Die Diensteorientierung der zukünftigen Netznutzung erzeugt individualisierte Dienste, die die Privatsphäre und informationelle Selbstbestimmung und damit die Grundlage der gesetzlichen Regelungen aushebeln werden. So sind bei den Kundenkarten europaweit nur wenige Anbieter festzustellen, während aus Nutzersicht scheinbar zahllose, verschiedene Kundenkarten existieren. Trotz aller Vereinbarungen kann die informationelle Selbstbestimmung nicht automatisiert eingefordert werden. Dasselbe gilt in abgewandelter Form für die JobCard und die Gesundheitskarte. Das Projektziel ist die Erweiterung des aktuellen, einseitigen Vertrauensmodells, in dem Nutzer den Diensteanbietern bei einer Erhebung und Weitergabe persönlicher Daten zwingend vertrauen müssen. Es soll ein Identitätsmanagementsystem entwickelt werden, mit dem Nutzer nach der informationellen Selbstbestimmung Profilbildungen bei der Nutzung von Dienstleistungen mit einem Datendienst kontrollieren und Anbieter von Datendiensten das in sie gesetzte Vertrauen rechtfertigen können.
Durchsetzung von Privacy Policies in Dienstenetzen
1. Durchsetzung von Privacy Policies in
Dienstenetzen
Prof. Dr. Günter Müller
Dr. Sven Wohlgemuth
Institut für Informatik und Gesellschaft (Telematik)
Albert-Ludwigs-Universität Freiburg
inSel-Auftakttreffen in Saarbrücken
22. Dezember 2008
2. 2Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Agenda
• I. Szenario: Medizinische Dienstleistungen
– Probleme der Privatsphäre
– Schutzmechanismen
• II. Freiburger Beitrag zur Durchsetzung der Nutzungskontrolle
– Evidenz durch Monitoring
– Delegation von Rechten
• III. Zu besprechen
– inSel-Sicherheitsablauf
– Positionierung und Schnittstellen
3. 3Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Privatheitsmodell
Dienstleister
Daten-
anbieter
Daten-
anbieter
Daten-
konsument
Daten-
konsument
d d,d’
Patient
Weiterer
Dienstleister
Pretschner, Hilty, Basin, 2006.
• Zugriffs-
kontrolle
Nutzungskontrolle
inSel: Policyeinhaltung zur
- Weitergabe und
- Nutzung persönlicher Daten
4. 4Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
I. Szenario: Medizinische Dienstleistungen
Beziehung zu
der Identität
Medizinische
Dienstleistungen
Infrastruktur der
el. Gesundheitskarte
Das Versprechen zur Privatsphäre
Alle personenbezogenen Daten werden nach den rechtlichen Anforderungen und
entsprechend der Einwilligung des Patienten erhoben, weitergegeben und verarbeitet.
5. 5
Grundproblem
- Which data items make up
the patient record?
- Where have they been
propagated (copied,
forwarded, used, …)?
6. 6Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Optionen für Mechanismen
DienstleisterDienstleister Dienstleister
d,d’
d
Daten-
konsument
Daten-
konsument
Daten-
anbieter
Persönliche Daten
Nutzung Weitergabe
• Zugriffskontrolle (DRM)
• Evidenz durch
Monitoring (ExaMINA)
• Sticky Policies (Adaptive Privacy
Management)
• Delegation von Rechten (DREISAM)
7. 7Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Agenda
• I. Szenario: Medizinische Dienstleistungen
– gematik und Probleme der Privatsphäre
– Schutzkonzepte
• II. Freiburger Beitrag zur Durchsetzung der Nutzungskontrolle
– Evidenz durch Monitoring
– Delegation von Rechten
• III. Zu besprechen
– inSel-Architektur
– Positionierung und Schnittstellen
8. 8Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Sicheres Logging: BBox
• LogView: Nutzerbezogene Sicht auf Logeinträge
• Anforderungen
• Genauigkeit:
Einträge wurden nicht verändert
• Vollständigkeit:
Es wurden keine Einträge gelöscht
• Eindeutigkeit:
Logdatei spiegelt die Wirklichkeit wider
• Vertraulichkeit:
Logeinträge dürfen nicht von unbefugten
gelesen werden
• Krypto-Bausteine
• Prüfsumme
• „Evolving“ Krypto-Schlüssel
• Signierte Hash-Ketten
Eintrag
Eintrag’
Accorsi, 2008
9. 9Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
II. Evidenz durch Monitoring: ExaMINA
Log View
Vorlage zu
Gegenbeispielen
Policy
Audit Algorithmus
Evidenz
Menge von Regeln
Situationen der
Regelverletzungen
Menge
von
Einträgen
Suche Einträge,
die Vorlage instanzieren
Menge von Gegenbeispielen
Input
Output
Ablauf:
Accorsi, 2008
10. 10Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Evidenz: Screenshot
Verletzte
Regel
Vorbedingung
für
Zugriff
wurde
verletzt
Accorsi, 2008
11. 11Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Delegation von Rechten: DREISAM
Daten-
konsument
Daten-
konsument
Daten-
anbieter
Daten-
anbieter
Policy 1
Vor Datenanfrage: Delegation von Regeln für Datenweitergabe
Wohlgemuth, 2008
Patient Dienstleister
Durchsetzung einer Policy durch TTP Kontrollierte Delegation
Nicht-VerkettbarkeitPseudonymisierte Delegation von
Zugriffsrechten
Policy 2
d
d’
12. 12Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
DREISAM: Protokolle
PKI-basierte Protokolle:
1. Delegation von Rechten 2. Widerruf von delegierten Rechten
• Ausstellung von Credentials durch CA
• Kombination von Proxy Credential und anonymisierte Credentials
Wohlgemuth, 2008
13. 13Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
DREISAM: Implementierung
A: Nachfrage nach
persönlichen Daten
B: Ausstellung eines
Proxy Credentials
C: Ausstellung eines
anonymisierten
Credentials
D: Zugriff auf
persönlichen Daten
Für inSel: Kryptograpische Bibliothek von FlexSecure
Wohlgemuth, 2008
14. 14Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Agenda
• I. Szenario: Medizinische Dienstleistungen
– gematik und Probleme der Privatsphäre
– Schutzkonzepte
• II. Freiburger Beitrag zur Durchsetzung der Nutzungskontrolle
– Evidenz durch Monitoring
– Delegation von Rechten
• III. Zu besprechen
– inSel-Sicherheitsablauf
– Positionierung und Schnittstellen
15. 15Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
III. inSel-Sicherheitsablauf
Dienstleister
Patient
Weiterer
Dienstleister
CA
Policy
d
Policy* d
Erweiteter
iManager
Zertifizierung
Authentifizierung
Autorisierung
Log View
16. 16Durchsetzung von Privacy Policies in DienstenetzenProf. Dr. Günter Müller, Universität Freiburg
Positionierung und Schnittstellen
• Positionierung: Entwicklung Delegation von Rechten
• Schnittstellen
– Benutzungsschnittstelle (mit Lohmann & Birkner)
– Zugriffsregeln (mit Lohmann & Birkner und Universität Passau)
– Delegationsprotokoll (mit FlexSecure)
– Loggingprotokoll (mit Sirrix)