Weitergedacht Remote Data Access in der Virtuellen Forschungsumgebung: Proof of Concept Das Portal, die Daten und wir Eine Virtuelle Forschungsumgebung für die Dateninfrastruktur Fachtagung Berlin, 24. Januar 2014 David Schiller
Eine Forschungsumgebung ohne Forschungsdaten? Die Virtuelle Forschungsumgebung (VFU) soeb3 bietet Wissenschaftlern vielfältige und umfassende Möglichkeiten zur gemeinsamen Projektarbeit. Gleichzeitig ist der Zugang zu Forschungsdaten nicht realisiert. Somit kann nur ein Teil des gesamten Forschungsprozesses in und von der VFU unterstützt werden. Da Forscher die VFU nur nutzen werden, wenn ihnen dadurch keine Mehrarbeit entsteht, ist im nächsten Schritt eine Einbindung von Forschungsdaten von höchster Bedeutung. Hierzu ist ein Papier der beteiligten FDZs in Vorbereitung. 2
Forschungsdaten und Zugangswege Durch die FDZs in Deutschland werden Forschungsdaten mit unterschiedlichem Anonymisierungsgrad und Analysepotential angeboten: Frei verfügbar: Public Use Files Eingeschränkt verfügbar: Scientific Use Files Lokal verfügbar: Detaillierte Forschungsdaten (Secure Use Files) Public und Scientific Use Files können in der VFU gespeichert werden. Zu klären wäre unter anderem: VFU Host nur Dienstleister, kein Partner des Forschungsprojekts. Stellung der VFU (Host der VFU) als dritte Partei (Dienstleister der Forschung oder der Datenhalter)? Themen: Verträge, Verantwortung, Sicherheit. 3
Remote Access; was ist das? Remote Access ist lediglich der Zugriff von wo anders. Im Kontext der Forschung mit Mikrodaten über Individuen geht es um sicheren (abgesicherten Remote Access). Davon gibt es zwei Versionen: 1. Fernrechnen Senden von Programsyntax an einen Datenhalter, der die Berechnungen durchführt und datenschutzrechtlich geprüfte Ergebnisse zurücksendet. Der Forscher sieht die Daten nicht. Ergebnis von VFU soeb3: Einbindung mit Aufwand möglich. 4
2. Secure Remote Desktop (proof of concept) 5
2. Secure Remote Desktop im FDZ in FDZ Ansatz FDZinFDZ 6
2. Secure Remote Desktop Integration der VFU VFU 7
Remote Data Access in der Virtuellen Forschungsumgebung: Proof of Concept Im Folgenden Einbindung in die VFU proof of concept https://vfu-stage.sofi.gwdg.de/ 8
VFU und Remote Desktop 9
Auswahl der Datenbestände 10
Remote Desktop von entferntem Server 11
Vorteile für Forschung und Datenhalter Forschung: Die VFU kann für den gesamten Forschungsprozess verwendet werden (Single Point of Access). Projekte können effizient strukturiert und diskutiert werden (keine doppelten Arbeitsumgebungen mehr). Verwendung mehrerer Datenquellen in einem Projekt wird einfacher. Datenhalter: Zugriff auf Daten innerhalb einer geschützten und überwachbaren Umgebung. Zentraler Dienstleister garantiert Sicherheit der Daten und Einhaltung des Rollenkonzepts. Überblick über Projekte der VFU-nutzenden Forscher. 12
Datenschutz I Übertragung des Livestreams: Bilder des Graphical User Interfaces (GUI), z.b. von R oder Stata, werden am Bildschirm angezeigt, man kann die Daten browsen und Ergebnisse sofort einsehen. Daher ist die Frage der Absicherung des Bildschirms (wer kann in einsehen) von Relevanz. FDZinFDZ Ansatz löst dies durch einen secure room in dem der Bildschirm steht. Es gibt aber auch Abstufungen, wie Beschränkung auf bestimmte IP-Adressen und Verträge mit Wissenschaftlern. Grundsätzlich ist Remote Desktop nur ein Instrument zur Datensicherheit im gesamten Datenschutzportfolio; bestehend aus: Verträgen, Anonymisierungen, Vertrauen etc. 13
Datenschutz II Passender Zugangsweg: Die VFU unterstützt Projekte mit unterschiedlichem Datenbedarf. Der jeweils passende Datenzugangsweg sollte durch die VFU möglich sein. Output: Wird zunächst nur via des livestreams im remote desktop angezeigt. Auf Anfrage kann er (geprüft) in die VFU oder zum Nutzer übertragen werden. Projetmitglieder Die VFU ist ein gesichertes Arbeitsumfeld nur Projektmitglieder können dort arbeiten. Diese können mit verschiedenen Rollen und Rechten ausgestattet werden, z.b. darf nicht jedes Projektmitglied eine Remote Desktop Verbindung öffnen. VFU Betreiber als Vertragspartner Der Host der VFU muss Vertragspartner werden. Sicherheitsbedarf ist zu definieren. 14
Nächste Schritte I Proof of Concept zeigt grundsätzliche Möglichkeit der Einbindung von Remote Desktop. Alle Sicherheitsrelevanten Aspekte müssen gesammelt und beschrieben werden. Technische und organisatorische Lösungen für eine sichere Einbindung des Remote Desktop Zugangs sind zu finden und zu testen. Z.B.: Rollenkonzepte Zugangsbeschränkungen Dabei ist von verschiedenen Sicherheitsstufen für verschiedene Datenhalter und Datenarten auszugehen. 15
Nächste Schritte II Möglichst angenehme Einbindung des Remote Desktop Zugangs in den Forschungsalltag der Nutzer ist zu evaluieren, einzurichten, zu testen und mit den Datenschutzbelangen in Einklang zu bringen. Dabei sollte auch die Verwendung verschiedener Datenzugangsarten (Fernrechnen, Remote Desktop) im Forschungsprozess geprüft werden. All dies ist unter Beteiligung von Datenhaltern und Forschern durchzuführen. Nach einer Projektphase kann die Einbindung von Forschungsdaten in die VFU dann in echten Projekten erfolgen. 16
Danke für Ihre Aufmerksamkeit. david.schiller@iab.de www.iab.de
2. Secure Remote Desktop Integration der VFU VFU 18
Exkurs: Einbindung von Fernrechenlösungen Neben dem Menüpunkt FDZ Remote Desktop kann auch das Fernrechnen in die VFU eingebunden werden. Es würde sich hierbei ein Seite öffnen, über die die Syntax an den Datenhalter übermittelt werden kann (z.b. in einem Container). Die Ergebnisse würden dann wiederum über die VFU einsehbar sein. Da die VFU eine geschützte und Zugriffsbeschränkte Umgebung darstellt kann auch über Ergebniskontrollen auf weniger anonymisiertem Niveau nachgedacht werden. 19