UMA-Standard erreicht Version 1.0

Die Spezifikationen für User-Managed Access (UMA) haben den offiziellen Status von Version 1.0 erreicht. Das gab die Kantara Initiative bekannt, die sich um die Entwicklung von UMA als Webstandard bemüht. Sie rief Organisationen dazu auf, das Protokoll in Anwendungen und Internet-der-Dinge-Systemen (Internet of Things, IoT) zu implementieren.

UMA ist ein webbasiertes Protokoll, das offen und transparent Zugriffe auf persönliche Daten verwalten und dabei letztlich dem Nutzer überlassen soll, die Bedingungen dafür festzulegen. Seine Verfahrensabläufe basieren auf dem Authentifizierungsprotokoll OAuth 2.0 und geben dem Anwender einen einheitlichen Kontrollpunkt für die Autorisierung von Zugriffen. Er kann seine Richtlinien bei einem zentralen Autorisierungsdienst hinterlegen, damit sie bei allen Datenanfragen berücksichtigt werden.

UMA verwaltet Zugriffe auf persönliche Daten (Bild: Kantara Initiative).

„Beim Internet der Zukunft geht es vielfach um die persönlichen Daten von Verbrauchern, die eine wesentliche Rolle im breiteren datengestützten wirtschaftlichen Ökosystem spielen“, sagte Thomas Hardjono, Executive Director des MIT Kerberos & Internet Trust Consortium, der auch in der UMA Work Group aktiv ist. „Wenn persönliche Daten wirklich ein digitales Gut sind, dann muss dem Nutzer der Zugang zu den verschiedenen Datenrepositorien im Internet gehören, um ihn kontrollieren zu können. Das UMA-Protokoll stellt diese benutzerzentrische Kontrolle für das internetweite Teilen von Daten und Ressourcen bereit.“

Die Kantara Initiative sieht in UMA sowohl ein Webprotokoll, das bei der Freigabe persönlicher Daten die Privatsphäre des Verbrauchers schützt, als auch die Grundlage für geschäftliche Szenarios der Zugriffskontrolle. Als ein Beispiel nennt sie für das Gesundheitswesen das eingeschränkte Teilen von Gesundheitsdaten eines Patienten nach seinen klaren Vorgaben. O’Reilly Radar führt dazu konkrete Einzelheiten aus. Über das UMA-Protokoll hinterlegt und durchgesetzt werden können etwa Richtlinien für die Datenübertragung von Fitnesstrackern und medizinischen Geräten an einen Gesundheitsdienstleister.