lissa­bon zu erreichen. Zahl­reiche Pro­gramme, Initia­tiven und Unter­stützungs­mass­nahmen werden zur Förderung von Wissen auf EU-Ebene durch­ge­führt.

Das Siebte Rahmenprogramm (RP7, englisch: Framework Programme, FP7) bündelt alle forschungs­ver­wandten EU-Initiativen, die eine zentrale Rolle im Streben nach Wachs­tum, Wett­bewerbs­fähig­keit und Arbeits­plätzen spielen, unter einem gemein­samen Dach; zusammen mit einem neuen Rahmen­programm für Wett­bewerbs­fähig­keit und Innova­tion (CIP), Bildungs- und Aus­bildungs­programmen, Struktur- sowie Kohäsions­fonds für regionale Konver­genz und Wett­bewerbs­fähig­keit. Es ist ein wesent­licher Pfeiler für den Europäischen Forschungs­raum.

Die weit gefassten Ziele des RP7 sind in vier Kategorien eingeteilt: Zusammen­arbeit, Ideen, Menschen und Kapazitäten. Für jede Ziel­setzung gibt es ein spezifisches Pro­gramm, abgestimmt auf die Haupt­bereiche der EU-Forschungs­politik. Alle spezifischen Programme arbeiten zusammen, um die Bildung europäischer (wissen­schaft­licher) Exzellenz­zentren zu unter­stützen und zu begün­stigen.

Weitere Informationen: cordis.europa.eu

Quellen
1. Americans spend most time on the internet, Europäische Daten: basierend auf Internetkonsum von Personen über 15 Jahren, November 2010, vergl. The Netherlands Leads Europe in Online Visit Frequency; Average Time Spent Online per U.S. Visitor in 2010.
2. Digital Agenda for Europe, Mitteilung der Kommission.
3. Outstanding projects and initiatives in Identity Management honored