Beiträge

Call for Paper September: Vertrauen und Vertraulichkeit

Die Ausgabe zum Themenschwerpunkt eID beschäftigt sich im September 2018 mit dem Thema „Vertrauen und Vertraulichkeit“. Wir laden Sie ein, bis 30. Juli einen Abstract einzureichen und bei angenommenem Abstract einen Beitrag für unser Onlinemagazin SocietyByte zu schreiben.

Mögliche Themenfelder für Beiträge:

  1. Vertrauen: IAM basiert auf Vertrauen in die Partner, dass diese die vereinbarten Richtlinien (IAM-Policies) einhalten. Wie kann dieses Vertrauen etabliert und überprüft werden? Mit welchen Mitteln kann es technisch unterstützt werden?
  2. Vertraulichkeit: Von Vertraulichkeit kann dann gesprochen werden, wenn Informationen nur für Befugte zugänglich sind. Vertraulichkeit kann durch gesetzliche/organisatorische Massnahmen und/oder technische Massnahmen erreicht werden. Technische Massnahmen haben den Vorteil, dass ein Missbrauch der Daten erschwert wird, für den Fall, dass die gesetzliche/organisatorische Massnahmen nicht wirksam genug sind.
  3. E-ID Gesetz: Bundesrätin Simonetta Sommaruga hat am 1. Juni das dem Parlament vorgeschlagene E-ID-Gesetz BGEID vorgestellt. Welche Massnahmen sind notwendig, um das Vertrauen in die vorgeschlagene Lösung zu etablieren? Wird die Vertraulichkeit der persönlichen Daten gewahrt. Diskutieren Sie diese und auch weitere Aspekte der neune E-ID.
  4. Erfahrungsberichte: Wir freuen uns auf fachliche Beiträge, die über die Konzeption und Umsetzung von IAM-Systemen berichten. Erfolgsstories aber auch Erfahrungsberichte aus schwierigen Projekten mit ihren gewonnenen Erkenntnissen sind willkommen.

Abstracts können bis zum 30. Juli an digitalsociety@bfh.ch gesendet werden.

 

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Eröffnung des Privacy and Sustainable Computing Lab

Damit IT Systeme neuen Herausforderungen gerecht werden, startet die Wirtschaftsuniversität Wien (WU) ein interdisziplinäres Forschungslabor namens „Privacy & Sustainable Computing Lab“. Eröffnet wurde das neue Lab am 29. und 30. September an der WU.

29. September 2016
Der Vortrag von Aral Balkan war, wie zu erwarten, ein Feuerwerk des digitalen Aktivismus. Abgesehen von der Thematisierung sozialer Ungerechtigkeit lag das Hauptgewicht dieser Präsentation allerdings stärker auf “ethical design“, also der Idee, das Produkte und Dienstleistungen schon so konzipiert werden sollen, dass sie nicht zu ethisch abzulehnenden Handlungen führen. Zentrale Bestandteile eines solchen “ethical design” sind: decentralization, open-source, open access, zero-knowledge approach, interoperability, security, und social, ecological and economical responsibility.

John Havens von IEEE hat von seinem neusten Projekt erzählt, dem IEEE Standard P7000 für “Model Process for Addressing Ethical Concerns During System Design“, den er vor dem Hintergrund seiner beiden Bücher “Heartificial Intelligence” und “Hacking Happiness” und seiner Beschäftigung mit Positive Psychology vorantreibt und der Ende des Jahres erstmals publiziert werden soll. Menschen und ihre Werte sollen dabei im Zentrum stehen, so dass funktionale Entscheide nur dann als wirklich funktional angesehen werden, wenn sie die Ethik der Benutzer nicht verletzen. Er formulierte den Ausspruch, der von vielen nachfolgenden Sprechern der beiden Tage aufgenommen wurde, “There is no cloud, only other people’s computers. Sustainability without decentralization is simply bullshit.”

Sarah Spiekermann, eine der Initatoren des Labs, gab eine Übersicht über Konzepte von Innovation und Entwicklung über die Menschheitsgeschichte hinweg und kam schliesslich auf das Ende des wertfreien Designs zu sprechen. Das Ziel des Labs sei es zum einen, die Arroganz der Ingenieure zu brechen und ihre Verständnis von Funktionalität zu verändern und zu zweiten die Dominanz des GDP zu brechen, denn solange der GDP als einziger Indikator für den Erfolg eines Organisation oder Gesellschaft angesehen wird, ist von ethischem Handeln nicht auszugehen: “A higher GDP does not produce higher ethics!”.

30. September 2016
Nach einer kurzen Vorstellung der Partnerorganisationen und des aktuell geplanten Projekts “machine-readable regulation” durch die beiden anderen Leiter des Labs Axel Polleres und Sabrina Kirrane, stellte Wolfie Christl, der vielleicht einigen als Autor des Onlinespiels DataDealer ein Begriff ist, sein neusten Buch “Networks of Control” vor, welches er mit Sarah Spiekermann geschrieben hat und das gratis zum Download zur Verfügung steht.

Interessant dabei war vor allem die schiere Menge an Datenpunkten, die heutzutage in ein User Scoring fliessen. Für eine blosse Kleinkreditanfrage werden bereits heute mehrere Tausend Datenpunkte über die Antragsteller gesammelt und analysiert, bevor der Entscheid fällt.

Andreas Krisch von European Digital Rights hat die befürchteten Schwächen des GDPR angesprochen, vor allem die grossen Schlupflöcher für staatliche Institutionen und die relativ grossen Spielräume bei der einzelnen Implementierung. Der Vortrag von Max Schrems war eine Rekapitulation seiner Auseinandersetzung mit Facebook mit Blick auf GDPR, Safe Harbor und die Frage, ob der Kampf mit Facebook dadurch erleichtert worden wäre. Anhand dieser Fragestellung wurde gezeigt, dass GDPR die Sache einfacher machen wird und weshalb Safe Harbor kaum mehr Schutz bietet als der Vorgänger und daher vor Gericht wahrscheinlich nicht in der jetzigen Form bestehen wird.

Diese Perspektive wurde in darauf folgenden Beiträgen von Paul Nemitz, dem “Vater” des GDPR, und von Rechtsanwalt Rainer Knyrim bekräftigt. Dieser sieht “privacy by design” vor allem als Schutz für seine Kundenunternehmen, da sich der Endkunde bei diesem Ansatz richtiggehend anstrengen muss, um das System zu einem Ethikbruch zu bewegen und der Hersteller so ein bedeutend kleineres Risiko trägt, nicht genügend Diskretion walten zu lassen. Als schlechtes Beispiel wurden Testinstallationen von Luftsensoren in Häusern erwähnt, die unerwartet guten Einblick in Alkoholkonsum, Kochvorlieben und -rhythmen, Rauchgewohnheiten, Drogenkonsum und Sexualleben der Bewohner gewährt haben, ohne dass dies von Anfang an intendiert worden wäre.

Die Vertreter der vertretenen grossen Standardisierungsorganisationen W3C, ISO, ISOC und IEEE haben in einem nächsten Block ihre laufenden Projekte vorgestellt. Erwähnenswert aus meiner Sicht sind dabei das MIT Projekt Solid, das zum Ziel hat, dezentrale Social Web Applicationen über Linked Data zu ermöglichen, die Open Digital Right Language, ein offenes, interoperables Modell um Zugriff aus Digitales zu modellieren sowie die IEEE SA Global Ethics Initiative, die im Dezember erste Publikationen verspricht.

Schliesslich gab es noch einen technologischen Block auf die Anforderungen von ethischem Design. Pierro Bonatti hat dabei vor allem eine enge Einbindung der Endbenutzer vertreten. Diese können zwar meistens keine Policy schreiben, sie aber sehr wohl durch Feedback verbessern. Benutzer können Policies kreiren, indem sie Einzelfälle entscheiden und Machine Learning sie dabei beobachtet, wobei es allerdings zentral ist, dass der Endbenutzer immer versteht, wieso etwas passiert, bzw. er die Möglichkeit hat, es nachzuvollziehen. Nicht nachvollziehbare Phänomene stürzen den Endbenutzer in Hilflosigkeit.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Nutzbringende und sichere digitale Identitäten für alle Lebensbereiche und ihre Eigenschaften

Digitale Identitäten begleiten uns tagtäglich. Die technischen Möglichkeiten sind sehr vielgestaltig. Wie können digitale Identitäten einerseits eine sichere Identifizierung fürs eGovernment und eHealth ermöglichen und andererseits auch den Schutz der Privatsphäre garantieren?

Digitale Identitäten ermöglichen den Zugang zur digitalen Gesellschaft. Sie repräsentieren Personen, Organisationen und Objekte in der digitalen Welt und werden in immer mehr Lebensbereichen verwendet. Jeder von uns hat so – bewusst oder unbewusst –  digitale Repräsentationen seiner Person für verschiedenen Zwecke. Sei es die Cumulus-Karte der Migros, der SwissPass der SBB oder die SIM-Karte im Mobilgerät, all diese digitalen Identitäten begleiten uns täglich.

Digitale Identitäten sind sehr vielgestaltig. Das Spektrum aus technischer Sicht reicht von Benutzername/Passwort Kombinationen und Smartcards über biometrische Identifikationsmittel bis zu hardwarebasierten Zertifikaten, wie z.B. der SuisseID.

Welche Eigenschaften sollte eine digitale Identität haben?
Eine digitale Identität sollte nutzbringend sein. Sie ist ein Hilfsmittel, um bestimmte Funktionalitäten in der digitalen Welt ausführen zu können. So kann man mit einer digitalen Identität beweisen, wer man ist und so bestimmte Online-Dienste verwenden. Man kann Dokumente oder Daten – analog zu einer handschriftlichen Unterschrift – digital signieren. Mit anderen, eher passiven Identitäten, kann man Vergünstigungen aus Bonusprogrammen einsammeln oder andere Leistungen der realen Welt, wie zum Beispiel Benutzung des ÖV, in Anspruch nehmen.

Für einige Anwendungen in der digitalen Welt, wie z.B. im eGovernment, muss man sicher sein, wer hinter einer digitalen Identität steckt. Identitäten, wie die SuisseID, können als digitaler Ausweis verwendet werden. Dazu müssen die verwendeten Identitäten sicher und vertrauenswürdig sein. Bei einer Identität, die auf einer SuisseID beruht, kann man 100% sicher sein, dass man es mit der entsprechenden Person zu tun hat. Das Vertrauen in die SuisseID basiert zum einen auf einem zertifizierten Registrierungsprozess, bei dem man persönlich anwesend sein muss, und zum anderen auf der Sicherheit der verwendeten Technologien. So wird mit einem Hardware-Token, dem SuisseID-Stick, verhindert, dass die SuisseID-Identität gestohlen werden kann. Nur wer den Stick und die passende PIN besitzt, kann die SuisseID benutzen. Man spricht hier von einer 2-Faktoren-Authentifizierung.

Das höchste Vertrauensniveau geniesst eine staatlich anerkannte elektronische Identität. Hier übernimmt der Staat die Verantwortung für die Registrierung, die meist an die Beantragung eines Ausweisdokuments, zum Beispiel Identitätskarte oder Reisepass, gekoppelt ist.
Aber das hohe Vertrauen und die Sicherheit einer digitalen Identität haben ihren Preis: höhere Kosten sowie eine komplizierte Handhabung und ein aufwendiger Registrierungsprozess. Daraus resultiert meistens eine schlechte Benutzerakzeptanz. Deshalb sollte beim Einsatz von digitalen Identitäten immer die Benutzerfreundlichkeit gegen die Sicherheitsanforderungen abgewogen werden. Zum Beispiel kann bei einem Online-Abonnement einer Tageszeitung auf eine hohe Sicherheit verzichtet werden, da das Schadenspotential gering ist.

Ohne Schutz der Privatsphäre geht es nicht
Die Datensammelwut einiger Diensteanbieter im Internet und verschiedene Hackerangriffe auf Kundendaten in den letzten Monaten, lassen den Wunsch nach Schutz der Privatsphäre und Anonymität erstarken. Zumal es heute sehr schwer, und zum Teil fast unmöglich ist, einmal preisgegebene Daten wieder aus der digitalen Welt zu entfernen. Eine gute digitale Identität ermöglicht es daher auch, sich anonym oder pseudonym in der digitalen Welt zu bewegen. Bei diesen Verfahren werden die wahre Identität einer Person verborgen und nur die Eigenschaften, preisgegeben, die für die Nutzung eines Services essentiell notwendig sind, wie zum Beispiel das Alter. So kann man den Zugriff auf ungeeignete Inhalte für Minderjährige kontrollieren, ohne deren Namen oder Geschlecht zu kennen. Die Preisgabe der Identität (oder von Teilen davon) bzw. Wahrung von Anonymität bleibt somit eine Entscheidung der Person selbst.

Eine digitale Identität reicht nicht aus

Die verschiedenen möglichen Eigenschaften digitaler Identitäten machen klar, dass mehrere Identitäten für die verschiedenen Anwendungsbereiche benötigt werden.

Im eGovernment und auch im eHealth ist es wichtig, die Bürger und Bürgerinnen, bzw. Patienten und Patientinnen eindeutig zu identifizieren, um Verwechslungen auszuschliessen. Nur eine staatlich anerkannte digitale Identität oder Identitäten auf ähnlich hoher Vertrauensstufe, wie z.B. die SuisseID oder die geplante Versichertenkarte, die auch über einen eindeutigen Identifikator verfügt, machen das möglich.

In anderen Bereichen, wo das Schadenspotential geringer ist, kann man auch einfachere elektronische Identitäten, wie sie z.B. von Google oder Facebook bereitgestellt werden, verwenden. Diese kostenlosen Identitäten beruhen zumeist auf einer Selbstregistrierung mit Email- oder SMS-Bestätigung. Die zur Verfügung gestellten Personenattribute sind zumeist selbst deklariert. Hier sollten sich Benutzer und Server-Anbieter gleichermassen über die Gefahren und Risiken klar werden.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Cybersecurity und IT-Forensik

Der Schwerpunkt „Cyber Security & IT Forensics” beschäftigt sich mit ausgewählten Themen rund um die Sicherheit der Computerinfrastruktur wie die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten, aber auch mit Fragen rund um den Schutz der Privatsphäre.

Die digitale Gesellschaft funktioniert nur, wenn sich die Menschen auf eine sichere und vertrauenswürdige Computerinfrastruktur verlassen können. Diese besteht aus leistungsfähigen Endgeräten, omnipräsenten Netzwerken und zentralen Servern. Vertraulichkeit, Integrität und Verfügbarkeit der Daten, aber auch Schutz der Privatsphäre sind dabei zentral. Im Vordergrund stehen die Geräte, welche die Menschen unmittelbar und täglich benutzen: ihre Smartphones, Tablets oder Laptops.

Schadprogramme
Es sind vor allem diese Geräte, welche durch Schadprogramme (engl. malware) angegriffen werden. Kriminelle Elemente verbreiten Schadprogramme in der Welt, mit dem Ziel, einen wirtschaftlichen oder finanziellen Nutzen daraus zu ziehen. Schadprogramme sind Computerprogramme, welche meistens unsichtbar unerwünschte Funktionen ausführen. Sie treten in verschiedensten Varianten auf:

  • Computerviren sind Programme, welche Kopien von sich selbst über den Austausch von Dokumenten auf Speichermedien verbreiten
  • Computerwürmer infizieren andere Computer über die Netzwerke
  • Trojanische Pferde wiederum sind Programme, die vordergründig dem Anwender einen Nutzen erbringen, aber unsichtbar im Hintergrund unerwünschte Funktionen ausführen wie Passwörter oder Kontaktinformationen stehlen.
  • Neuerdings häufen sich die Fälle, bei denen sogenannte Ransomware eingesetzt wird. Das sind Schadprogramme, welche die Nutzerdaten eines Systems mit einem geheimen Schlüssel verschlüsseln, so dass deren Zugang durch den Nutzer vorerst versperrt bleibt. Er wird erst wieder nach der Bezahlung eines Lösegelds (englisch ransom) durch die Mitteilung eines geheimen Schlüssels ermöglicht.

Schutz durch Forschung
In unserer Forschung untersuchen wir die Wirkungsweise der Schadprogramme. Wir versuchen zu verstehen, wie sie funktionieren, sich verbreiten und was sie tun. Wir untersuchen auch die Entwicklungsgeschichte der Schadprogramme. Das Verständnis der Entwicklungsgeschichte hilft uns, die Systeme besser zu schützen und besser zu antizipieren. Unser Knowhow wird von Firmen und Dienstleistern nachgefragt, welche sicherheitskritische Computerinfrastruktur bereitstellen und/oder selber benutzen. Andererseits fliessen die gewonnenen Erkenntnisse in die Lehre ein, zum Beispiel so, dass die Studierenden lernen, wie man robuste Software schreibt, die resistent gegenüber Angriffen dieser Art ist.

Schutz der Privatsphäre
Die Computer und Endgeräte, vernetzt mit dem Internet, stellen eine Kombination von privatem und öffentlichem Raum dar, ähnlich wie der private Wohnraum und der öffentliche Raum (Strassen, Plätze, Verkehrssysteme, Dienststellen der öffentlichen Hand). So wie es den Schutz von privaten Informationen (zum Beispiel Arztgeheimnis, Stimm- und Wahlgeheimnis) in den realen Räumen gibt, muss es diesen Schutz auch im Cyberraum geben. Wir beschäftigen uns mit der Frage, wie dieser Schutz anhand konkreter Fragestellungen wie die des E-Voting, der persönlichen Gesundheitsdaten oder des Mobility Pricing erbracht werden kann.

IT-Forensik
Werden durch die Gesellschaft aufgestellte Normen verletzt, so gilt es, bei verdächtigen Vorfällen den Tatbestand festzuhalten. Wie in der realen Welt müssen auch im Cyberraum Spuren krimineller Handlungen festgehalten werden, und zwar so, dass ihre Evidenz vor dem Richter bestand hat. Die Fragestellung lautet hier: Gibt es Spuren in den Geräten der Tatverdächtigen, welche eine gemachte, kriminelle Handlung bestätigen? Unsere Forschungsleistung konzentriert sich auf das Gebiet der Memory-Forensik. Seitens der Lehre helfen wir im Masterausbildungsgang Maîtrise universitaire ès Sciences en science forensique orientation investigation et identification numériques der Universität Lausanne aktiv mit.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.