Tools für mehr Privacy & Security in der Cloud
Bereits im Frühjahr 2014 dachten die kreuzwerker über neue Lösungen für mehr Datenschutz und Sicherheit bei digitalen Diensteanbietern nach. Erste Ideenskizzen wurden zu Papier gebracht. Was unter dem Eindruck von Überwachungsskandalen und weltweit aufsehenerregenden Fällen von Datendiebstahl begonnen worden ist, mündete schließlich in ein gemeinsames Forschungsprojekt mit der Humboldt-Universität zu Berlin.
Die Grundidee
Egal ob Web-Shop, eBook-Store oder mobile Apps - kaum ein Anbieter von Online-Diensten kann oder möchte heute auf die Erfassung von Kundendaten verzichten. Einerseits ist eine Registrierung mit personenbezogenen Daten wie Name und Adresse unverzichtbar, um bspw. den Geschäftszweck erfüllen zu können (Rechnungslegung, Versand etc.), andererseits wird damit ein exklusiver Kommunikationskanal zum Kunden geschaffen, den es im Sinne einer erfolgreichen Geschäftsentwicklung zu nutzen gilt. Die Herausforderung besteht nun darin, die erhobenen Benutzerdaten bestmöglich vor Datendiebstahl zu schützen und sie entsprechend den Vorschriften geltender Datenschutzgesetze zu verwalten. Damit war die Grundidee für das Projekt Users.js geboren worden. Es sollte ein System geschaffen werden, das Anbietern von Online-Diensten eine einfache, sichere und datenschutzkonforme Implementierung einer Nutzerdatenverwaltung ermöglicht. Darüber hinaus ist schnell klar geworden, dass die Entwicklung eines solchen Systems auf aktuellen Ergebnissen der Privacy-Forschung basieren sollte, was die Suche nach einem geeigneten Forschungspartner erforderlich machte.
Das Forschungsprojekt
Fündig sind die kreuzwerker beim Netzwerkpartner Xinnovations e. V. geworden. Für eine Zusammenarbeit konnten renommierte Forscher am Lehrstuhl für Datenbanken und Informationssysteme (DBIS) am Institut für Informatik der Humboldt-Universität zu Berlin gewonnen werden. Geleitet wird das DBIS-Team von Prof. Johann-Christoph Freytag, Ph. D. Bereits nach einem ersten Ideenaustausch mit ihm stand fest, dass ein gemeinsames Forschungs- und Entwicklungsprojekt der nächste logische Schritt sein würde.
Was folgte war die erfolgreiche Beantragung einer Förderung im Rahmen des Programms „Zentrales Innovationsprogramm Mittelstand“ des Bundesministeriums für Wirtschaft und Energie (BMWi). Der Titel des 18-monatigen Kooperationsprojekts lautete „Sichere und datenschutzkonforme Benutzerverwaltung als Online-Service“. Während dieser Zeit fand ein intensiver Wissensaustausch beider Partner statt. Auf Basis aktueller Forschungsergebnisse konnten neue Verfahren und Werkzeuge zur Speicherung und Verarbeitung personenbezogener Daten entwickelt werden. Es wurde ein prototypisches Benutzerverwaltungssystem (Users.js) entwickelt, dessen Systemarchitektur und Funktionalitäten den Prinzipien des “Privacy by Design” genügen.
Die Software
Diesem Prinzip folgend sind technische Maßnahmen zum Schutz der Privatsphäre der Nutzer eine wesentliche Eigenschaft der entwickelten Software. Den innovativen Kern von Users.js bildet ein Datenmodell, das die Speicherung und Verarbeitung von Daten nur in Zusammenhang mit den Präferenzen der Nutzer erlaubt (Zweckbindungsgrundsatz / Datensparsamkeit). In Kombination mit Verfahren zur Verschlüsselung (Ende-zu-Ende), Dereferenzierung, Pseudonymisierung und Anonymisierung stellt das System Funktionalitäten bereit, die auf der einen Seite dem Nutzer die Kontrolle über die Verwendung seiner Daten ermöglichen (Datensouveränität) und auf der anderen Seite dem Anbieter von Online-Diensten eine datenschutzkonforme Verwendung personenbezogener Daten erlauben bei gleichzeitiger Wahrung der Privatsphäre seiner Kunden.
Datenschutz zum Wettbewerbsvorteil machen
Derzeit existiert auf dem Markt kein System zur Nutzerdatenverwaltung, das die im Projekt entwickelten Funktionalitäten ohne umfangreiche Anpassungen verwirklicht. Führende Hersteller wie CA Technologies, Oracle, IBM oder Microsoft legen derzeit keinen besonderen Wert auf technische Maßnahmen zum Schutz der Privatsphäre von Endverbrauchern. Es ist jedoch davon auszugehen, dass sich im Vorfeld des Inkrafttretens der Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 das Bewusstsein für die Notwendigkeit sicherer und datenschutzkonformer IT-Systeme erhöhen wird.
Denn das neue Datenschutzgesetz stärkt die Rechte der Verbraucher (Transparenz- und Informationspflichten), nennt explizit neue technische Schutzmaßnahmen (Verschlüsselung und Pseudonymisierung) und droht bei Rechtsverstößen mit empfindlichen Sanktionen (Geldbußen bis zu 20 Millionen EUR oder bis zu 4% des Jahresumsatzes). Wer vor diesem Hintergrund auch technische Maßnahmen für einen datenschutzkonformen IT-Betrieb ergreifen will, muss zwangsläufig entscheiden, ob bestehende System erweiterbar sind oder ggf. ein neues System eine kostengünstige Alternative darstellt.
So gesehen haben sich die kreuzwerker mit dem Projekt Users.js bereits jetzt einen technologischen Vorsprung erarbeitet. Jetzt kommt es uns darauf an, die Technologie auch für unsere Kunden nutzbar zu machen - damit unser technologischer Vorsprung zu Ihrem Wettbewerbsvorteil wird.
Sind Sie dabei?
Derzeit entwickeln wir konkrete Einsatzszenarien für Users.js, über die wir künftig in unserem Blog berichten werden. Wenn auch Sie darüber nachdenken, wie Sie ihre IT im Hinblick auf Datenschutz und Sicherheit weiterentwickeln können, freuen wir uns auf Ihre Anfrage per E-Mail.