|
“Personal Data Environment - Kundenorientierte Sicherheit”, H. Henn, Wirtschaftsinformatik 45 (2003) 5, S. 577
Reprint courtesy of Vieweg Verlag
Copyright 2003, Vieweg Verlag
Personal Data Environment - Kundenorientierte Sicherheit
von Dr.-Ing. Horst H. Henn
Persönliche und personenbezogene Daten sind heute an vielen Stellen gespeichert, wobei angenommen wird, dass die Daten angemessen verwendet und gesichert gespeichert werden. Diese Daten sind die Grundlage für alle geschäftlichen Beziehungen mit Privatpersonen und häufig von hohem wirtschaftlichem Wert für Unternehmen. Die Unternehmen haben häufig selbst keinerlei Interesse, diese wertvollen Daten an andere weiterzugeben. Die Benutzer haben meist nur vage Vorstellungen, wo und wie persönliche Daten gespeichert und wozu sie verwendet werden.
Das Internet hat diese Situation zunächst nicht grundlegend geändert, jedoch kann auf Daten wesentlich leichter und schneller zugegriffen werden. Der freie unkontrollierte Austausch von Informationen ist das grundlegende Prinzip des Internets und Basis seines Erfolgs. Dies ist auch von Privatpersonen zunächst erwünscht und wird zunehmend zur Selbstdarstellung und zur Kommunikation mit Kunden, Freunden oder Interessengruppen genutzt. Die Vorstellungen, welche Daten privat und welche öffentlich zugänglich sein sollten, variieren dabei sehr stark. Da dabei auch Rechte Dritter tangiert werden können, tut sich speziell in angelsächsischen Ländern ein weites Betätigungsfeld für Juristen auf.
Ein personal data environment (PDE) sollte zunächst die Möglichkeiten bieten, persönliche Daten als öffentlich zugänglich oder privat zu kennzeichnen. Dabei sollten die Nutzungsrechte eventuell noch eingeschränkt werden können. Es ist verblüffend, dass sich weder Gesetzgeber noch Standardisierungsorganisationen mit der Bereitstellung zuverlässiger, öffentlich zugänglicher Privatdaten beschäftigen, die für viele Dienstleistungen im Internet benötigt werden und die Benutzer auch gerne zur Verfügung stellen würden. Damit könnte der Benutzer auch steuern und kontrollieren, welche privaten Daten öffentlich verfügbar sind, und gegen die Verwendung anderer privater Daten klagen.
Dabei ist es völlig irrelevant, ob diese Informationen auf einer persönlichen Webseite, in einem oder mehreren zentralen Servern oder in Zukunft im persönlichen Webserver gespeichert werden. Das Datenformat und die Nutzung müssen jedoch international standardisiert und in DV-Produkten sowie Unternehmen unterstützt werden. Der Versuch, solche Systeme proprietär mit geschlossenen Benutzergruppen aufzubauen, wird vom Großteil der privaten Benutzern wahrscheinlich nicht akzeptiert.
Weit komplexer ist der Zugriff zu Onlinesystemen (Selbstbedienung) und die Auslösung von Transaktionen, speziell von Bestellungen und Zahlungen. Hierfür ist eine zuverlässige Authentifizierung des Benutzers und die Überprüfung seiner Autorisierung notwendig. Im Internet gibt es wohl Adressierungssysteme (IP-, E-Mail-Adresse) aber keine ystemimmanente Authentifizierung oder Autorisierung z. B. fü r Zahlungen,da das Internet ursprünglich ja nicht kommerziell ausgerichtet war. Jeder Serviceanbieter,der Authentifizierungs- und Autorisierungsdienste anbietet, geht ein unkalkulierbares Risiko ein, da solche Dienste für äußerst risikoreiche Transaktionen genutzt werden können und damit hohe Haftungsrisiken eingegangen werden müssen. Bezeichnenderweise hat die Firma Microsoft den sogenannten Wallet Service in seinem .NET Passport Service sehr schnell zurückgezogen, da Wallets typischer weise für sehr sensitive Informationen wie z. B. Passworte oder Kreditkarteninformationen genutzt werden.
Interessant ist hier der Vergleich mit dem Kreditkarten- und dem Mobiltelefonsystemen, deren Services wie selbstverständlich von Privatpersonen weltweit genutzt werden können.Das Kreditkartensystem unterstützt zwei Varianten: Zahlung ohne Authentifizierung und Zahlung mit Authentifizierung (PIN), z. B. an Geldautomaten. Die Zahlung ohne Authentifizierung ist für den Kunden wesentlich komfortabler, birgt aber ein wesentlich höheres Risiko, da Magnetkarten leicht kopiert werden können. Dieses Risiko wird durch ausgefeilte Onlineprüfverfahren, Risikomanagement und über höhere Gebühren für den Händler abgedeckt. Dieses Verfahren wird trotz höherem Risiko eindeutig von den Kunden bevorzugt. Die Übertragung der PIN erfolgt weltweit ähnlich wie bei Geldausgabeautomaten verschlüsselt von der Eingabe zum Endsystem, was erhebliche Investitionen in Organisation, sichere Geräte und Bauelemente erfordert. Im Internet ist diese Infrastruktur zur Zeit nicht verfügbar, sodass Kreditkartenzahlungen heute im Internet speziell international mit hohem Risiko und hohen Gebühren für den Händler behaftet sind.
Das Mobiltelefonsystem verwendet eine Chipkarte (SIM-Modul) zur Authentifizierung und zur Autorisierung. Die PIN wird lokal geprüft; weltweite Standardisierung erlaubt weltweite Nutzung inklusive der Abrechnung der Dienstleistungen. Milliarden von Benutzern haben gelernt, mit diesem System umzugehen. Dieses System hat gute Chancen, im Bereich Internetzugang speziell für WLAN zum Standard zu werden, da Hardware und Service über die SIM-Karte unabhängig voneinander vom Kunden ausgewählt werden können.
Hinter beiden Systemen stehen weltweit operierende Clearingunternehmen, welche die Zahlungsströme lenken und Partner (Banken, Telekommunikationsunternehmen), die sich auf gemeinsame Standards und Gebührenordnungen geeinigt haben. Das Mobiltelefonsystem ist eindeutig das modernere System, da Chipkarten im Gegensatz zu Magnetstreifenkarten nicht kopiert werden können. Deshalb versuchen die Kreditkartenunternehmen weltweit auf Chipkartentechnologie umzustellen, da die Händler nicht mehr bereit sind, die hohen Gebühren, die aus der unsicheren Magnetstreifentechnologie resultieren, zu zahlen.
Die Einführung erfolgt aber äußerst zögerlich, da in vielen Ländern die Ausfälle durch Betrug noch immer deutlich niedriger als die Investitionen für die Chipkarteninfrastruktur sind – Sicherheit lohnt sich häufig nicht! Andererseits sind fast alle Versuche, Systeme zur Zahlung mit Mobiltelefonen aufzubauen, gescheitert, da Telekommunikationsunternehmen nicht gewillt sind, das Risiko bei der Zahlung abzudecken.
Es ist offensichtlich, dass im Internet für Authentifizierung und Autorisierung eine ähnliche Organisationsinfrastruktur nicht existiert und wahrscheinlich fü r Privatpersonen nie existieren wird, da die Interessen von Privatpersonen naturgemäß stark divergieren.Es wird aber sicher kommerzielle Systeme in einzelnen Industrien z. B. für Banken, Gesundheitswesen, Automobilindustrie, Unterhaltung u. a. geben Solche Systeme sind zum Teil mit Millionen Benutzern bereits in Betrieb. Interessant ist hier vor allem die Entwicklung im Gesundheitswesen, wo sich per USA-Gesetz definierte Regeln für den Betrieb (HIPAA) und ein internationaler Standard für die Identifikation, Autorisierung und Signatur (G8 Health Card Standard) durchzusetzen scheinen. Dabei werden Basistechnologien in Hardware- und Software sowie Regeln für den Austausch von Daten und den Betrieb der Systeme vorgeschrieben. Der Versuch, sichere Systeme ohne Regeln für den Betrieb zu definieren, ist sicher zum Scheitern verurteilt, obwohl natürlich vernünftige Unterstützung in Hardware und Software den sicheren Betrieb erst ermöglicht oder erleichtert.
Eine der Schlüsselanwendungen für PDE Dienste ist die Authentifizierung, die heute weitgehend auf Benutzeridentifikation (UID) und Passwort (PW) basieren. Diese sind zu einer wahren Seuche im Internet geworden, da immer mehr personalisierte Dienstleistungen nur noch nach Authentifizierung zur Verfügung stehen. Mit zunehmendem Serviceangebot und Vernetzung im Internet führt dies zu einem echten Akzeptanzproblem bei den Endnutzern.UID und PW sind aber als Sicherung für Systemzugriffe wenig geeignet, weil sie sich weit einfacher als ein Magnetstreifen kopieren lassen. Meist ist den Benutzern nicht bewusst, dass bei den meisten Servern UID und PW unverschlüsselt im Internet übertragen werden. Eine zentrale Speicherung dieser Daten ist sicher höchst problematisch, da nicht nur die sichere Speicherung, sondern auch der sichere Betrieb mit häufigen Änderungen der Passwörter garantiert werden muss.
Professionelle Betriebs- und Officesysteme verwenden bereits seit Jahren digitale Signaturen und Zertifikate zur Zugriffskontrolle ohne dass der Benutzer das überhaupt bemerkt. Die Verfahren und die Zertifikate (X.509) sind hinreichend standardisiert und werden von allen gängigen Betriebs-, Browser- und Anwendungssystemen unterstützt. Im privaten Bereich ist PGP verbreitet. Dem Benutzer bleibt es dabei überlassen, ob er seine Zertifikate je nach Sicherheitsanforderungen in Software, in der PC-Hardware oder in einer Chipkarte abspeichert und ob er seine Zertifikate selbst erstellt (a‚ la Pretty Good Privacy) oder von einem Unternehmen beziehungsweise einer staatlichen Organisation erhält. In der Regel wird der Benutzer mehrere Zertifikate und kryptografische Schlüssel für private und geschäftliche Zwecke benutzen. Diese müssen entgegen der herrschenden Meinung nicht von großen zentralen PKI-Systemen generiert werden, sondern können sogar vom Endverbraucher für sich und seine Freunde generiert werden. Nicht umsonst ist PGP mit diesem Verfahren zur bevorzugten Sicherheitsinfrastruktur im privaten Bereich geworden.
Deshalb sollten moderne Systeme dem Benutzer erlauben, sich mit einem Zertifikat möglichst seiner Wahl zu authentifizieren. Anstatt einer Vielzahl von Passwörtern wird dann nur noch ein Passwort zum Zertifikatspeicher (Crypto Service Provider) benötigt. Professionelle Systeme werden Crypto Service Provider in Smartcard-Technologie einsetzen, die als Karte (SIM im Mobiltelefon oder PDA) oder z. B. bei IBM-Laptops gemäß dem TCPA-Standard fest eingebaut sind. Damit stehen dem privaten Nutzer bereits heute genügend standardisierte Technologien zur Verfügung, die von Browsern und gängigen Anwendungen unterstützt werden, um sich im Internet zu authentifizieren, Transaktionen zu autorisieren und Daten zu verschlüsseln. Dabei hat der Benutzer die Wahl, ob er selbst seine persönlichen Daten inklusive seiner kryptografischen Schlüssel verwaltet und/oder einem oder mehreren Serviceprovidern, z. B. seiner Bank, seinem Internetprovider usw. die Verwaltung überlässt.
Problematisch ist jedoch, dass die Mehrheit der Internet-Sites nicht standardisierte technische Schnittstellen zur Autorisierung verwendet und den Kunden stark divergierende Geschäftsbedingungen anbietet oder gar diktiert. Es ist nicht anzunehmen, dass sich dies in absehbarer Zeit grundlegend ändert. Viel wahrscheinlicher ist, dass die innerhalb von Unternehmen eingesetzte Portaltechnologie auch für Endverbraucher eingesetzt wird, um grössere Funktionseinheiten mit geregelten Schnittstellen und Prozessen und einheitlichen Geschäftsbedingungen zu bilden. Portale erlauben Zugriff zu einer grossen Zahl von Anwendungen (Single Sign On) und bieten meist basierend auf Webservices Technologie eine Plattform für die Kommunikation und die Durchführung von Geschäftsprozessen. Technische Standards sind dabei eine notwendige, aber keine hinreichende Bedingung für attraktive und profitable Serviceangebote. Persönliche Daten können von den Benutzern im eigenen Gerät oder in gesicherten Bereichen des Portals gespeichert werden. Kritische Transaktionen müssen dabei aus psychologischen oder rechtlichen Gründen immer vom Benutzer persönlich frei gegeben werden. Wichtig ist dabei, dass dies fü r die Benutzer mit grösserem Komfort und wählbarer Sicherheit erfolgt. Die IT Industrie wäre gut beraten, anstatt endloser häufig wenig qualifizierter Sicherheitsdiskussionen und Versprechen perfekter zukünftiger Lösungen, die heute verfügbaren Möglichkeiten zur Sicherung der persönlichen Daten objektiv darzustellen und zunächst in Zusammenarbeit mit den Serviceprovidern die Akzeptanz bei den Benutzern durch standardisierte, einfache Bedienung und persönlich kontrollierbare Sicherheitsinfrastruktur zu erhöhen.
Dr.-Ing. Horst H. Henn,
WebSphere Portal Development,
IBM Deutschland GmbH
|
