Identitätsmanagement Pro oder contra Datenschutz?

Transkript

1 Identitätsmanagement Pro oder contra Datenschutz? Vom Volkszählungsurteil zum virtuellen Exhibitionismus Wertewandel des Datenschutzes Tutzing, 26. September 2008 Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Überblick Was ist Identitätsmanagement? Die Identity Landscape aus Nutzersicht Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement Pro oder contra Datenschutz? Zusammenfassung und Ausblick 1

2 Definition Identitätsmanagement(-System) Identitätsmanagement bedeutet Verwalten von Identitäten und/oder von Identitätsdaten*. *) Der Begriff sagt noch nichts darüber aus, für wen diese Daten personenbezogen sind. Identitätsmanagementsystem ist ein IT-System (einschließlich organisatorischer Komponenten), das Identitätsmanagement unterstützt. Teil- Identitäten- Management Teilidentitäten von Alice Gesundheitswesen Verwaltung Arbeit Legende: Alice Identität von Alice Einkommen Name Adresse Tagebuch Interessen Fremdsprachen Handy- Nummer Führerschein Steuerklasse Geburtsdatum Geburtsort Führungszeugnis Versicherung Telefonnummer Blutgruppe Alter Vorlieben & Abneigungen Telekommunikation Gesundheitszustand Kreditwürdigkeit Bezahlung Einkauf Reise Freund Bob MasterCard Diners Club Teilidentität von Alice Freizeit 2

3 Digitale (Teil-)Identität Was umfasst Identitätsmanagement? Beispiele Nur 1 Teilidentität Kontrolle durch den Nutzer > 1 Teilidentität Keine Kontrolle durch den Nutzer Keine Identität Ohne IT Ausweis Komm. zwischen Personen Gerüchte Oberflächliche Transaktion (Identität spielt keine Rolle) IT eid Account Management Nutzerkontrolliertes IMS Profiling Anonymisierer Identitätsmanagementsystem (IMS) in Bezug auf andere Systeme: Es kann (und wird) mehrere IMS parallel geben IMS können andere Systeme integrieren IMS können andere Systeme ersetzen 3

4 Typ 1: Account Management Ziel: AAA (Authentication, Authorisation, Accounting); Technik: Directory Services Individuen, z.b. Mitarbeiter Unternehmen/ Behörde etc. Typ 2: Profiling mit Personenbezug personenbezogen Individuen, z.b. Kunden / Bürger Kundenbeziehung Ziel: Analyse des Verhaltens; Technik: Logfiles/ Data Warehouses Organisation, z.b. Firma / Behörde 4

5 Typ 3: Verwaltung eigener (Teil-) Identitäten Nutzer Vertrauensbereich Unterstützendes Gerät und / oder unterstützende Institution kontextabhängige Pseudonyme Kategorisierung von Identitätsmanagementsystemen FIDIS Deliverable 3.1, 2005 Typ 1 Account Management: zugewiesene Identität Durch die Organisation Typ 2 Profiling: abgeleitete Identität Durch die Organisation Typ 3, z.b. Verwaltung eigener (Teil-) Identitäten: gewählte Identität Es gibt hybride Systeme. Durch den Nutzer mit Hilfe von Dienstleistern 5

6 Überblick Was ist Identitätsmanagement? Die Identity Landscape aus Nutzersicht Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement Pro oder contra Datenschutz? Zusammenfassung und Ausblick Heutige Situation Problem Unübersichtliches und unbequemes Handling meiner verschiedenen Identitäten Zu wenig Überblick, was andere über mich wissen Lösungsansatz Passwort-Management; Formular-Ausfüllhilfe State of the Art + + Anonymität als Basis, dann: Steuerbarkeit des Datenflusses und der Datenschutz-Preferences; Reputations-Management - - ± Zu wenig Kontrolle, was ich von außen zulasse Erreichbarkeits-Management ± Zu wenig Rechtssicherheit; kein Schutz vor Identity Theft Authentizität - 6

7 Mittlerweile: Verschiedene Ansätze für nutzerzentriertes Identitätsmanagement Liberty Alliance Microsoft CardSpace (auch InfoCard ) / Microsoft Identity Metasystem Open Source-Projekte zu Identity and Identity Management Higgins Trust Framework Project (inkl. Bandit) Shibboleth (providing federated Single Sign-On) Open Source Identity Selector Consortium (OSIS) Projekte PRIME Privacy and Identity Management for Europe DataJournals / ijournal imanager / ATUS Liberty Alliance: Federated Identity Management 7

8 Microsoft: Passport Single Sign-On-System mit zentralen Servern, die von Microsoft betrieben werden Nach Kritik von der Art. 29 Working Party Änderungen am System, aber weiterhin eindeutige Identifier pro Nutzer Seit 2005 Auslaufmodell Kim Cameron, Microsofts Chief Architect of Identity and Access, zur InfoCard-Initiative: We need to invite the people who used to be called privacy extremists into our hearts because they have a lot of wisdom. This (is) not the son of Passport. Microsoft: InfoCard 8

9 Überblick Was ist Identitätsmanagement? Die Identity Landscape aus Nutzersicht Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement Pro oder contra Datenschutz? Zusammenfassung und Ausblick Definitionen Nutzergesteuertes Identitätsmanagement bedeutet das Verwalten eigener Teilidentitäten in Bezug auf spezifische Situationen und Kontexte: a) Auswahl und Weiterentwicklung von Teilidentitäten b) Role Making und Role Taking Datenschutzförderndes Identitätsmanagement stellt maximale Datensparsamkeit in den Vordergrund 9

10 Grundsätze für nutzergesteuerte, datenschutzfördernde Technik Ziel; soweit möglich: in jedem Fall: Sicherheit der vorhandenen Daten Datenvermeidung / Datensparsamkeit juristisch technisch Transparenz für den Betroffenen organisatorisch Qualitätssicherung Steuerung durch den Betroffenen Beispiel: ijournal (Plug-in für Mozilla) Sobald ijournal personenbezogene Daten in der Eingabe des Nutzers erkennt, zeigt es Informationen über den Provider und wartet auf eine Bestätigung. 10

11 Beispiel: A Toolkit for Usable Security Freiburg Identitäts- management- Komponente: Pseudonymer Liefer-Service In einigen Ländern: Pickpoints an Tankstellen 11

12 Automatisch auswertbare Privacy Policies P3P: Platform for Privacy Preferences Beispiel: Privacy Bird (Lorrie Cranor et al.) Der Privacy Bird prüft P3P-Policies. Information des Nutzers über Aussehen und Sound des Vogels 12

13 PRIME Privacy and Identity Management for Europe Vision und Ziele Vision: In der Informationsgesellschaft können Nutzer sicher agieren und interagieren und dabei die Kontrolle über ihre Privatsphäre behalten. Ziel: Zeigen, dass datenschutzförderndes Identitätsmanagement machbar ist Example: Anonymous Wine Shop Folie von Dieter Sommer/Jan Camenisch, IBM Research Zürich Proof (age > 20), enc K (name, address) Wine Shop Anonymous user Proof of age > 20 AND Encryption of name & addr with K Registered user Cryptographic pseudonym User enc K (name, address) Shipping Company K (public key) 13

14 PRIME-Bausteine Datensparsamkeit Private Credentials (Möglichst anonyme Kommunikationsinfrastruktur) Transparenz Transaktionslog Data Track Informationsservice Security Feed Auswertung von White Lists und Black Lists Steuerung Unterstützung des Betroffenen bei Rechtewahrnehmung Maschinenauswertbare Privacy Policies + Policy Enforcement Sticky Policies Normalfall: Verkettbare Informationen Driver's License Insurance Cars Folie von Jan Camenisch IBM Research Zürich 14

15 Datensparsamkeit durch Private Credentials Driver's License Insurance TTP Cars Folie von Jan Camenisch IBM Research Zürich Beispiel Data Track in PRIME: Transaktionsprotokoll beim Nutzer 15

16 Beispiel: Security Feed in PRIME Information über Sicherheits- & Datenschutzvorfälle und Bedrohungen Ziel: Information der Betroffenen über Sicherheitsvorfälle Implementiert als RSS- Feed Sofern standardisiert: auswertbar von Applikationen Auswertung von White Lists und Black Lists Nutzer muss selbst Filter seines Vertrauens vorgeben Schwarze Liste einer schwedischen Verbraucherschutz- Organisation: Datenschutz-Gütesiegel in Abwandlung für White Lists denkbar: 16

17 Searching in local Data Track Further information desired? Yes Compiling and sending request to data controller Often incident-driven or initiated by an alert function within the IMS. No Stop Necessary: accurate address of data controller; authentication of user for (pseudonymous) partial identity used in the specific context; possibly supplementary details to refine request. This may also be a third party as recipient of the personal data. Rechtewahrnehmung unterstützen: Angebot der Online-Auskunft Answer within appropriate time? No Compiling and sending reminder Answer within appropriate time? Yes Yes No Yes In principle acceptable answer? Meaning: fair treatment from the individual s perspective? No Compiling and sending complaint to supervisory authority (e.g., DPA) Yes Further desire (e.g., clarification, rectification or erasure)? No Stop Predefined process of supervisory authority If the result is not satisfying, further levels of escalation may be legal action or public information (press, blogs or other media). Sticky Policies Policy wird an Daten geklebt und ausgewertet Für Policy: standardisierte Datenschutzmanagementsprache Actual data stored in the data repository Privacy Policy Control Encrypted Personal Data Folie von Marco Casassa Mont Hewlett-Packard Lab Bristol Encrypted with TPS Public Key: Symmetric key used to encrypt personal data Hash of privacy policy TPS: Trusted Privacy Service 17

18 Beispiel: Privacy Policy Icons (Mary Rundle 2006) Beispiel: Icons (Mehldau 2007) 18

19 There s life after PRIME PRIME ist 2008 zu Ende gegangen Resultate Gute Forschungspapiere und Konzepte Fokus auf Client-Server und eher E-Commerce Passable Demonstratoren Keine stabilen Produkte, wenig Nutzertests Anschlussprojekt PrimeLife PRIME-Resultate wirklich verfügbar machen Open Source Standardisierung Identitätsmanagement in sozialen Netzwerken und Peer-to-Peer-Anwendungen Konzepte für lebenslangen Datenschutz Blick auf Entwicklungen in Deutschland epass Gesundheitskarte Bürgerportale Elektronischer Personalausweis Bürger erhalten mehr Verantwortung Sind sie darauf vorbereitet? Bildquelle: Bildquelle: Bundesdruckerei GmbH 19

20 Blick auf Entwicklungen in Deutschland Ordnungsmerkmale im geplanten zentralen Bundesmelderegister Schüler-IDs Steuer-IDs: sollen im Klartext auch an Riester-Anbieter (sogar außerhalb der EU) gehen Verkettbarkeit in Hintergrundsystemen; oft keine Beschränkung der IDs auf spezifische Bereiche Risiken durch naive Konzeption + Implementierungen Überblick Was ist Identitätsmanagement? Die Identity Landscape aus Nutzersicht Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement Pro oder contra Datenschutz? Zusammenfassung und Ausblick 20

21 Identitätsmanagement pro Datenschutz Ja, wenn ausreichend Kontrolle beim Betroffenen Transparenz Steuerung im Rahmen der gesetzlichen Möglichkeiten Grenzen: Selbstbestimmung ist nicht immer isoliert möglich Identitätsmanagement pro Datenschutz Ja, wenn ausreichend Kontrolle beim Betroffenen Transparenz Steuerung im Rahmen der gesetzlichen Möglichkeiten Grenzen: Selbstbestimmung ist nicht immer isoliert möglich Bewusstsein über Datenschutz-Risiken, -Rechte, Beherrschbarkeit der Selbstbestimmung? 21

22 Identitätsmanagement pro Datenschutz systeme IMS unter v Ja, wenn ausreichend Kontrolle beim Betroffenen Transparenz Steuerung im Rahmen der gesetzlichen Möglichkeiten + wenn IMS ihn beim IM unterstützt Grenzen: + Kontrollumfang, nur soweit IMS als Gateway fungiert Selbstbestimmung ist nicht immer isoliert möglich Bewusstsein über Datenschutz-Risiken, -Rechte, Beherrschbarkeit der Selbstbestimmung? + Beherrschbarkeit des IMS + ebenso Daten nicht immer isoliert + auch Risiken des IMS + durch das IMS Beherrschbarkeit in Hochsicherheitsbereichen gegeben? Beispiel: Viren in einer NASA-Raumstation 22

23 Überblick Was ist Identitätsmanagement? Die Identity Landscape aus Nutzersicht Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement Pro oder contra Datenschutz? Zusammenfassung und Ausblick Fazit Identitätsmanagement pro oder contra Datenschutz? Antwort: Es kommt darauf an. Viele Komponenten für nutzergesteuertes, datenschutzfreundliches Identitätsmanagement sind markttauglich, andere laufen im Labor Offene Fragen: Umgang mit Wechselwirkungen Wann gilt PET + PET = PET? PET: Privacy-Enhancing Technologies Entscheidend: Infrastrukturen Standards Usability 23

24 Ausblick I Technische Fortschritte bei marktbeherrschenden Playern Private Credentials künftig von Microsoft und IBM?? Standardisierung per Information Card Foundation? Ausblick II Identitätshaken (Bestätigung, dass man existiert) durch eid-systeme der Verwaltung Auf nationaler Ebene in wenigen Jahren vorhanden; auf EU-Ebene in Sicht Nötige Infrastrukturen werden jetzt entwickelt Dann: Zusammenwachsen mit Anwendungen außerhalb der Verwaltung Nicht für alle Anwendungen nötig Konzepte zur Gewährleistung lebenslangen Schutzes der Privatsphäre 24

25 Ausblick III Ausweitung des Denkmodells: Nicht nur personenbezogene Daten Auch verkettungs-ermöglichende Daten in allen Verarbeitungsschritten 25