1

Identitätsmanagement – Pro oder contra Datenschutz?

Vom Volkszählungsurteil zum virtuellen Exhibitionismus –

Wertewandel des DatenschutzesTutzing, 26. September 2008

Marit HansenUnabhängiges Landeszentrum für

Datenschutz Schleswig-Holstein

Überblick

• Was ist Identitätsmanagement?

• Die „Identity Landscape“ aus Nutzersicht

• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement

• Pro oder contra Datenschutz?

• Zusammenfassung und Ausblick

2

Definition „Identitätsmanagement(-System)“

Identitätsmanagement

bedeutet Verwalten von Identitäten und/oder von Identitätsdaten*.

*) Der Begriff sagt noch nichts darüber aus, für wen diese Daten personenbezogen sind.

Identitätsmanagementsystem

ist ein IT-System (einschließlich organisatorischer Komponenten), das Identitätsmanagement unterstützt.

Teilidentitäten von AliceTeil-

Identitäten-

Management

MasterCard

Diners Club

Verwaltung

Alice

Telekom-munikation

Freizeit

Freund Bob

Reise

Einkauf

Arbeit

Bezahlung

Gesundheitswesen

Gesund-heitszu-stand

Kredit-würdigkeit

Interessen

Alter

Führer-schein

Steuer-klasse

NameGeburts-datum

Geburtsort

Führungs-zeugnis

Versiche-rung

Telefon-nummer

Blut-gruppe

Fremd-sprachen

Einkommen

Tagebuch

Adresse

Handy-Nummer

Vorlieben & Abneigungen

Legende:

Identitätvon Alice

Teil-identität

von Alice

3

Digitale (Teil-)Identität

Account Management

Was umfasst Identitätsmanagement? Beispiele

Ohne IT

Nur 1 Teil- > 1 Teilidentitätidentität „Keine Identität“

Kontrolle durch den Nutzer

Keine Kontrolle durch den Nutzer

ProfilingNutzerkontrol-

liertes IMS

Ausweis

eID

Komm. zwi-schen Personen

Anonymisierer

Gerüchte

IT

Identitätsmanagementsystem (IMS) in Bezug auf andere Systeme:– Es kann (und wird) mehrere IMS parallel geben– IMS können andere Systeme integrieren– IMS können andere Systeme ersetzen

Oberflächliche Transaktion (Identität

spielt keine Rolle)

4

Typ 1:„Account Management“

Unternehmen/Behörde etc.

mit Personen-bezug

Ziel: AAA (Authentication, Authorisation, Accounting);

Technik:DirectoryServices

Individuen,z.B. Mitarbeiter

Typ 2:„Profiling“

personen-bezogen

Individuen,z.B. Kunden / Bürger

Organisation,z.B. Firma /

Behörde

Kundenbeziehung

Ziel: Analyse des Verhaltens;Technik: Logfiles/Data Warehouses

5

Typ 3:„Verwaltung eigener (Teil-)Identitäten“

kontext-abhängige

Pseudonyme

Vertrauens-bereich

Nutzer

Unterstützendes Gerätund / oder

unterstützende Institution

Kategorisierung von Identitätsmanagementsystemen

Durch den Nutzermit Hilfe von

Dienstleistern

Verwaltungeigener (Teil-)

Identitäten:gewählte Identität

Typ 3,z.B.

Durch die Organisation

Profiling:abgeleitete

Identität

Typ 2

Durch die Organisation

AccountManagement:zugewiesene

Identität

Typ 1

FIDIS Deliverable 3.1, 2005

Es gibt hybride Systeme.

6

Überblick

• Was ist Identitätsmanagement?

• Die „Identity Landscape“ aus Nutzersicht

• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement

• Pro oder contra Datenschutz?

• Zusammenfassung und Ausblick

AuthentizitätZu wenig Rechtssicherheit; kein Schutz vor IdentityTheft

Erreichbarkeits-ManagementZu wenig Kontrolle, was ich von außen zulasse

Anonymität als Basis, dann:Steuerbarkeit des Datenflusses und der Datenschutz-Preferences;Reputations-Management

Zu wenig Überblick, was andere über mich wissen

Passwort-Management; Formular-Ausfüllhilfe

Unübersichtliches und unbequemes Handling meiner verschiedenen „Identitäten“

LösungsansatzProblem

Heutige Situation State of the Art

+

-

-

±

±

-

+

7

Mittlerweile: Verschiedene Ansätze für „nutzerzentriertes Identitätsmanagement“

• Liberty Alliance

• Microsoft CardSpace (auch „InfoCard“) / Microsoft Identity Metasystem

• Open Source-Projekte zu Identity and Identity Management– Higgins Trust Framework Project (inkl. Bandit)– Shibboleth (providing federated Single Sign-On)

• Open Source Identity Selector Consortium (OSIS)

• Projekte– PRIME – Privacy and Identity Management for Europe– DataJournals / iJournal– iManager / ATUS– …

Liberty Alliance: Federated Identity Management

8

Microsoft: Passport

• Single Sign-On-System mit zentralen Servern, die von Microsoft betrieben werden

• Nach Kritik von der Art. 29 Working Party Änderungen am System, aber weiterhin eindeutige Identifier pro Nutzer

• Seit 2005 Auslaufmodell

• Kim Cameron, Microsofts Chief Architect of Identity and Access, zur InfoCard-Initiative: “We need to invite the people who used to be called privacyextremists into our hearts because they have a lot of wisdom. This (is) not the son of Passport.“

Microsoft: „InfoCard“

9

Überblick

• Was ist Identitätsmanagement?

• Die „Identity Landscape“ aus Nutzersicht

• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement

• Pro oder contra Datenschutz?

• Zusammenfassung und Ausblick

Definitionen

Nutzergesteuertes Identitätsmanagementbedeutet das Verwalten eigener Teilidentitäten

in Bezug auf spezifische Situationen und Kontexte:

a) Auswahl und Weiterentwicklung von Teilidentitäten

b) „Role Making“ und „Role Taking“

Datenschutzförderndes Identitätsmanagementstellt maximale Datensparsamkeit in den

Vordergrund

10

Grundsätze für nutzergesteuerte, datenschutzfördernde Technik

Datenvermeidung /Datensparsamkeit

Transparenz fürden Betroffenen

Sicherheit dervorhandenen Daten

Steuerung durchden BetroffenenQualitäts-

sicherung

juristischtechnisch

organisatorisch

Ziel; soweit möglich:

in jedem Fall:

Ziel; soweit möglich:

in jedem Fall:

Beispiel: iJournal (Plug-in für Mozilla)

Sobald iJournal personenbezogene Datenin der Eingabe des Nutzers erkennt, zeigt esInformationen über den Provider und wartetauf eine Bestätigung.

11

Beispiel:„A Toolkit for Usable Security Freiburg“

Identitäts-management-Komponente:

Pseudonymer Liefer-Service

In einigen Ländern:„Pickpoints“

an Tankstellen

12

Automatisch auswertbare Privacy Policies

P3P: Platform forPrivacy Preferences

Beispiel: Privacy Bird (Lorrie Cranor et al.)

• Der „Privacy Bird“ prüft P3P-Policies. • Information des Nutzers

über Aussehen und Sound des Vogels

13

PRIME – Privacy and Identity Management for Europe– Vision und Ziele –

Vision: In der Informationsgesellschaft können Nutzer sicher agieren und interagieren und dabei die Kontrolleüber ihre Privatsphäre behalten.

Ziel: Zeigen, dass datenschutzförderndesIdentitätsmanagement machbar ist

Example: Anonymous Wine ShopFolie von Dieter Sommer/Jan Camenisch, IBM Research Zürich

“Anonymous user”Proof of age > 20 ANDEncryption of name & addr with K

“Registered user”Cryptographic pseudonym

K (public key)

Proof (age > 20),

enc K(name, address)

encK(name, address)

Shipping Company

Wine Shop

User

14

PRIME-Bausteine

• Datensparsamkeit– Private Credentials– (Möglichst anonyme Kommunikationsinfrastruktur)

• Transparenz– Transaktionslog „Data Track“– Informationsservice „Security Feed“– Auswertung von White Lists und Black Lists

• Steuerung– Unterstützung des Betroffenen bei Rechtewahrnehmung– Maschinenauswertbare Privacy Policies + Policy Enforcement– Sticky Policies

Normalfall: Verkettbare Informationen

Driver's License

Insurance

Cars

Folie von Jan CamenischIBM Research Zürich

15

Datensparsamkeit durch Private Credentials

Driver's License

Insurance

Cars

TTP

Folie von Jan CamenischIBM Research Zürich

Beispiel „Data Track“ in PRIME: Trans-aktions-protokoll beim Nutzer

16

• Information über Sicherheits- & Datenschutzvorfälleund Bedrohungen

• Ziel: Information der Betroffenen über Sicherheitsvorfälle

• Implementiert als RSS-Feed

• Sofern standardisiert: auswertbar von Applikationen

Beispiel: Security Feed in PRIME

Auswertung von White Lists und Black Lists

Nutzer muss selbst Filter seines Vertrauens vorgeben

Schwarze Liste einerschwedischen

Verbraucherschutz-Organisation:

Datenschutz-Gütesiegelin Abwandlung für

White Lists denkbar:

17

Rechtewahr-nehmung

unterstützen: Angebot der

Online-Auskunft

Further information desired?

Searching in local Data Track

StopNo

Yes

Compiling and sending request to data controller

Answer withinappropriate time?

Compiling and sending reminderNo

In principle acceptable answer?

Answer withinappropriate time?

No

YesYes

Further desire(e.g., clarification,

rectification or erasure)?

Yes

Yes

Compiling and sending complaint to supervisory

authority (e.g., DPA)No

StopNo

This may also be a third party as recipient of the personal data.

If the result is not satisfying, further levels of escalation may be legal

action or public information (press, blogs or other media).

Necessary: accurate address of data controller; authentication of user for (pseudonymous) partial identity used in the specific context; possibly supplementary details to refine request.

Predefined process of supervisory

authority

Often incident-driven or initiated by an alert function within the IMS.

Meaning: fair treatment from the individual’s perspective?

Sticky Policies

• Policy wird an Daten „geklebt“ und ausgewertet• Für Policy: standardisierte Datenschutzmanagementsprache

“Control”

Actual data stored in the data repository

Personal Data

PrivacyPolicy

Encrypted

Encrypted with TPS Public Key:

• Symmetric key used toencrypt personal data

• Hash of privacy policy

TPS: TrustedPrivacy Service

Folie von Marco Casassa MontHewlett-Packard Lab Bristol

18

Beispiel: Privacy Policy Icons (Mary Rundle 2006)

Beispiel: Icons (Mehldau 2007)

19

„There‘s life after PRIME“

• PRIME ist 2008 zu Ende gegangen

• Resultate– Gute Forschungspapiere und Konzepte– Fokus auf Client-Server und eher E-Commerce– Passable Demonstratoren– Keine stabilen Produkte, wenig Nutzertests

• Anschlussprojekt PrimeLife– PRIME-Resultate wirklich verfügbar machen

• Open Source• Standardisierung

– Identitätsmanagement in sozialen Netzwerken und Peer-to-Peer-Anwendungen

– Konzepte für lebenslangen Datenschutz

http://www.prime-project.eu/

http://www.primelife.eu/

Blick auf Entwicklungen in Deutschland

• ePass• Gesundheitskarte• Bürgerportale• Elektronischer

Personalausweis

⇒ Bürger erhalten mehr Verantwortung

⇒ Sind sie darauf vorbereitet?

Bildquelle: Bundesdruckerei GmbHBildquelle: www.buergerportale.de

20

Blick auf Entwicklungen in Deutschland

• Ordnungsmerkmale im geplanten zentralen Bundesmelderegister

• Schüler-IDs• Steuer-IDs: sollen im Klartext

auch an Riester-Anbieter (sogar außerhalb der EU) gehen

⇒ Verkettbarkeit in Hintergrundsystemen;oft keine Beschränkung der IDs auf spezifische Bereiche

⇒ Risiken durch naive Konzeption + Implementierungen

Überblick

• Was ist Identitätsmanagement?

• Die „Identity Landscape“ aus Nutzersicht

• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement

• Pro oder contra Datenschutz?

• Zusammenfassung und Ausblick

21

Identitätsmanagement pro Datenschutz

• Ja, wenn ausreichend Kontrolle beim Betroffenen– Transparenz– Steuerung im Rahmen der gesetzlichen Möglichkeiten

• Grenzen:– Selbstbestimmung ist nicht immer isoliert möglich

Identitätsmanagement pro Datenschutz

• Ja, wenn ausreichend Kontrolle beim Betroffenen– Transparenz– Steuerung im Rahmen der gesetzlichen Möglichkeiten

• Grenzen:

– Selbstbestimmung ist nicht immer isoliert möglich

– Bewusstsein über Datenschutz-Risiken, -Rechte, …

– Beherrschbarkeit der Selbstbestimmung?

22

Identitätsmanagement pro Datenschutz

• Ja, wenn ausreichend Kontrolle beim Betroffenen– Transparenz– Steuerung im Rahmen der gesetzlichen Möglichkeiten

• Grenzen:

– Selbstbestimmung ist nicht immer isoliert möglich

– Bewusstsein über Datenschutz-Risiken, -Rechte, …

– Beherrschbarkeit der Selbstbestimmung?

systeme

IMS unterv

+ wenn IMS ihn beim IM unterstützt

+ ebenso Datennicht immer isoliert

+ auch Risikendes IMS + durch das IMS

+ Beherrschbarkeit des IMS

+ Kontrollumfang, nur soweit IMS als Gateway fungiert

Beherrschbarkeit in Hochsicherheitsbereichen gegeben? Beispiel: Viren in einer NASA-Raumstation

23

Überblick

• Was ist Identitätsmanagement?

• Die „Identity Landscape“ aus Nutzersicht

• Bausteine für ein nutzergesteuertes, datenschutzförderndes Identitätsmanagement

• Pro oder contra Datenschutz?

• Zusammenfassung und Ausblick

Fazit

Identitätsmanagement – pro oder contra Datenschutz?• Antwort: „Es kommt darauf an.“ ☺• Viele Komponenten für nutzergesteuertes,

datenschutzfreundliches Identitätsmanagement sind markttauglich, andere laufen im Labor

• Offene Fragen: – Umgang mit Wechselwirkungen– Wann gilt PET + PET = PET?

• Entscheidend:– Infrastrukturen– Standards– Usability

PET: Privacy-Enhancing Technologies

24

Ausblick I

• Technische Fortschritte bei marktbeherrschenden Playern

– Private Credentials künftig von Microsoft und IBM??

– Standardisierung per „Information Card Foundation“?

Ausblick II

• „Identitätshaken“ (Bestätigung, dass man existiert) durch eID-Systeme der Verwaltung– Auf nationaler Ebene in wenigen Jahren vorhanden;

auf EU-Ebene in Sicht– Nötige Infrastrukturen werden jetzt entwickelt– Dann: Zusammenwachsen mit Anwendungen außerhalb der

Verwaltung– Nicht für alle Anwendungen nötig

• Konzepte zur Gewährleistung lebenslangen Schutzes der Privatsphäre

25

Ausblick III

• Ausweitung des Denkmodells:– Nicht nur personenbezogene Daten– Auch „verkettungs-ermöglichende Daten“

in allen Verarbeitungsschritten

https://www.datenschutzzentrum.de/