Upload
buidang
View
235
Download
4
Embed Size (px)
Citation preview
1
Identitätsmanagement – Pro oder contra Datenschutz?
Vom Volkszählungsurteil zum virtuellen Exhibitionismus –
Wertewandel des DatenschutzesTutzing, 26. September 2008
Marit HansenUnabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein
Überblick
• Was ist Identitätsmanagement?
• Die „Identity Landscape“ aus Nutzersicht
• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement
• Pro oder contra Datenschutz?
• Zusammenfassung und Ausblick
2
Definition „Identitätsmanagement(-System)“
Identitätsmanagement
bedeutet Verwalten von Identitäten und/oder von Identitätsdaten*.
*) Der Begriff sagt noch nichts darüber aus, für wen diese Daten personenbezogen sind.
Identitätsmanagementsystem
ist ein IT-System (einschließlich organisatorischer Komponenten), das Identitätsmanagement unterstützt.
Teilidentitäten von AliceTeil-
Identitäten-
Management
MasterCard
Diners Club
Verwaltung
Alice
Telekom-munikation
Freizeit
Freund Bob
Reise
Einkauf
Arbeit
Bezahlung
Gesundheitswesen
Gesund-heitszu-stand
Kredit-würdigkeit
Interessen
Alter
Führer-schein
Steuer-klasse
NameGeburts-datum
Geburtsort
Führungs-zeugnis
Versiche-rung
Telefon-nummer
Blut-gruppe
Fremd-sprachen
Einkommen
Tagebuch
Adresse
Handy-Nummer
Vorlieben & Abneigungen
Legende:
Identitätvon Alice
Teil-identität
von Alice
3
Digitale (Teil-)Identität
Account Management
Was umfasst Identitätsmanagement? Beispiele
Ohne IT
Nur 1 Teil- > 1 Teilidentitätidentität „Keine Identität“
Kontrolle durch den Nutzer
Keine Kontrolle durch den Nutzer
ProfilingNutzerkontrol-
liertes IMS
Ausweis
eID
Komm. zwi-schen Personen
Anonymisierer
Gerüchte
IT
Identitätsmanagementsystem (IMS) in Bezug auf andere Systeme:– Es kann (und wird) mehrere IMS parallel geben– IMS können andere Systeme integrieren– IMS können andere Systeme ersetzen
Oberflächliche Transaktion (Identität
spielt keine Rolle)
4
Typ 1:„Account Management“
Unternehmen/Behörde etc.
mit Personen-bezug
Ziel: AAA (Authentication, Authorisation, Accounting);
Technik:DirectoryServices
Individuen,z.B. Mitarbeiter
Typ 2:„Profiling“
personen-bezogen
Individuen,z.B. Kunden / Bürger
Organisation,z.B. Firma /
Behörde
Kundenbeziehung
Ziel: Analyse des Verhaltens;Technik: Logfiles/Data Warehouses
5
Typ 3:„Verwaltung eigener (Teil-)Identitäten“
kontext-abhängige
Pseudonyme
Vertrauens-bereich
Nutzer
Unterstützendes Gerätund / oder
unterstützende Institution
Kategorisierung von Identitätsmanagementsystemen
Durch den Nutzermit Hilfe von
Dienstleistern
Verwaltungeigener (Teil-)
Identitäten:gewählte Identität
Typ 3,z.B.
Durch die Organisation
Profiling:abgeleitete
Identität
Typ 2
Durch die Organisation
AccountManagement:zugewiesene
Identität
Typ 1
FIDIS Deliverable 3.1, 2005
Es gibt hybride Systeme.
6
Überblick
• Was ist Identitätsmanagement?
• Die „Identity Landscape“ aus Nutzersicht
• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement
• Pro oder contra Datenschutz?
• Zusammenfassung und Ausblick
AuthentizitätZu wenig Rechtssicherheit; kein Schutz vor IdentityTheft
Erreichbarkeits-ManagementZu wenig Kontrolle, was ich von außen zulasse
Anonymität als Basis, dann:Steuerbarkeit des Datenflusses und der Datenschutz-Preferences;Reputations-Management
Zu wenig Überblick, was andere über mich wissen
Passwort-Management; Formular-Ausfüllhilfe
Unübersichtliches und unbequemes Handling meiner verschiedenen „Identitäten“
LösungsansatzProblem
Heutige Situation State of the Art
+
-
-
±
±
-
+
7
Mittlerweile: Verschiedene Ansätze für „nutzerzentriertes Identitätsmanagement“
• Liberty Alliance
• Microsoft CardSpace (auch „InfoCard“) / Microsoft Identity Metasystem
• Open Source-Projekte zu Identity and Identity Management– Higgins Trust Framework Project (inkl. Bandit)– Shibboleth (providing federated Single Sign-On)
• Open Source Identity Selector Consortium (OSIS)
• Projekte– PRIME – Privacy and Identity Management for Europe– DataJournals / iJournal– iManager / ATUS– …
Liberty Alliance: Federated Identity Management
8
Microsoft: Passport
• Single Sign-On-System mit zentralen Servern, die von Microsoft betrieben werden
• Nach Kritik von der Art. 29 Working Party Änderungen am System, aber weiterhin eindeutige Identifier pro Nutzer
• Seit 2005 Auslaufmodell
• Kim Cameron, Microsofts Chief Architect of Identity and Access, zur InfoCard-Initiative: “We need to invite the people who used to be called privacyextremists into our hearts because they have a lot of wisdom. This (is) not the son of Passport.“
Microsoft: „InfoCard“
9
Überblick
• Was ist Identitätsmanagement?
• Die „Identity Landscape“ aus Nutzersicht
• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement
• Pro oder contra Datenschutz?
• Zusammenfassung und Ausblick
Definitionen
Nutzergesteuertes Identitätsmanagementbedeutet das Verwalten eigener Teilidentitäten
in Bezug auf spezifische Situationen und Kontexte:
a) Auswahl und Weiterentwicklung von Teilidentitäten
b) „Role Making“ und „Role Taking“
Datenschutzförderndes Identitätsmanagementstellt maximale Datensparsamkeit in den
Vordergrund
10
Grundsätze für nutzergesteuerte, datenschutzfördernde Technik
Datenvermeidung /Datensparsamkeit
Transparenz fürden Betroffenen
Sicherheit dervorhandenen Daten
Steuerung durchden BetroffenenQualitäts-
sicherung
juristischtechnisch
organisatorisch
Ziel; soweit möglich:
in jedem Fall:
Ziel; soweit möglich:
in jedem Fall:
Beispiel: iJournal (Plug-in für Mozilla)
Sobald iJournal personenbezogene Datenin der Eingabe des Nutzers erkennt, zeigt esInformationen über den Provider und wartetauf eine Bestätigung.
11
Beispiel:„A Toolkit for Usable Security Freiburg“
Identitäts-management-Komponente:
Pseudonymer Liefer-Service
In einigen Ländern:„Pickpoints“
an Tankstellen
12
Automatisch auswertbare Privacy Policies
P3P: Platform forPrivacy Preferences
Beispiel: Privacy Bird (Lorrie Cranor et al.)
• Der „Privacy Bird“ prüft P3P-Policies. • Information des Nutzers
über Aussehen und Sound des Vogels
13
PRIME – Privacy and Identity Management for Europe– Vision und Ziele –
Vision: In der Informationsgesellschaft können Nutzer sicher agieren und interagieren und dabei die Kontrolleüber ihre Privatsphäre behalten.
Ziel: Zeigen, dass datenschutzförderndesIdentitätsmanagement machbar ist
Example: Anonymous Wine ShopFolie von Dieter Sommer/Jan Camenisch, IBM Research Zürich
“Anonymous user”Proof of age > 20 ANDEncryption of name & addr with K
“Registered user”Cryptographic pseudonym
K (public key)
Proof (age > 20),
enc K(name, address)
encK(name, address)
Shipping Company
Wine Shop
User
14
PRIME-Bausteine
• Datensparsamkeit– Private Credentials– (Möglichst anonyme Kommunikationsinfrastruktur)
• Transparenz– Transaktionslog „Data Track“– Informationsservice „Security Feed“– Auswertung von White Lists und Black Lists
• Steuerung– Unterstützung des Betroffenen bei Rechtewahrnehmung– Maschinenauswertbare Privacy Policies + Policy Enforcement– Sticky Policies
Normalfall: Verkettbare Informationen
Driver's License
Insurance
Cars
Folie von Jan CamenischIBM Research Zürich
15
Datensparsamkeit durch Private Credentials
Driver's License
Insurance
Cars
TTP
Folie von Jan CamenischIBM Research Zürich
Beispiel „Data Track“ in PRIME: Trans-aktions-protokoll beim Nutzer
16
• Information über Sicherheits- & Datenschutzvorfälleund Bedrohungen
• Ziel: Information der Betroffenen über Sicherheitsvorfälle
• Implementiert als RSS-Feed
• Sofern standardisiert: auswertbar von Applikationen
Beispiel: Security Feed in PRIME
Auswertung von White Lists und Black Lists
Nutzer muss selbst Filter seines Vertrauens vorgeben
Schwarze Liste einerschwedischen
Verbraucherschutz-Organisation:
Datenschutz-Gütesiegelin Abwandlung für
White Lists denkbar:
17
Rechtewahr-nehmung
unterstützen: Angebot der
Online-Auskunft
Further information desired?
Searching in local Data Track
StopNo
Yes
Compiling and sending request to data controller
Answer withinappropriate time?
Compiling and sending reminderNo
In principle acceptable answer?
Answer withinappropriate time?
No
YesYes
Further desire(e.g., clarification,
rectification or erasure)?
Yes
Yes
Compiling and sending complaint to supervisory
authority (e.g., DPA)No
StopNo
This may also be a third party as recipient of the personal data.
If the result is not satisfying, further levels of escalation may be legal
action or public information (press, blogs or other media).
Necessary: accurate address of data controller; authentication of user for (pseudonymous) partial identity used in the specific context; possibly supplementary details to refine request.
Predefined process of supervisory
authority
Often incident-driven or initiated by an alert function within the IMS.
Meaning: fair treatment from the individual’s perspective?
Sticky Policies
• Policy wird an Daten „geklebt“ und ausgewertet• Für Policy: standardisierte Datenschutzmanagementsprache
“Control”
Actual data stored in the data repository
Personal Data
PrivacyPolicy
Encrypted
Encrypted with TPS Public Key:
• Symmetric key used toencrypt personal data
• Hash of privacy policy
TPS: TrustedPrivacy Service
Folie von Marco Casassa MontHewlett-Packard Lab Bristol
19
„There‘s life after PRIME“
• PRIME ist 2008 zu Ende gegangen
• Resultate– Gute Forschungspapiere und Konzepte– Fokus auf Client-Server und eher E-Commerce– Passable Demonstratoren– Keine stabilen Produkte, wenig Nutzertests
• Anschlussprojekt PrimeLife– PRIME-Resultate wirklich verfügbar machen
• Open Source• Standardisierung
– Identitätsmanagement in sozialen Netzwerken und Peer-to-Peer-Anwendungen
– Konzepte für lebenslangen Datenschutz
http://www.prime-project.eu/
http://www.primelife.eu/
Blick auf Entwicklungen in Deutschland
• ePass• Gesundheitskarte• Bürgerportale• Elektronischer
Personalausweis
⇒ Bürger erhalten mehr Verantwortung
⇒ Sind sie darauf vorbereitet?
Bildquelle: Bundesdruckerei GmbHBildquelle: www.buergerportale.de
20
Blick auf Entwicklungen in Deutschland
• Ordnungsmerkmale im geplanten zentralen Bundesmelderegister
• Schüler-IDs• Steuer-IDs: sollen im Klartext
auch an Riester-Anbieter (sogar außerhalb der EU) gehen
⇒ Verkettbarkeit in Hintergrundsystemen;oft keine Beschränkung der IDs auf spezifische Bereiche
⇒ Risiken durch naive Konzeption + Implementierungen
Überblick
• Was ist Identitätsmanagement?
• Die „Identity Landscape“ aus Nutzersicht
• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement
• Pro oder contra Datenschutz?
• Zusammenfassung und Ausblick
21
Identitätsmanagement pro Datenschutz
• Ja, wenn ausreichend Kontrolle beim Betroffenen– Transparenz– Steuerung im Rahmen der gesetzlichen Möglichkeiten
• Grenzen:– Selbstbestimmung ist nicht immer isoliert möglich
Identitätsmanagement pro Datenschutz
• Ja, wenn ausreichend Kontrolle beim Betroffenen– Transparenz– Steuerung im Rahmen der gesetzlichen Möglichkeiten
• Grenzen:
– Selbstbestimmung ist nicht immer isoliert möglich
– Bewusstsein über Datenschutz-Risiken, -Rechte, …
– Beherrschbarkeit der Selbstbestimmung?
22
Identitätsmanagement pro Datenschutz
• Ja, wenn ausreichend Kontrolle beim Betroffenen– Transparenz– Steuerung im Rahmen der gesetzlichen Möglichkeiten
• Grenzen:
– Selbstbestimmung ist nicht immer isoliert möglich
– Bewusstsein über Datenschutz-Risiken, -Rechte, …
– Beherrschbarkeit der Selbstbestimmung?
systeme
IMS unterv
+ wenn IMS ihn beim IM unterstützt
+ ebenso Datennicht immer isoliert
+ auch Risikendes IMS + durch das IMS
+ Beherrschbarkeit des IMS
+ Kontrollumfang, nur soweit IMS als Gateway fungiert
Beherrschbarkeit in Hochsicherheitsbereichen gegeben? Beispiel: Viren in einer NASA-Raumstation
23
Überblick
• Was ist Identitätsmanagement?
• Die „Identity Landscape“ aus Nutzersicht
• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement
• Pro oder contra Datenschutz?
• Zusammenfassung und Ausblick
Fazit
Identitätsmanagement – pro oder contra Datenschutz?• Antwort: „Es kommt darauf an.“ ☺• Viele Komponenten für nutzergesteuertes,
datenschutzfreundliches Identitätsmanagement sind markttauglich, andere laufen im Labor
• Offene Fragen: – Umgang mit Wechselwirkungen– Wann gilt PET + PET = PET?
• Entscheidend:– Infrastrukturen– Standards– Usability
PET: Privacy-Enhancing Technologies
24
Ausblick I
• Technische Fortschritte bei marktbeherrschenden Playern
– Private Credentials künftig von Microsoft und IBM??
– Standardisierung per „Information Card Foundation“?
Ausblick II
• „Identitätshaken“ (Bestätigung, dass man existiert) durch eID-Systeme der Verwaltung– Auf nationaler Ebene in wenigen Jahren vorhanden;
auf EU-Ebene in Sicht– Nötige Infrastrukturen werden jetzt entwickelt– Dann: Zusammenwachsen mit Anwendungen außerhalb der
Verwaltung– Nicht für alle Anwendungen nötig
• Konzepte zur Gewährleistung lebenslangen Schutzes der Privatsphäre