myID.privat - Anonymität & Pseudonymität bei der Online-Authentisierung

• Dr. Leon Hempel [1]
• Michael Hahne [2]
• Laila Kroker BA jur. & oec. [3]

ProFIT – Programm zur Förderung von Forschung, Innovationen und Technologien

Juli 2009 – Juni 2011

Problem

Im digitalen Zeitalter sollen immer mehr vertrauensbasierte Transaktionen online abgewickelt werden. Dies birgt große Gefahren in Bezug auf die Sicherheit, die Authentizität und den verantwortungsvollen Umgang mit den Daten der Nutzer. Immer wieder werden sensible Daten ausspioniert, digitale Identitäten gefälscht und persönliche Daten ohne die Zustimmung ihrer Eigentümer gespeichert oder an Dritte weitergegeben und verkauft.

Der technische Lösungsansatz

Durch die Einführung von elektronischen Identitätsnachweisen sollen die hohe Fälschungssicherheit herkömmlicher Identitätsnachweise mit den Transaktionsmöglichkeiten der Online-Welt verbunden werden. Durch die zusätzliche Einführung zertifizierter Identity Provider sollen die Identitäten der Transaktionspartner nicht nur verbürgt werden, auch soll der Nutzer die Möglichkeit erhalten, gezielt Daten auszuwählen, die er Dienstanbietern zur Verfügung stellt. Dies soll die Erschließung neuer Dienstleistungen in Geschäftsprozessen zwischen Bürgern, Verwaltung und Wirtschaft ermöglichen. Der Bürger soll die Souveränität über seine digitale Identität zurückerhalten.

Ziel

myID.privat zielt auf die Erforschung und Konzeption von Technologien und Verfahren, um nutzerspezifisch die Privatheit der Bürger bei dem Einsatz neuer elektronischer Identitätsdokumente zu unterstützen. Die alltagspraktische und nutzerfreundliche Gestaltung der Aggregierbarkeit von Attributen zu geeigneten nutzerkontrollierten Verbünden sowie die Kommunikationsinfrastruktur und datensparsame Interaktionen zwischen Identity-/Attribut-Providern sowie den Providern und Nutzern bilden den sicherheitsrelevanten Fokus des Vorhabens.

Vorgehen

Identifikation und Analyse von datenschutzfördernden Regulationsinstrumenten: Datenschutzfördernde Instrumente werden typologisiert und insbesondere danach bewertet, inwiefern Nutzer die Kontrolle über ihr Identitätsmanagement erhalten.

Szenarioentwicklung für geeignete Attributverbünde sowie deren rechtliche Begutachtung: Aus nicht-technischer Sicht müssen die Nutzungsmöglichkeiten der ID-Card Systeme anhand eines Kriterienkatalogs u.a. hinsichtlich verfügbarer Informationen, Transparenz, individueller Konfigurabilität, Kontrollierbarkeit, Einklagbarkeit und Anwendbarkeit bewertet und notwendige funktionelle und interaktive Ergänzungen hinzugefügt werden. Darüber hinaus müssen die geplanten Szenarien auf ihre datenschutzrechtliche Zulässigkeit geprüft werden.

Datenschutzgerechtes Szenario: Um die Ergebnisse des Projekts umzusetzen und anschaulich darzustellen, werden datenschutzgerechte Anwendungsszenarien definiert, prototypisch implementiert und hinsichtlich ihrer Gebrauchstauglichkeit und praktischen Nützlichkeit im Alltag der Nutzer evaluiert.