IBM bringt Identity-Mixer-Verschlüsselungstechnologie in die Cloud

Am heutigen internationalen Datenschutztag kündigen Wissenschaftler von IBM Research – Zürich die Cloud-Version ihrer Identity-Mixer-Verschlüsselungstechnologie an. Mit der Technologie können Benutzer ihre persönlichen Daten wie Geburtsdatum oder Kreditkarteninformationen bei Web-basierten und mobilen Transaktionen besser schützen. Mittels ausgeklügelter kryptographischer Algorithmen ermöglicht die Technologie die datenschutzfreundliche Authentisierung gegenüber Online-Dienstleistern – ohne dass der Benutzer dabei unnötig viele Informationen offenlegen muss. In zwei Pilotprojekten mit dem Deutschen Roten Kreuz und der nationalen Wissenschaftsbehörde Australiens, der Commonwealth Scientific and Industrial Research Organisation (CSIRO), wird die Technologie bereits praktisch erprobt.
Gemäss comScore verbringt eine Person durchschnittlich rund 25 Stunden pro Monat* im Internet. Während dieser Zeit nutzt sie Dutzende verschiedener Seiten und Dienste wie Online-Banking, E-Shopping oder soziale Netzwerke. Für nahezu alle diese Dienstleistungen muss jeweils ein persönliches Profil mit Benutzernamen und Passwort oder – falls stärkerer Schutz erwünscht ist – mit kryptografischen Zertifikaten erstellt werden. Obwohl diese Werkzeuge einen ausreichenden Schutz für viele Anwendungen bieten, gewähren sie typischerweise keinen Schutz für die Privatsphäre des Benutzers.

Keine unnötige Datenpreisgabe

Nutzer geben häufig ihre persönlichen Daten wie Geburtsdatum, Kreditkartendaten oder Postanschrift gegenüber den Dienstleistern preis, obwohl diese Informationen für die Erbringung der angefragten Leistung nicht erforderlich wären. “Der Identity Mixer ermöglicht es dem Benutzer genau auszuwählen, welche Daten er mit wem teilen möchte“, erklärt Christina Peters, Chief Privacy Officer bei IBM. „Auch für Online-Serviceanbieter bietet die Technologie Vorteile: Sie können ihr Risikoprofil verbessern und das Vertrauen der Kunden stärken. Mit der Cloud-Version der Technologie ist sie zudem für Entwickler einfacher in eine Anwendung integrierbar.”

Entwickelt wurde die IBM Identity-Mixer-Technologie (idemix) von Wissenschaftlern am IBM Forschungszentrum in Rüschlikon bei Zürich. Identity Mixer ist ein kryptographischer Algorithmus, der es dem Benutzer erlaubt, gegenüber einem Onlinedienst jeweils nur ausgewählte Informationen offenzulegen. Ermöglicht wird dies durch die Verschlüsselung und Zertifizierung von einzelnen, so genannten Identitätsattributen wie beispielsweise dem Alter oder der Nationalität des Nutzers. Die Technologie verwendet dazu so genannte attributbasierte Zertifikate (attribute-based credentials), die von einer vertrauenswürdigen Institution wie etwa einer Behörde, ausgestellt werden. Ein besonderes Merkmal hierbei ist, dass der Herausgeber der Zertifikate nicht erfährt, wie und wo diese anschliessend genutzt werden.

Dank der Zertifikate ist der Nutzer in der Lage, selektiv nur die wirklich benötigten Eigenschaften und Angaben nachzuweisen, ohne dabei seine eigene Identität vollständig zu offenbaren. Ein Anwendungsfall wäre zum Beispiel ein Video-Streaming-Portal (Demo: https://idemixdemo.mybluemix.net/), das Filme mit Alters- und Regionsbeschränkung anbietet: Für den Zugriff auf ein FSK12-Video muss ein Nutzer üblicherweise durch Eingabe des Geburtsdatums und der Adresse beweisen, dass er über der ausgewiesenen Altersgrenze liegt. Gegebenenfalls muss er auch den Nachweis erbringen, dass er in einem bestimmten Land wohnt.
Dank des Identity Mixer kann ein Benutzer nun einfach und sicher nachweisen, dass er diese Vorgaben erfüllt, ohne sein genaues Alter oder seinen Wohnort offenzulegen. Der Anbieter erhält nur die Information, dass der Nutzer den Film anschauen darf.

- Anzeige -

Gleiches gilt für Kreditkarteninformationen: Hier würde der Video-Streaming-Service nur erfahren, dass eine angegebene Kreditkarte gültig ist und er die Zahlung akzeptieren kann. Die Kreditkartennummer und das Ablaufdatum würden nicht preisgegeben werden. Somit bleiben die persönlichen Daten eines Nutzers geschützt und die Privatsphäre gewahrt, selbst wenn der Dienstleister zu einem späteren Zeitpunkt Opfer eines Hackerangriffs werden sollte.

Einfache Anwendbarkeit für Entwickler

„Der Identity Mixer basiert auf über einem Jahrzehnt Forschung”, sagt Dr. Jan Camenisch, leitender Kryptographie- und Datenschutzforscher bei IBM Research – Zürich und IEEE Fellow. „Wir haben die Technologie entwickelt, um das Konzept der minimalen Preisgabe von identitätsbezogenen Daten zu verwirklichen. Jetzt steht sie für Transaktionen mit dem Computer auch für Mobilgeräte zur Verfügung.“

Die IBM Identity-Mixer-Technologie war bisher als Quellcode frei zum Download erhältlich. Ihre Funktionsfähigkeit auf Smart Cards wurde erfolgreich in zwei Pilotprojekten im Rahmen des europäischen Forschungsprojektes ABC4Trust demonstriert. Die Technologie wird Entwicklern ab Frühjahr 2015 für Beta-Tests auf der IBM Development Cloud-Plattform Bluemix zur Verfügung stehen. Über die offene PaaS-Umgebung (Platform as a Service) können Unternehmen und Entwickler auf Services von IBM und Geschäftspartnern zugreifen, um Cloud-basierte Anwendungen und Apps zu entwickeln. Der IBM Identity Mixer wird als einfach zu integrierender Baustein in Form eines Cloud Services angeboten. Über Auswahlmenüs können Entwickler die Daten festlegen, die geschützt werden sollen. Bluemix liefert den Code, der dann in eine Anwendung eingefügt werden kann.

Pilotprojekte in Deutschland und Australien

Um Identity Mixer als Cloud-basierte Version zu demonstrieren, arbeiten die IBM Wissenschaftler mit Partnern aus Industrie und Forschung in Deutschland und Australien in dem neuen EU-Projekt AU2EU (Authentication and Authorization for Entrusted Unions) zusammen. Im Rahmen des zwei-jährigen und mit 8,6 Millionen Euro finanzierten Projekts werden die Wissenschaftler den Identity Mixer in zwei Szenarien testen:

Deutsches Rotes Kreuz (DRK Kreisverband Rhein-Neckar/Heidelberg e.V.)

Das Deutsche Rote Kreuz ist ein großer Anbieter von regionalen Notruf- und Sozialdiensten. Der Verein bietet seinen Kunden rund um die Uhr massgeschneiderte soziale Dienstleistungen an, inklusive Notfalldienste, Begleitdienste, Haushalts- und Pflegehilfe. Im Rahmen des Projektes werden in Baden-Württemberg 20 Teilnehmer mit Sensoren zur Erfassung von Bewegungsdaten zuhause und zur Überwachung ihres Gesundheitszustandes ausgestattet. Die Sensordaten werden einem speziell dafür eingerichteten Cloud-Server übermittelt und im Hinblick auf die Art der benötigten Unterstützung analysiert. Mit dem angebotenen Hausnotruf-Service trägt der Verein dem häufigen Wunsch insbesondere älterer Menschen Rechnung, möglichst lange in der gewohnten Umgebung zu leben. Zusätzlich erhalten die DRK-Mitarbeiter ein mobiles Gerät, mit dem sie sensible personenbezogene Kundendaten wie Gesundheitsunterlagen, Medikamente und Kontaktpersonen erfassen können, um einen Dienstleistungsvertrag zu erstellen. Hierbei sorgt der IBM Identity Mixer für den Schutz und die Vertraulichkeit der Daten.

Die Technologie wird von NEC Europa und Tunstall Healthcare** implementiert. „Unser Ziel ist es – heute wie vor 150 Jahren – Opfern von Konflikten und Katastrophen sowie anderen hilfsbedürftigen Menschen unterschiedslos Hilfe zu gewähren, allein nach dem Maß ihrer Not. Dabei spielen neue Technologien eine immer wichtigere Rolle, um diese Hilfe realisieren zu können“, erklärt Caroline Greiner, Geschäftsführerin des Kreisverbandes Rhein-Neckar/Heidelberg e.V. „Wir setzen zukünftig neben unserer Kernkompetenz – der Erbringung personenbezogener Dienstleistungen – auf die Unterstützung diskreter technischer Assistenzsysteme. Die technischen Möglichkeiten, die wir im AU2EU-Projekt erstmals testen, werden für unsere Kunden in hohem Maße sicherstellen, dass diese Hilfe sowohl effizient als auch mit hoher Sicherheit für die persönlichen Daten erbracht wird.“

Pilotprojekt: CSIRO – Commonwealth Scientific and Industrial Research Organisation

Eine der Grundvoraussetzungen für Australiens Produktivität im Agrarsektor und dem damit verbundenen Aussenhandel ist das Fehlen exotischer Krankheiten und Seuchen, auch und gerade in der Viehzucht. Um diese Seuchenfreiheit weiterhin sicherzustellen, entwickelte die Nationale Behörde für wissenschaftliche und industrielle Forschung CSIRO zusammen mit weiteren Partnern einen Einsatzplan, um im Falle eines Krankheitsausbruchs eine Ausbreitung zügig und effektiv bekämpfen zu können. Dazu arbeiten die offiziellen Behörden mit ausgewählten Experten von Universitäten, anderen Forschungseinrichtungen sowie Industriepartnern im Rahmen einer speziell gesicherten Online-Plattform zusammen.

Durch den Einsatz der Identity Mixer-Technologie ermöglicht das Pilotprojekt den schnellen und sicheren Austausch sensibler Daten zwischen mehreren entlegenen Stationen und Kooperationspartnern. „Schnelligkeit und rasches Eingreifen sind im Falle eines Krankheitsausbruchs entscheidend, um das Leben von Menschen und Tieren zu retten“, sagt John Zic, leitender Wissenschaftler bei CSIRO. „Vom Einsatz dieser fortschrittlichen Technologie erwarten wir eine Verbesserung unserer Reaktionsfähigkeit bei gleichzeitiger Gewährleistung der Sicherheit, des Datenschutzes und des Vertrauens, die für die Effektivität unserer Dienste notwendig sind.“

Christina Peters von IBM ergänzt: „Identity Mixer ist ein gutes Beispiel dafür, warum die weltweite Gesetzgebung im Bereich Datenschutz Innovationen ermöglichen und nicht verhindern sollte. Die Technologie zeigt, dass Innovation zu einem besseren Datenschutz für Konsumenten führt und zu neuen Werkzeugen, die für Entwickler einfacher zugänglich und einsetzbar sind.“

* comScore MMX, Dezember 2012, Worldwide 15+ (http://www.comscore.com/)
** Tunstall Healthcare ist nicht Teil der AU2EU Kollaboration, betreibt jedoch die Telegesundheitslösung für das Deutsche Rote Kreuz.

Kooperation AU2EU

AU2EU ist eine Zusammenarbeit von universitären und industriellen Organisationen in Europa und Australien, darunter die Technische Universität Eindhoven, Philips Electronics Nederland B.V., Bicore Services B.V., NEC Europe LTD, IBM Research, Deutsches Rotes Kreuz, Thales Communications & Security SAS, Commonwealth Scientific and Industrial Research Organisation, Edith Cowan University, Royal Melbourne Institute of Technology, University of New South Wales und Macquarie University.