Identitätsmanagement und Datenschutz Sitzung des AK Technik 13. September 2006 Marit Hansen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Überblick Was ist Identitätsmanagement? Definitionen Drei Typen Nutzerkontrolliertes Identitätsmanagement Status Trends Projekte und Standardisierungsinitiativen Zusammenfassung und Ausblick
Definition Identitätsmanagement(-System) Identitätsmanagement bedeutet Verwalten von Identitäten und/oder von Identitätsdaten*. *) Der Begriff sagt noch nichts darüber aus, für wen diese Daten personenbezogen sind. Identitätsmanagementsystem ist ein IT-System (einschließlich organisatorischer Komponenten), das Identitätsmanagement unterstützt.
Definition weiterer Begriffe Physische Identität vs. Digitale Identität vs. Virtuelle Identität Individuelle Identität vs. Organisations-Identität
Identitäten- Management Legende: Alice Identität von Alice Teilidentität von Alice Teilidentitäten von Alice Verwaltung Gesundheitswesen Einkommen Geburtsort Name Adresse Tagebuch Interessen Freizeit Arbeit Fremdsprachen Handy- Nummer Führerschein Steuerklasse Geburtsdatum Versicherung Führungszeugnis Telefonnummer Blutgruppe Alter Vorlieben & Abneigungen Telekommunikation Gesundheitszustand Kreditwürdigkeit Bezahlung Einkauf Reise Freund Bob MasterCard Diners Club
Was umfasst Identitätsmanagement? Beispiele Nur 1 Teilidentität Kontrolle durch den Nutzer > 1 Teilidentität Keine Kontrolle durch den Nutzer Keine Identität Ohne IT Ausweis Komm. zwischen Personen Gerüchte Oberflächliche Transaktion (Identität spielt keine Rolle) IT eid Account Management Nutzerkontrolliertes IMS Profiling Anonymisierer Bezug IMS andere Systeme: Es kann mehrere IMS parallel geben IMS können andere Systeme integrieren IMS können andere Systeme ersetzen
Typ 1: Account Management Ziel: AAA (Authentication, Authorisation, Accounting); Technik: Directory Services Individuen, z.b. Mitarbeiter Unternehmen/ Behörde etc. mit Personenbezug
Typ 2: Profiling personenbezogen Individuen, z.b. Kunden / Bürger Kundenbeziehung Ziel: Analyse des Verhaltens; Technik: Logfiles/ Data Warehouses Organisation, z.b. Firma / Behörde
Typ 3: Verwaltung eigener (Teil-) Identitäten Nutzer Vertrauensbereich Unterstützendes Gerät und / oder unterstützende Institution kontextabhängige Pseudonyme
Kategorisierung von Identitätsmanagementsystemen FIDIS Deliverable 3.1, 2005 Typ 1 Account Management: zugewiesene Identität Durch die Organisation Typ 2 Profiling: abgeleitete Identität Durch die Organisation Typ 3 Verwaltung eigener (Teil-) Identitäten: gewählte Identität Durch den Nutzer mit Hilfe von Dienstleistern Es gibt hybride Systeme.
Überblick Was ist Identitätsmanagement? Definitionen Drei Typen Nutzerkontrolliertes Identitätsmanagement Status Trends Projekte und Standardisierungsinitiativen Zusammenfassung und Ausblick
Definition Nutzerkontrolliertes Identitätsmanagement Nutzerkontrolliertes Identitätsmanagement bedeutet das Verwalten eigener Teilidentitäten in Bezug auf spezifische Situationen und Kontexte: a) Auswahl und Weiterentwicklung von Teilidentitäten b) Role Making und Role Taking
Heutige Situation Problem Unübersichtliches und unbequemes Handling meiner verschiedenen Identitäten Zu wenig Überblick, was andere über mich wissen Lösungsansatz Passwort-Management; Formular-Ausfüllhilfe Anonymität als Basis, dann: Steuerbarkeit des Datenflusses und der Datenschutz-Preferences; Reputations-Management State of the Art + + - - ± Zu wenig Kontrolle, was ich von außen zulasse Erreichbarkeits-Management ± Zu wenig Rechtssicherheit; kein Schutz vor Identity Theft Authentizität -
Mittlerweile: Verschiedene Ansätze für (stärkeres) nutzerkontrolliertes Identitätsmanagement Liberty Alliance Microsoft CardSpace (auch InfoCard ) / Microsoft Identity Metasystem Open Source-Projekte zu Identity and Identity Management Higgins Trust Framework Project (inkl. Bandit) Shibboleth (providing federated Single Sign-On) ( Open Source Identity Selector Consortium (OSIS) ) Projekte PRIME Privacy and Identity Management for Europe imanager DataJournals
Liberty Alliance: Federated Identity Management
Liberty Alliance: Erste Implementierungen
Microsoft: Passport Single Sign-On-System mit zentralen Servern, die von Microsoft betrieben werden Nach Kritik von der Art. 29 Working Party Änderungen am System, aber weiterhin eindeutige Identifier pro Nutzer Auslaufmodell Kim Cameron, Microsofts Chief Architect of Identity and Access, zur InfoCard-Initiative: We need to invite the people who used to be called privacy extremists into our hearts because they have a lot of wisdom. This (is) not the son of Passport.
Microsoft: InfoCard Test-Versionen
Identity Management für Mozilla: ijournal Wenn das ijournal persönliche Daten in der Nutzereingabe feststellt, fragt es nach und speichert ggf. Informationen über den Datenverarbeiter.
A Toolkit for Usable Security Freiburg
Identitäts- management- Komponente: Pseudonymer Liefer-Service In einigen Ländern: Pickpoints an Tankstellen
Workflow-Gestaltung zur Unterstützung von Identitätsmanagement Trennung von Pseudonym Domains (PD) Entkopplung von Teilidentitäten Ziel eines IMS: Verkettung nur für autorisierte Parteien
Identitätsmanagement und Third Party Support 1/2 Infrastruktur für sichere Kommunikation Zertifizierungsdienste: Möglicherweise mit Unterstützung verschiedener Grade von Datensparsamkeit, z.b. durch pseudonyme Zertifikate oder Convertible Credentials. Mediator-Dienste, z.b.: Identitätstreuhänder decken die Identität eines Pseudonyminhabers unter vordefinierten Umständen auf. Haftungs-Services regeln Dispute im Haftungsfall (z.b. finanziell). Wertetreuhänder übernehmen einen fairen Werteaustausch ohne Offenlegung personenbezogener Daten.
Identity Management und Third Party Support 2/2 Trennung von Wissen: Z.B. Unverkettbarkeit von wer (kauft) und was (wird gekauft) durch Trennung und datensparsame Realisierung von Bezahlund Liefer-Services. Zusätzliche Informationen: Ein Privacy Information Service kann über datenschutz- und datensicherheitsrelevante Risiken in Bezug auf das eingesetzte IMS informieren (vgl. Security Breach Notification ). Betrieb z.b. von dritten Stellen oder von Peers.
Überblick Was ist Identitätsmanagement? Definitionen Drei Typen Nutzerkontrolliertes Identitätsmanagement Status Trends Projekte und Standardisierungsinitiativen Zusammenfassung und Ausblick
Aktuelle Projekte im Zusammenhang mit Identitätsmanagement PRIME Privacy and Identity Management for Europe FIDIS Future of Identity in the Information Society GUIDE Creating a European Identity Management Architecture for egovernment ModinisIDM (Study on identity and egovernment) SecurIST Security Taskforce LEGAL-IST SeVeCom MobiLife DAIDALOS InspireD
FIDIS Future of Identity in the Information Society Network of Excellence aus 24 Partnern in der EU Vision: Entwicklung eines tieferen Verständnisses davon, wie entsprechende (Teil-)Identitäten und Identitätsmanagement den Weg zu einer fairen europäischen Information Society ebnen können Laufzeit: 1.4.2004-31.03.2009 (5 Jahre) Forschung u.a. in technischen Bereichen: Identität und Identifikation, Interoperabilität von Identitäten und Konzepten zur Identifikation, ID-Theft, Datenschutz und Datensicherheit, Profiling Ziele: integrierte Ansätze hinsichtlich Recht, Technik, Sozio-Ökonomie, Bedienfreundlichkeit, Voraussetzungen für Applikationen, Architektur und Spezifikationen Standards Web: http://www.fidis.net/
PRIME Privacy and Identity Management for Europe Vision und Ziele Vision: In der Informationsgesellschaft können Nutzer sicher agieren und interagieren und dabei die Kontrolle über ihre Privatsphäre behalten. Ziele: Zeigen, dass datenschutzförderndes Identitätsmanagement machbar ist Die Nutzung von PRIME s Konzepten in rechtlichen, sozialen und wirtschaftlichen Kontexten ermöglichen Bewusstschein schaffen für Probleme und Lösungen Den State-of-the-Art bei IMS im Sinne der Vision voranbringen
PRIME-Überblick Integrated Project in the Information Society Technologies Priority Dauer: 4 Jahre (März 2004 Februar 2008) Budget: M 13 (M 10 Fördermittel) Teilnehmer: 20 von Wirtschaft, Wissenschaft und Datenschutz Reference Group: Mitglieder von verschiedenen Interessensgruppen Website: http://www.prime-project.eu/ The PRIME project receives research funding from the Community s Sixth Framework Programme and the Swiss Federal Office for Education and Science.
PRIME-Partner IBM Belgium, B IBM Zurich Research Lab, CH Unabhängiges Landeszentrum für Datenschutz, D Technische Universität Dresden, D Katholieke Universiteit Leuven, B Universiteit van Tilburg, NL Hewlett-Packard, UK Karlstads Universitet, S JRC / IPSC Ispra, I Università di Milano, I Centre National de la Recherche Scientifique / LAAS, F Johann Wolfgang Goethe-Universität Frankfurt am Main, D Chaum LLC, USA RWTH Aachen, D Institut EURECOM, F Erasmus Universiteit Rotterdam, NL Fondazione Centro San Raffaele del Monte Tabor, I Deutsche Lufthansa, D Swisscom, CH T-Mobile, D
PRIME Reference Group Externe interessierte Experten geben frühzeitig Feedback zu Projektergebnissen: Datenschutz: EDRI European Digital Rights; Article 29 Working Party; Datenschutz-Dienststellen aus Frankreich, den Niederlanden, Österreich, Madrid und Zürich Wirtschaft: Eurochambres; Credit Suisse; Ericsson; Hunton & Williams; IIS Partners; Microsoft EMEA Verwaltung: Austrian e-government Authority; Danish Board of Technology; Innenministerium Niederlande Unabhängige Forschung: ITA Institute für Technikfolgen-Abschätzung, Österreich; RAND Europe Wissenschaft: Freie Universität Brüssel; LSE London School of Economics Verbraucherschutz: BEUC The European Consumers Organisation
Entwicklungszyklus Requirements Kickoff: Education & Common Ground Framework Research Prototypes Tutorials Architecture Evaluation
Projektablauf Year 1 Year 2 Year 3 Year 4 II Phase III Phase IV V I Req.3 Req. 2 Req. 1 Research Eval. 5 AP 2 Evaluation 4 Evaluation 3 AP 1 Evaluation 2 Evaluation 1 Req. 0 Prototype 3 Prototype 2 Prototype 1 HCI HCI Research Legal Socio-economics Appl. Req. Application Prototypes Early Protot. T0 T1 GT T2 Research Research F2 F3 A1 A2 Assurance HCI Authorisation Cryptography Communication User-Side IDM Services-Side IDM Education (Dissemination) (Management) A0 F0 WPUP UP WP UP WP UP Framework Architecture T3 F1 A3 AP: Application Prototype F: Framework A: Architecture T: Tutorials GT: General Public Tutorials UP: Use Plan WP: White Paper
PRIME Deliverables I Einführende Materialien Faltblatt, Presseerklärungen, Präsentationen White Paper Tutorials (Technische) Dokumente Framework Requirements Architecture Developer Guidelines (HCI, Assurance) Siehe www.prime-project.eu/prime_products/
PRIME Deliverables II Prototypen Internet-Kommunikation im Browser Collaborative e-learning Location-Based Services Airline and Airport Passenger Processes Einige Teile von PRIME-Software sind Open Source www.prime-project.eu/prime_products/opensource/ Forschung Wissenschaftliche Veröffentlichungen www.prime-project.eu/prime_products/papers/
PRIME-Video and Tutorials Auf der PRIME Website www.prime-project.eu/prime_products/tutorials/ Die Tutorials enthalten interaktive Komponenten.
PRIME: User Interface im Prototyp V1
PRIME: User Interface im Prototyp V1 (+ Security Info Service)
PRIME: User Interface für den Umgang mit Credentials
Standardisierungs-Workshops PRIME Workshop Workshop on Standards for Privacy in User-Centric Identity Management 6.-7. Juli 2006 in Zürich, Schweiz www.prime-project.eu/events/standardisation-ws/ Unter den Teilnehmern Vertreter von EU-Projekten, Liberty Alliance, Microsoft (Kim Cameron) und Higgins W3C Workshop zur Standardisierung eines Teilbereichs von Identitätsmanagement: Languages for Privacy Policy Negotiation and Semantics-Driven Enforcement 17.-18. Oktober 2006 in Ispra, Norditalien https://www.prime-project.eu/events/w3c-privacy-ws bzw. http://www.w3.org/2006/07/privacy-ws/ DEADLINE für Position Papers: HEUTE, 13. September 2006 (1-5 Seiten)
Überblick Was ist Identitätsmanagement? Definitionen Drei Typen Nutzerkontrolliertes Identitätsmanagement Status Trends Projekte und Standardisierungsinitiativen Zusammenfassung und Ausblick
Zusammenfassung und Ausblick Nutzerkontrolliertes Identitätsmanagement ist eine Herausforderung und eine Notwendigkeit! Mittlerweile verschiedene Ansätze in der Entwicklung was wird sich durchsetzen? Viele Aufgaben müssen noch gelöst werden, besonders in diesen Bereichen: Datenschutz Sicherheit Vertrauen Usability Integration in heutige (und kommende!) technische und gesellschaftliche Systeme Wirtschaft ( Killer-App )