ABC4Trust entwickelt Lösung für vertrauenswürdige Anonymität
Mit "attributbasierten Berechtigungsnachweisen" lassen sich Benutzerprofile über verschiedene Dienste hinweg nicht mehr anlegen. Die dafür verwendete Technik ist nun praxisreif.
(Bild: dpa, Julian Stratenschulte/Symbolbild)
Attributbasierte Berechtigungsnachweise (ABC) sorgen dafür, dass Nutzer innerhalb eines Dienstes oder mit mehreren Diensten anonym kommunizieren können. Die bei den unterschiedlichen Diensten verwendeten Pseudonyme können nicht zu einem Persönlichkeitsprofil zusammengeführt werden. Im Rahmen des von der Europäischen Kommission mit rund 9 Millionen Euro vier Jahre lang geförderten Projekts ABC4Trust wurde erstmals die ABC-Technik in zwei Smartcard-Pilotprojekten zur Praxisreife gebracht und heute in Brüssel präsentiert.
Die Federführung von ABC4Trust lag bei Kai Rannenberg von der Johann-Wolfgang-Goethe-Universität Frankfurt. Marit Hansen vom Unabhängigen Datenschutzzentrum Schleswig-Holstein betreute die datenschutzrelevanten Fragen. Microsoft und IBM steuerten die Kryptotechniken U-Prove und Idemix bei.
Erste Konzepte für attributbasierte Credentials (ABC) wurden bereits vor rund zehn Jahren im Rahmen des EU-Projekts PRIME entwickelt. Nutzer sollen sich so in einer Kommunikationsumgebung nicht mit ihrem Namen, sondern bestimmten Eigenschaften ausweisen können. Abgefragt werden dabei nur die Eigenschaften, die für die jeweilige Fragestellung relevant sind.
Übermittelt wird beispielsweise nur die Tatsache, dass jemand älter als 18 Jahre oder eingeschriebener Student ist. Für verschiedene Zeit- und Kommunikationsräume kann ein Anwender in ein und derselben Anwendung verschiedene Pseudonyme verwenden. Auf diese Weise ist es nicht möglich, das Verhalten eines bestimmten Pseudonyms auszuwerten und daraus ein Persönlichkeitsprofil zu entwickeln. Die "attributbasierten Berechtigungsnachweise" erfüllen damit das Datenschutzziel der Nicht-Verkettbarkeit.
Unter Open-Source-Lizenz
Die Architektur steht unter einer Open-Source-Lizenz (Apache License, Version 2.0), U-Prove und Idemix können unter verschiedenen Bedingungen verwendet werden. "Das Hauptziel des Projekts war es, einen Lock-in-Effekt zu überwinden, der auf einen Hersteller verpflichten würde. Man kann deshalb während eines laufenden Projekts die Kryptotechniken wechseln, auch wenn man die bereits erzeugten Berechtigungsnachweise nicht direkt weiterverwenden kann. Gleichwohl muss man die Anwendung nicht neu programmieren", erklärt Kai Rannenberg.
Eines der beiden Pilotprojekte war ein Kurs-Evaluationssystem an der Patras Universität in Griechenland. Es garantiert, dass nur Studenten, die regelmäßig an einem Kurs teilgenommen haben, auch an der Evaluation teilnehmen können. Dabei müssen sie aber nicht ihre Identität preisgeben. Die Studierenden weisen sich dafür am Eingang des Hörsaals mit einer kontaktlosen Karte aus, die auf ein Lese-Schreib-Gerät aufgelegt wird.
"Das System funktioniert in Echtzeit, auch wenn sich viele Personen vor dem Eingang ballen", versichert Projektleiter Kai Rannenberg. Die Studierenden erhalten nach dem Ausfüllen des Evaluationsbogens ein weiteres Credential, das sie in eine Tombola einwerfen können – praktisch als Belohnung für die Teilnahme. Für die Mensa kann die Karte allerdings nicht verwendet werden, da U-Prove und Idemix sich nicht direkt für Geldzahlungen eignen.
Test an der Schule
Das andere Pilotprojekt fand an der Norrtull-Schule im schwedischen Söderhamn statt: Hier wurde ein Schul-Kommunikations-System aufgesetzt, das es Schülern ermöglicht sich in verschiedenen Kommunikationsbereichen mit unterschiedlichen Pseudonymen mit Eltern, Lehrern oder der Krankenschwester auszutauschen. In manchen Bereichen, die beispielsweise der ärztlichen Schweigepflicht unterliegen, können sie komplett anonym kommunizieren.
In anderen Bereichen besteht die Möglichkeit für den Direktor, die Identität aufzudecken, etwa bei Mobbing-Fällen. Möglich ist das mit der bei ABC4Trust neu entwickelten Funktion des "Inspektors". Über diese Aufdeckungsmöglichkeit muss der Nutzer aber bereits im Vorfeld informiert werden. Marit Hansen betont: "Heimliche Hintertüren darf es nicht geben: Die Technik und die organisatorischen Prozesse müssen so gestaltet werden, dass Aufdecken die Ausnahme ist, in jedem Einzelfall nachvollziehbar begründet wird und die Betroffenen davon erfahren."
"Die Idee ist, dass die Leute lernen, mit Anonymität umzugehen", meint Rannenberg. Die Plattform-Betreiber könnten dabei relativ schnell reagieren: "Man kann von heute auf morgen nur noch mit aufdeckbaren Berechtigungsnachweisen arbeiten und umgekehrt", meint Rannenberg. Er betont aber, dass nach einer Policy-Änderung nicht rückwirkend aufgedeckt werden kann. Der Nutzer weiß damit immer, in welcher Umgebung er kommuniziert. Nach Rannenbergs Erfahrung entscheiden sich viele Betreiber für ein überwachbares System, weil der Aufwand zu groß sei, zunächst ein datenschutzfreundliches System aufzusetzen, um dieses wömöglich nach Problemen wieder in ein überwachbares verwandeln zu müssen. (uma)
