Freitag, 24. März 2017

Sicheres Identitätsmanagement im Internet mit ISÆN

Von Ralf Keuper

Auf der diesjährigen CeBIT stellte das Forschungszentrum Informatik eine auf der Blockchain-Technologie basierende Lösung für die digitale Identifizierung vor. Deren Urheber ist eine Standardisierungsinitiative aus Frankreich namens ISÆN (Individual perSonal data Auditable addrEss). Diese könnte auch in Deutschland die Grundlage einer einheitlichen Identitätslösung bilden, wie in eID-System ISÆN: Erika Mustermanns Daten landen in der Blockchain berichtet wird. 

In dem Beitrag wird die Studie Sicheres Identitätsmanagement im Internet erwähnt, die sich intensiv mit dem französischen Konzept beschäftigt. 

Darin heisst es u.a.:
Die französische Standardisierungsinitiative ISÆN verfolgt das Ziel, sowohl Bürgern als auch Unternehmen einen möglichst sicheren Umgang mit personenbezogenen Daten zu ermöglichen und so den Schutz personenbezogener Daten der Bürger bei der Verarbeitung und Nutzung von Daten zu stärken.

In der vorliegenden Studie wird der Begriff ISÆN sowohl für die Standardisierungsinitiative selbst als auch für konkrete Umsetzungen und damit einhergehende Technologien verwendet.
Einige Seiten später steht dort: 
Die Standardisierungsinitiative ISÆN soll die rechtssichere Weitergabe und Verarbeitung von persönlichen Daten sowohl in kommerziellen als auch im behördlichen Umfeld erleichtern und absichern. ISÆN adressiert in erster Linie den automatischen Datenaustausch und die Verarbeitung der Daten, die Kennung kann aber natürlich auch in gedruckter Form (beispielsweise als QR-Code) verwendet werden, um beispielsweise Dokumente auszutauschen.
Kernelement ist der  SÆN-Identifier, der sich aus den folgenden Bestandteilen zusammensetzt: 
  • Code des Geburtslandes
  • Geschlecht
  • Nachname Vorname
  • Geburtsdatum
  • Postleitzahl des Geburtsortes 
  • Mobilfunknummer 
  • Gültigkeitsdauer (beispielsweise geänderte ISÆN bei Wechsel der Mobilfunknummer) 
  • biometrischer Hash oder Fingerabdruck, „Selfie“ zur Absicherung der Daten
Zum eigentlichen Verfahren: 
Wir gehen davon aus, dass sich die Ævatar- App auf dem Smartphone befindet. Der Nutzer registriert sich bei dieser durch Angabe seiner persönlichen Daten. Aus diesen Daten wird ein Hashwert gebildet, ein neuer Account in der Blockchain eingerichtet und der Hash dort gespeichert. Dieser Hashwert dient im Folgenden zur eindeutigen Identifikation (ID) des Benutzers und wird auf dem Smartphone auch als QR-Code gespeichert. Der QRCode kann in der Folge anstelle des (länglichen) Hashwerts bei einer Anfrage der Daten verwendet werden
Über die Gemeinsamkeiten und Unterschiede zwischen dem ISÆN-Identifier und der eID-Funktionalität des neuen Personalausweises:
Ähnlich der geplanten Funktionalität des ISÆN-Identifiers bietet die eID-Funktionalität des elektronischen Personalausweises die Möglichkeit der eindeutigen und universellen Identifizierung eines Nutzers. Dieses Merkmal unterscheidet den elektronischen Personalausweis von anderen Identifikationssystemen, die nur bereichsspezifisch sind und deren Verwendung außerhalb des jeweiligen Bereichs unzulässig ist. Im Gegensatz zu ISÆN wird die Identifizierung durch den Personalausweis nicht durch persönliche Daten, sondern durch kryptographische Maßnahmen erreicht.
Die Autoren halten resümierend fest:
Aus datenschutzrechtlicher Sicht muss angedacht werden, das Konzept dahingehend zu erweitern, dass eine Möglichkeit der Zuordnung von öffentlich gespeicherten Daten zu den Realdaten ausgeschlossen ist. Beispielsweise sollte die Nutzung eines entsprechenden neuen Pseudonyms für jede einzelne Transaktion in Erwägung gezogen werden, um das Risiko einer Identifizierung so gering wie möglich zu halten. Die Verwendung eines einsehbaren Speichers kann sowohl für den Dienstanbieter im Hinblick auf entsprechende Dokumentations- und Informationspflichten als auch für die betroffene Person hilfreich sein, um sich in transparenter Weise zu erkundigen, wem entsprechende Zugriffe auf Daten erteilt wurden. Dadurch könnte sich die betroffene Person gezielter an entsprechende Verantwortliche wenden, um ihre Betroffenenrechte geltend zu machen.

Data Economy: Ein kurzer Wochenrückblick #KW12

Von Ralf Keuper 

Anbei eine Liste von Meldungen, die mir in dieser Woche besonders ins Auge gefallen sind:

Donnerstag, 23. März 2017

Kann Europa seine Digitale Souveränität behaupten?

Von Ralf Keuper

Die Sorge, Europa könne demnächst unwiederbringlich seine Digitale Souveränität an Länder wie die USA und China verlieren, geht schon länger um. 

In dem Positionspapier Digitale Souveränität: Positionsbestimmung und erste Handlungsempfehlungen für Deutschland und Europa warnte Bitkom davor, dass europäische Unternehmen in eine gefährliche Abhängigkeit amerikanischer und asiatischer IT-Konzerne geraten könnten - eigentlich sei das schon jetzt der Fall, strittig sei einzig noch die Frage nach dem Ausmaß. Was unter einer Digitalen Souveränität im dem Zusammenhang zu verstehen ist, beschreibt Bitkom wie folgt: 
Souveräne Systeme hingegen sind zu selbstbestimmtem Handeln und Entscheiden befähigt, ohne ausschließlich auf eigene Ressourcen zurückzugreifen. »Digitale Souveränität« bezeichnet in diesem Sinne die Fähigkeit zu selbstbestimmtem Handeln und Entscheiden im digitalen Raum. Digital souveräne Systeme verfügen bei digitalen Schlüsseltechnologien und -kompetenzen, entsprechenden Diensten und Plattformen über eigene Fähigkeiten auf internationalem Spitzenniveau. Sie sind darüber hinaus in der Lage, selbstbestimmt und selbstbewusst zwischen Alternativen leistungsfähiger und vertrauenswürdiger Partner zu entscheiden, sie bewusst und verantwortungsvoll einzusetzen und sie im Bedarfsfall weiterzuentwickeln und zu veredeln. Nicht zuletzt sind souveräne Systeme in der Lage, ihr Funktionieren im Innern zu sichern und ihre Integrität nach außen zu schützen.
Im vergangenen Monat nun, legten drei führende Forschungsinstitute im Bereich der IT-Sicherheit, das Fraunhofer Institut für Sichere Informationstechnologie in Darmstadt, das Max Planck-Institut für Softwaresysteme in Saarbrücken und das Karlsruher Institut für Technologie (KIT), ihr Positionspapier Cybersicherheit in Deutschland vor. Darin erklären sie die Digitale Souveränität zum strategischen Ziel: 
Die Entwicklung der Cybersicherheit muss auf nationaler und europäischer Ebene strategiegetrieben sein. Die Verbesserung der digitalen Souveränität muss dabei ein vorrangiges strategisches Ziel sein. Die Abhängigkeit von IKT, der man mangels Überprüfbarkeit der IKT und ihrer Hersteller blind vertrauen muss, muss reduziert und das vorhandene hohe Potenzial in Deutschland und Europa für Forschung und Entwicklung muss besser genutzt werden. Zugleich muss die enge internationale Kooperation in Forschung und Entwicklung mit Partnern in Europa, aber auch mit in Cybersicherheit führenden Nationen wie USA und Israel, fortgesetzt und ausgebaut werden. Deutschland zeichnet sich durch Offenheit, Schutz von Menschenrechten und gesellschaftliche Stabilität aus – Eigenschaften, die Deutschland zum idealen Standort für Hochtechnologiefirmen und Arbeitsort für hochqualifizierte Mitarbeiter machen. Die Fortschreibung und Ausgestaltung der Cybersicherheitsstrategien brauchen feste, ressortübergreifende Strukturen.
Dass dies möglich ist, und, bezogen auf Europa und Deutschland, kaum an Ressourcen und vorhandenem Know How scheitert, zeige, so die Autoren, das Beispiel Israel:
In Deutschland gibt es nur eine sehr kleine Zahl von in der Cybersicherheit auch international erfolgreicher Unternehmen. Dies ist besonders deutlich sichtbar, wenn man Deutschland z.B. mit Israel vergleicht: Deutschland hat grob zehnmal mehr Einwohner als Israel. Eine Studie von Cybersecurity Ventures verzeichnet unter den Top-500 Anbietern weltweit 25 aus Israel, davon 8 unter den Top-100, aber nur 11 aus Deutschland, davon keines unter den Top-100.
Zum Schluss formulieren die Autoren Sieben Thesen zur Cybersicherheit in Deutschland. Darin plädieren sie u.a. für eine massive Steigerung der Forschungsausgaben im Bereich Cybersicherheit sowie bessere Rahmenbedingungen für Startup mit dem Schwerpunkt Cybersicherheit. 

Allen Mängeln zum Trotz, sind die Autoren für die Zukunft keineswegs pessimistisch:
Grundsätzlich sind Deutschland und Europa für diese Herausforderungen gut aufgestellt; es sind viele Stärken vorhanden. Im Rahmen der Cybersicherheitsstrategie muss es daher auch darum gehen, die relevanten Stärken zu identifizieren und in geeigneter Weise zu bündeln. Dort, wo es noch entscheidende technologische Lücken gibt, sollten die Lücken geschlossen werden. Dies kann mit geeigneten Instrumenten und Anreizsystemen unterstützt werden. Hierbei kann es sich um Instrumente handeln, die im Wirtschaftssystem (z.B. durch Subventionen) oder im Wissenschaftssystem ansetzen.
Lässt sich der Machtkonzentration im Internet in From Digitaler Plattformen, wie Apple, Google, Amazon, facebook und Alibaba auf Dauer mit dem ordnungspolitischen Instrumentarium beikommen, wie das Weißbuch Digitale Plattformen des Bundeswirtschaftsministeriums empfiehlt? 

Leitende Fragen dabei sind: 
Wie kann Wettbewerb gesichert werden, wenn Netzwerkeffekte über Konzentrationstendenzen zu Marktverschlüssen führen können? Wie kann Vertragsfreiheit gewahrt bleiben, wenn die Datenkontrolle durch Plattformbetreiber Informationsungleichgewichte entstehen lässt? Welche Funktion erfüllt der Preisbildungsmechanismus, wenn Leistungen auf der einen Seite der Plattform unentgeltlich erbracht werden, weil sie durch Zahlungen auf der anderen Plattformseite finanziert werden? Welche Rolle spielt Eigentum, wenn Daten zum zentralen Gut werden, das jedoch beliebig zu vervielfältigen ist? Und wie können Haftungslücken vermieden werden, wenn Freiheiten entfaltet werden, ohne dass Verantwortung übernommen wird?
Die Vorschläge riefen ein geteiltes Echo hervor; beispielhaft dafür ist Weißbuch Digitale Plattformen: Jetzt wird durchreguliert.

Ganz so schlecht sieht es mit der Digitalen Souveränität Deutschlands nicht aus. Das jedenfalls ist die Ansicht des FAZ-Autors Carsten Knop, der auf die jüngste Hannover-Deklaration von Japan und Deutschland Bezug nimmt. Die beiden Länder vereinbarten darin eine Digitale Kooperation. Die Kooperation umfasst die Bereiche Autonomes Fahren, Künstliche Intelligenz und Datenanalytik. 

Knop bemerkt dazu in seinem Kommentar Ätsch, Amerika in der FAZ vom 21.03.17:
Wer baut die besten Autos? Deutschland und Japan. Wer hat die intelligentesten Roboter und die dazugehörigen Forscher? Japan und Deutschland. Und wer sagt, dass man das Geschäft mit Daten und Plattformen allein den Amerikanern überlassen muss? Längst nicht mehr jeder. Die Welt der Technik ist schnelllebig. .. Beide Länder sind dafür bekannt, keine halben Sachen zu machen, wenn es um solide Angebote für die Kunden geht. 

Mittwoch, 22. März 2017

Next Generation Internet

Von Ralf Keuper 

Die Next Generation Initiative (NGI) befragte zwischen November 2016 und Januar 2017 449 Personen hinsichtlich ihrer Wünsche und Anforderungen an das (neue) Internet. Die Ergebnisse wurden in dem Dokument Next Generation Internet Initiative - Consultation zusammengefasst. 

Die wesentlichen Erkenntnisse:
Ensuring citizens' sovereignty over their own data and the protection of their privacy is deemed the most important value proposed in the survey by the participants. Secondly, participants also felt strongly that the Internet should ensure diversity, pluralism and a right to choose. Thirdly, the concentration of data in a few proprietary platforms is understood as a significant issue today. 
Besonderes Interesse äußerten die Befragten an Personal Data Spaces: 
Those rating the importance of this value highest also selected Personal Data Spaces as a very important technology area. Therefore an NGI with a focus on Personal Data Spaces (Technology Area 3) may help in addressing the issues of sovereignty over data.
Für das Next Generation Internet (NGI) folgt daraus u.a.: 
The NGI needs to keep personal data secure and this means educating and enabling citizens regards criminals and big business. Systems that allow assurance, transparency and freedom for citizens to control the data that's held on them should not limit access to innovative services. Infrastructures are needed to both enable benefits and minimise exploitation of using personal data. This will include enabling privacy aware access control and enforcing accountability for responsible use of personal data. The values this group related most to were those of sovereignty over data and Next Generation Internet Initiative – Consultation Page 3 diversity, pluralism and the right to choose.

Montag, 6. März 2017

The Human Face of Big Data

Datensouveränität der Nutzer im Verhältnis zur Marktmacht der digitalen Plattformen

Von Ralf Keuper

Von dem höchst umstrittenen Staatsrechtler Carl Schmitt stammt der Satz: 
Souverän ist, wer über den Ausnahmezustand entscheidet
In der heutigen Zeit, die als Digitalmoderne bezeichnet wird, bekommt das Thema Souveränität eine weitere Bedeutung. Kann der Einzelne, der Nutzer der Angebote der großen Digitalen Plattformen, wie Google, Amazon, facebook, Apple und Alibaba,  im Umgang mit seinen Daten souverän entscheiden? Ist das überhaupt vorgesehen bzw. nötig? Einige halten den Begriff der Datensouveränität für ungeeignet bei der Klärung der Frage, ob Daten eine Art Währung, ein Zahlungsmittel sind, wobei ordo- und marktliberale Argumente ins Feld geführt werden. 

Souveräne Systeme hingegen sind zu selbstbestimmtem Handeln und Entscheiden befähigt, ohne ausschließlich auf eigene Ressourcen zurückzugreifen. »Digitale Souveränität« bezeichnet in diesem Sinne die Fähigkeit zu selbstbestimmtem Handeln und Entscheiden im digitalen Raum. Digital souveräne Systeme verfügen bei digitalen Schlüsseltechnologien und -kompetenzen, entsprechenden Diensten und Plattformen über eigene Fähigkeiten auf internationalem Spitzenniveau. Sie sind darüber hinaus in der Lage, selbstbestimmt und selbstbewusst zwischen Alternativen leistungsfähiger und vertrauenswürdiger Partner zu entscheiden, sie bewusst und verantwortungsvoll einzusetzen und sie im Bedarfsfall weiterzuentwickeln und zu veredeln. Nicht zuletzt sind souveräne Systeme in der Lage, ihr Funktionieren im Innern zu sichern und ihre Integrität nach außen zu schützen.
Wenn schon große Unternehmen, Branchen um ihre digitale Souveränität gegenüber Amazon, Google & Co. bangen müssen, um wie viel mehr gilt das dann für den Normalverbraucher? Die Verhandlungsmacht der Nutzer ist um einiges geringer als die von Unternehmen. Insofern ist die Datensouveränität kein Luxus, kein Sand im Getriebe der Datenökonomie, sondern der Mindeststandard. Sicherlich muss man in dem Zusammenhang definieren, was mit Datensouveränität gemeint ist: Ist sie in etwa deckungsgleich mit der Informationellen Selbstbestimmung oder geht ihr Anspruch weiter? Wo verlaufen die Grenzen? Datensouveränität, wie ich sie verstehe, schließt das Recht ein, die Daten, die im Netz oder in den Systemen großer Unternehmen zu einer Person gespeichert sind, anzufordern, in Besitz zu nehmen und selber verwalten und/oder in andere Systeme portieren zu können. Es geht nicht um Autarkie - das ist in einer vernetzten Ökonomie ohnehin keine Option mehr. Allerdings gewinnt man bei der Diskussion um die Frage, ob es Eigentumsrecht an Daten gibt, den Eindruck, als wäre das Eigentum an Daten mit dem Bestreben gleichzusetzen, Inseln/uneinnehmbare Festungen im Datenmeer zu errichten. Wohl aber geht es, um das eingangs erwähnt Zitat aufzugreifen, darum, ob wir in einer Art Ausnahmezustand leben, über den allein wirtschaftlich und technologisch mächtige Akteure entscheiden, oder ob die Bürger sich dem Einfluss der Plattformen, zumindest in bestimmten Bereichen, entziehen können und/oder über echte Wahlmöglichkeiten verfügen. Das ist schon allein aus Wettbewerbsgründen wichtig. Monopole oder Oligopole sind nicht dafür bekannt, die Bedürfnisse und wirtschaftlichen Interessen der Kunden an die erste Stelle zu setzen. 



Sonntag, 5. März 2017

The New Reality of Social Data - Andreas Weigend


Andreas Weigend definiert fünf Regeln beim Umgang mit Daten:
  1. The right to access to the data
  2. The right to amend the data
  3. The right to blur the data 
  4. The right to play with the data
  5. The right to port the data 
Weitere Informationen:

The Social Data Revolution(s)

Weigend: Should we get some of the profits from our data?