EU fördert Forschung zur Verbesserung der Privatsphäre im Internet mit neun Millionen Euro

Die Europäische Union fördert in den kommenden vier Jahren ein Kooperationsprojekt von Partnern aus Forschung, Industrie und Anwendung mit fast neun Millionen Euro, um neue Verschlüsselungstechniken zu erproben. Ziel ist es, dass Bürger künftig ihre Identitätsdaten und ihre Privatsphäre besser schützen können. Das Projekt „Attribute Based Credentials for Trust“ (ABC4Trust) wird diese datenschutzfördernden Technologien in Pilotversuchen an einer schwedischen Schule und der Universität Patras in Griechenland erproben.

„Nun besteht die Chance, bisher inkompatible Infrastruktur-Technologien, die beispielsweise von IBM und Microsoft entwickelt wurden, in einer übergreifenden Identitätsmanagement-Architektur zu integrieren. Das wäre ein enormer Vorteil für die Nutzer“, sagt Kai Rannenberg, Leiter des Projekts und Inhaber der T-Mobile Stiftungsprofessur für Mobile Business & Multilateral Security an der Frankfurter Goethe-Universität.

Die meisten Onlinedienste verlangen die Erstellung eines personalisierten Profils. Die Zugangskontrolle erfolgt meist durch Eingabe von Nutzername und Passwort. Teilweise werden auch kryptographische Zertifikate verlangt, um erhöhten Sicherheitsanforderungen zu genügen. Zwar bieten solche Zertifikate für viele Einsatzzwecke eine hinreichende Sicherheit, jedoch bleibt die Privatsphäre der Nutzer ungeschützt. Sie geben ihre Identität daher oftmals unbewusst gegenüber Anbietern von Diensten preis, obwohl dies zur Erbringung der Leistung oder des Dienstes nicht erforderlich wäre.

„Das gefährdet nicht nur die Privatsphäre der Nutzer, sondern erhöht auch die Gefahr des Identitätsmissbrauchs und -betrugs, wenn personenbezogene Informationen in die falschen Hände fallen. Ziel von ABC4Trust ist es, aufzuzeigen, dass Systeme mit attributbasierten Zertifikaten sowohl eine sichere Authentifizierung unterstützen als auch die Privatsphäre des Einzelnen schützen“, so Rannenberg.

Die attributbasierten Technologie ermöglicht es dem Projektleiter zufolge, nur die jeweils notwendigen Eigenschaften (Attribute) und Angaben nachzuweisen, ohne dabei die vollständige Identität zu offenbaren. So kann ohne die Weitergabe des Geburtsdatums oder der Adresse, wie bei einer Authentifizierung mittels Ausweises bisher üblich, trotzdem ein Nachweis erbracht werden; beispielsweise älter als 18 Jahre, Student einer bestimmten Universität oder Bürger einer bestimmten Gemeinde zu sein. Das eingesetzte Credential-System baut dabei auf den Technologien von IBMs Identity Mixer und Microsofts U-Prove auf.

Ein Pilotversuch findet an der Norrtullskolan, einer Sekundärschule in der schwedischen Gemeinde Söderhamn, statt. Schüler, Lehrer und Eltern sollen sich mit Hilfe des Identitätsmanagement-Systems sicher gegenüber Diensten authentifizieren können, die von der Schule zur Kommunikation etwa mit Schulkrankenschwestern, Vertrauenslehrern, Sozialarbeitern oder in internen Sozialen Netzen angeboten werden. Anwender müssen dabei nicht ihre volle Identität preisgeben, um als berechtigte Nutzer erkannt und bei Missbrauch der Dienste auch genauer identifiziert zu werden.

In einem zweiten Pilotversuch am Research Academic Computer Technology Institute in Patras wird das System Studierenden ermöglichen, Lehrveranstaltungen und Lehrende anonymisiert elektronisch zu bewerten: Nur jene, die an einer Lehrveranstaltung tatsächlich teilgenommen haben, können bewerten, und das auch nur einmal, aber sie müssen zur Sicherstellung dieses Verfahrens ihre Identität bei der Bewertung nicht offenbaren.