1
Identittsmanagement Pro oder contra Datenschutz?
Vom Volkszhlungsurteil zum virtuellen Exhibitionismus
Wertewandel des DatenschutzesTutzing, 26. September 2008
Marit HansenUnabhngiges Landeszentrum fr
Datenschutz Schleswig-Holstein
berblick
Was ist Identittsmanagement?
Die Identity Landscape aus Nutzersicht
Bausteine fr ein nutzergesteuertes, datenschutzfrderndes Identittsmanagement
Pro oder contra Datenschutz?
Zusammenfassung und Ausblick
2
Definition Identittsmanagement(-System)
Identittsmanagement
bedeutet Verwalten von Identitten und/oder von Identittsdaten*.
*) Der Begriff sagt noch nichts darber aus, fr wen diese Daten personenbezogen sind.
Identittsmanagementsystem
ist ein IT-System (einschlielich organisatorischer Komponenten), das Identittsmanagement untersttzt.
Teilidentitten von AliceTeil-
Identitten-
Management
MasterCard
Diners Club
Verwaltung
Alice
Telekom-munikation
Freizeit
Freund Bob
Reise
Einkauf
Arbeit
Bezahlung
Gesundheitswesen
Gesund-heitszu-stand
Kredit-wrdigkeit
Interessen
Alter
Fhrer-schein
Steuer-klasse
NameGeburts-datum
Geburtsort
Fhrungs-zeugnis
Versiche-rung
Telefon-nummer
Blut-gruppe
Fremd-sprachen
Einkommen
Tagebuch
Adresse
Handy-Nummer
Vorlieben & Abneigungen
Legende:
Identittvon Alice
Teil-identitt
von Alice
3
Digitale (Teil-)Identitt
Account Management
Was umfasst Identittsmanagement? Beispiele
Ohne IT
Nur 1 Teil- > 1 Teilidentittidentitt Keine IdentittKontrolle
durch den NutzerKeine Kontrolle durch den Nutzer
ProfilingNutzerkontrol-
liertes IMS
Ausweis
eID
Komm. zwi-schen Personen
Anonymisierer
Gerchte
IT
Identittsmanagementsystem (IMS) in Bezug auf andere Systeme: Es kann (und wird) mehrere IMS parallel geben IMS knnen andere Systeme integrieren IMS knnen andere Systeme ersetzen
Oberflchliche Transaktion (Identitt
spielt keine Rolle)
4
Typ 1:Account Management
Unternehmen/Behrde etc.
mit Personen-bezug
Ziel: AAA (Authentication, Authorisation, Accounting);
Technik:DirectoryServices
Individuen,z.B. Mitarbeiter
Typ 2:Profiling
personen-bezogen
Individuen,z.B. Kunden / Brger
Organisation,z.B. Firma /
Behrde
Kundenbeziehung
Ziel: Analyse des Verhaltens;Technik: Logfiles/Data Warehouses
5
Typ 3:Verwaltung eigener (Teil-)Identitten
kontext-abhngige
Pseudonyme
Vertrauens-bereich
Nutzer
Untersttzendes Gertund / oder
untersttzende Institution
Kategorisierung von Identittsmanagementsystemen
Durch den Nutzermit Hilfe von
Dienstleistern
Verwaltungeigener (Teil-)
Identitten:gewhlte Identitt
Typ 3,z.B.
Durch die Organisation
Profiling:abgeleitete
Identitt
Typ 2
Durch die Organisation
AccountManagement:zugewiesene
Identitt
Typ 1
FIDIS Deliverable 3.1, 2005
Es gibt hybride Systeme.
6
berblick
Was ist Identittsmanagement?
Die Identity Landscape aus Nutzersicht
Bausteine fr ein nutzergesteuertes, datenschutzfrderndes Identittsmanagement
Pro oder contra Datenschutz?
Zusammenfassung und Ausblick
AuthentizittZu wenig Rechtssicherheit; kein Schutz vor IdentityTheft
Erreichbarkeits-ManagementZu wenig Kontrolle, was ich von auen zulasse
Anonymitt als Basis, dann:Steuerbarkeit des Datenflusses und der Datenschutz-Preferences;Reputations-Management
Zu wenig berblick, was andere ber mich wissen
Passwort-Management; Formular-Ausfllhilfe
Unbersichtliches und unbequemes Handling meiner verschiedenen Identitten
LsungsansatzProblem
Heutige Situation State of the Art
+
-
-
-
+
7
Mittlerweile: Verschiedene Anstze fr nutzerzentriertes Identittsmanagement
Liberty Alliance
Microsoft CardSpace (auch InfoCard) / Microsoft Identity Metasystem
Open Source-Projekte zu Identity and Identity Management Higgins Trust Framework Project (inkl. Bandit) Shibboleth (providing federated Single Sign-On)
Open Source Identity Selector Consortium (OSIS)
Projekte PRIME Privacy and Identity Management for Europe DataJournals / iJournal iManager / ATUS
Liberty Alliance: Federated Identity Management
8
Microsoft: Passport
Single Sign-On-System mit zentralen Servern, die von Microsoft betrieben werden
Nach Kritik von der Art. 29 Working Party nderungen am System, aber weiterhin eindeutige Identifier pro Nutzer
Seit 2005 Auslaufmodell
Kim Cameron, Microsofts Chief Architect of Identity and Access, zur InfoCard-Initiative: We need to invite the people who used to be called privacyextremists into our hearts because they have a lot of wisdom. This (is) not the son of Passport.
Microsoft: InfoCard
9
berblick
Was ist Identittsmanagement?
Die Identity Landscape aus Nutzersicht
Bausteine fr ein nutzergesteuertes, datenschutzfrderndes Identittsmanagement
Pro oder contra Datenschutz?
Zusammenfassung und Ausblick
Definitionen
Nutzergesteuertes Identittsmanagementbedeutet das Verwalten eigener Teilidentitten
in Bezug auf spezifische Situationen und Kontexte:
a) Auswahl und Weiterentwicklung von Teilidentitten
b) Role Making und Role Taking
Datenschutzfrderndes Identittsmanagementstellt maximale Datensparsamkeit in den
Vordergrund
10
Grundstze fr nutzergesteuerte, datenschutzfrdernde Technik
Datenvermeidung /Datensparsamkeit
Transparenz frden Betroffenen
Sicherheit dervorhandenen Daten
Steuerung durchden BetroffenenQualitts-
sicherung
juristischtechnisch
organisatorisch
Ziel; soweit mglich:
in jedem Fall:
Ziel; soweit mglich:
in jedem Fall:
Beispiel: iJournal (Plug-in fr Mozilla)
Sobald iJournal personenbezogene Datenin der Eingabe des Nutzers erkennt, zeigt esInformationen ber den Provider und wartetauf eine Besttigung.
11
Beispiel:A Toolkit for Usable Security Freiburg
Identitts-management-Komponente:
Pseudonymer Liefer-Service
In einigen Lndern:Pickpoints
an Tankstellen
12
Automatisch auswertbare Privacy Policies
P3P: Platform forPrivacy Preferences
Beispiel: Privacy Bird (Lorrie Cranor et al.)
Der Privacy Bird prft P3P-Policies. Information des Nutzers
ber Aussehen und Sound des Vogels
13
PRIME Privacy and Identity Management for Europe Vision und Ziele
Vision: In der Informationsgesellschaft knnen Nutzer sicher agieren und interagieren und dabei die Kontrolleber ihre Privatsphre behalten.
Ziel: Zeigen, dass datenschutzfrderndesIdentittsmanagement machbar ist
Example: Anonymous Wine ShopFolie von Dieter Sommer/Jan Camenisch, IBM Research Zrich
Anonymous userProof of age > 20 ANDEncryption of name & addr with K
Registered userCryptographic pseudonym
K (public key)
Proof (
age > 2
0),
enc K(na
me, add
ress)
encK(name, address)
Shipping Company
Wine Shop
User
14
PRIME-Bausteine
Datensparsamkeit Private Credentials (Mglichst anonyme Kommunikationsinfrastruktur)
Transparenz Transaktionslog Data Track Informationsservice Security Feed Auswertung von White Lists und Black Lists
Steuerung Untersttzung des Betroffenen bei Rechtewahrnehmung Maschinenauswertbare Privacy Policies + Policy Enforcement Sticky Policies
Normalfall: Verkettbare Informationen
Driver's License
Insurance
Cars
Folie von Jan CamenischIBM Research Zrich
15
Datensparsamkeit durch Private Credentials
Driver's License
Insurance
Cars
TTP
Folie von Jan CamenischIBM Research Zrich
Beispiel Data Track in PRIME: Trans-aktions-protokoll beim Nutzer
16
Information ber Sicherheits- & Datenschutzvorflleund Bedrohungen
Ziel: Information der Betroffenen ber Sicherheitsvorflle
Implementiert als RSS-Feed
Sofern standardisiert: auswertbar von Applikationen
Beispiel: Security Feed in PRIME
Auswertung von White Lists und Black Lists
Nutzer muss selbst Filter seines Vertrauens vorgeben
Schwarze Liste einerschwedischen
Verbraucherschutz-Organisation:
Datenschutz-Gtesiegelin Abwandlung fr
White Lists denkbar:
17
Rechtewahr-nehmung
untersttzen: Angebot der
Online-Auskunft
Further information desired?
Searching in local Data Track
StopNo
Yes
Compiling and sending request to data controller
Answer withinappropriate time?
Compiling and sending reminderNo
In principle acceptable answer?
Answer withinappropriate time?
No
YesYes
Further desire(e.g., clarification,
rectification or erasure)?
Yes
Yes
Compiling and sending complaint to supervisory
authority (e.g., DPA)No
StopNo
This may also be a third party as recipient of the personal data.
If the result is not satisfying, further levels of escalation may be legal
action or public information (press, blogs or other media).
Necessary: accurate address of data controller; authentication of user for (
