Transparente Software - eine Voraussetzung für datenschutzfreundliche Technologien

christoph.putz.uni-linz, 16. Jänner 2013, 08:52

Mein Blog befasst sich diesmal mit dem Artikel "Transparente Software - eine Voraussetzung für datenschutzfreundliche Technologien"1, welcher vom Arbeitskreis "Technische und organisatorische Datenschutzfragen" erstellt wurde und beschäftigt sich mit Open Source Software und dessen transparenten Aspekten.

Der Begriff "Open Source Software" steht für offenen Quellcode bei Programmen, d.h. die uneingeschränkte Veröffentlichung des Quelltextes ist ein entscheidendes Merkmal dieser Software. Es ist für jedermann möglich den Quellcode des Programmes zu lesen, mit ihm zu arbeiten, Veränderungen vorzunehmen und diese zu publizieren.

Open Source bedeutet laut Open Source Initiative aber nicht nur freier Zugang zum Programmcode, sondern es müssen auch folgende Kriterien erfüllt sein:

  1. "Freie Weiterverbreitung – keine Einschränkungen, keine Lizenzgebühren für die Verbreitung;
  2. Quellcode – Quelltext und Kompilat müssen verbreitet werden dürfen, der Quelltext muss verfügbar sein und grundlegenden Qualitätsanforderungen genügen;
  3. Auf dem Programm basierende Werke – Veränderung und Ableitung von Werken und Verbreitung der so entstehenden Werke muss unter den selben Bedingungen erlaubt sein;
  4. Unversehrtheit des Originalcodes – es kann verlangt werden, dass die Verbreitung modifizierten 
    1. Quelltextes unter Umständen in Form so genannter Patch-Dateien stattfinden muss und dass abgeleitete Werke andere Namen oder Versionsnummern tragen müssen;
  5. Keine Diskriminierung von einzelnen Personen oder Gruppen;
  6. Keine Einschränkungen für bestimmte Anwendungsbereiche;
  7. Verbreitung der Lizenz – die zum Programm gehörigen Rechte gelten für jeden, der das Programm erhalten hat, ohne dass eine weitere Lizenz beachtet werden muss;
  8. Die Lizenz darf nicht für ein bestimmtes Produkt gelten – die zum Programm gehörigen Rechte dürfen nicht davon abhängen, dass das Programm Teil einer bestimmten Distribution ist;
  9. Die Lizenz darf andere Software nicht beeinträchtigen – uneingeschränkte Möglichkeit der Verbreitung anderer Software zusammen mit der lizenzierten Software."1 2

Durch Open Source ist es prinzipiell für jeden möglich, das Programm zu überprüfen ob es tatsächlich die angegebenen Funktionen enthält und nicht versteckte, unerwartete oder unerwünschte Programmteile aufweist. Dies können zum Beispiel sogenannte trojanische Pferde sein, oder Personen späteres Eindringen in das System über eine Hintertür ermöglichen. Voraussetzung für das lesen des Quelltextes ist allerdings zumindest ein Grundverständnis für die Programmiersprache. Aus diesem Grund ist es wichtig, dass der Quellcode zusätzlich mit Kommentaren versehen ist und dass es umfangreiche Programmbeschreibungen gibt.

Open Source Produkte erfüllen durch ihre Transparenz damit zumindest die Basisforderung datenschutzfreundlicher Technologien. Die Möglichkeit der uneingeschränkten Prüfung des Quellcodes erhöht die Revisionsfähigkeit der Software ungemein. Weiters ermöglicht Open Source eine schnelle und bedarfsgerechte Anpassung der Software.

Ein weiterer Ansatz für vertrauensbildende Maßnahmen stellt die Evaluierung und Zertifizierung von Software durch unabhängige Fachleute dar. Dazu muss der Programmcode zwar nicht allgemein veröffentlicht werden, er muss aber einem Kreis von Spezialisten zur Verfügung gestellt werden, welche eine hinreichende und verlässliche Einschätzung datenschutzrelevanter Programmfunktionen vornehmen.

 

Transparenz in Zusammenhang mit Software bedeutet, dass die Nutzung dessen für den Anwender transparent ist, d.h. dieser weis welche Daten die Software verarbeitet, wo diese Daten hingehen und wie man Sicherheitsmechanismen aktiviert. Das Thema ist, wie meine Kollegen in ihren Blogbeiträgen "Transparenz als Vertrauenskriterium im Cloud Computing" und "Cloud-Computing und Privatsphäre" schreiben, natürlich auch im Cloud Computing von großer Bedeutung. Da hier unter anderem der grenzüberschreitende Datenverkehr eine große Rolle spielt, besteht immer die Gefahr von Übermittlung personenbezogener Daten an Drittstaaten wie meine Kollegin in ihrem Beitrag "Das Safe Habor Abkommen" schreibt.

Da der "Otto-Normal-Benutzer" in der Regel nicht in der Lage ist den Quelltext zu interpretieren, ist es wichtig dass eine vollständige Beschreibung der von ihm eingesetzten Software vorhanden ist und dass Software beispielsweise nach ITSEC oder Common Criteria evaluiert und zertifiziert wird.

 

Quellen:

1 Arbeitskreis "Technische und organisatorische Datenschutzfrage" des Landkreises Bayern: Transparente Software - eine Voraussetzung für datenschutzfreundliche Technologien, München 2000

2 Vgl. www.opensource.org [Stand 15.01.2013]

0 comments :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.