Cloud-Computing und Privatsphäre

christina.sternbauer2.uni-linz, 15. Jänner 2013, 12:43

In meiner Ausarbeitung befasse ich ebenfalls wie meine Kollegin in ihrem Beitrag mit Cloud-Computing. Während sie sich auf die grenzüberschreitende Datenverarbeitung spezialisiert, setze ich mich in meiner Ausarbeitung mit dem Zusammenhang mit dem Schutz der Privatsphäre auseinander. (Sonehara et al. 2011) Einleitend möchte ich mit einem Artikel von Bedner und Ackermann (2010) zu Schutzzielen der IT-Sicherheit beginnen. Die beiden Autoren befassen sich mit verschieden Schutzzielen, zu denen unter anderem die Transparenz und auch die Vertraulichkeit gehören. Die beiden können im Prinzip als Gegensätze bezeichnet werden. Transparenz wird von den Autoren mit „Klarheit, Erkennbarkeit und Nachverfolgbarkeit“ bezeichnet. In manchen Situationen kann es erwünscht sein, dass eine Verkettung von Handlungen und deren Interakteuren erfolgt, und dass diese Handlungen nachverfolgt werden können. Im Unterschied dazu soll im Rahmen des Ziels Vertraulichkeit gewährleistet werden, dass Informationen nur von Berechtigten gelesen werden können. (Bedner & Ackermann 2010)

Cloud Computing ist längerfristig betrachtet nur für unkritische Dienste geeignet. Kritische Daten werden von Unternehmen nicht in der Cloud abgelegt. Die fehlende Isolation der Datenverarbeitung wird als Grund dafür genannt. Unter Isolation wird in diesem Zusammenhang eine spezifische Ansicht des Datenschutzes bezeichnet. Dabei ist die Verarbeitung von Daten durch Cloud-Lösungen verschiedener Geschäftsprozesse getrennt. Außerdem können Anbieter die Daten der Benutzenden nicht einsehen bzw. auch nicht deren Ziele und deren Absichten. (Sonehara et al. 2011, S. 151) Diese Informationen sind somit intransparent zu halten, um die Privatsphäre des Einzelnen zu schützen.

Sonehara et al. (2011, S. 153) beschreiben Mechanismen, die zum Schutz der Privatsphäre und zur Isolation verwendet werden. Der Schutz der Privatphäre steht hier im Widerspruch zur Transparenz der Daten der einzelnen Individuen. Es handelt sich dabei um sogenannte privacy-enhancing Techologies (PET), die dafür Sorge tragen, dass Personen hinsichtlich der Datenschutzpolitik unterstützt werden. Diese können in die drei Bereiche gegliedert werden:

  • Privacy Policy Languages
    P3P (Platform for Privacy Preferences) sind Regeln zur Erhebung und Verarbeitung von Daten und diese werden auf Webseiten von Anbietern genannt. Der Browser liest (wenn eine P3P-Installation ist) die Policy und vergleicht die Seite mit den Einstellungen des jeweiligen Benutzers. 
     
  • Verschlüsselungsschemata
    Der Artikel beschreibt zwei verschiedene Verschlüsselungsschemata: (a) Beim Adaptive PMS (Adaptive Privacy Management) werden persönliche Daten verschlüsselt gespeichert und nur dritte Personen, die einen Entschlüsselungsschlüssel erhalten, können auf diese zugreifen. (b) Bei der homomorphischen Verschlüsselung werden Daten vertraulich behandelt und gleichzeitig für statistische Erhebungen genutzt. 
     
  • Anonymität und Pseudonymität
    Diese Mechanismen zielen darauf ab, dass Transaktionen von einzelnen Personen nicht verknüpfbar sind, um somit die Erstellung eines Profils zu erschweren. 
Trotz dieser Mechanismen besteht in der Bevölkerung noch Unsicherheit darüber, was mit Daten in der Cloud passiert. iRights Cloud ist ein Informationsportal, das der Bevölkerung hinsichlich rechtlichen, kuturellen und auch technischen Aspekten des Cloud Computings zur Hilfe steht. Auf der Webseite sind einige sehr spannende Beiträge, zur weiteren Beschäftigung mit der Thematik.  

Wragge (2012) beschreibt bespielsweise in seinem Beitrag, dass eine Meldepflicht von Angriffen auf Cloud-Dienst dafür sorgen soll, dass Transparenz darüber geschaffen wird, ob die Daten der einzelnen Nutzenden möglicherweise in Gefahr sind. Er beschreibt außerdem, eine Zertifizierung von Cloud-Anbietern einzuführen, um jene hervorzuheben, die im Umgang mit nutzerspezifischen Daten sicherer umgehen. 

Literatur

Sonehara, N.; Echizen, I.; Wohlgemuth, S.: Isolation im Cloud-Computing und Mechanismen zum Schutz der Privatsphäre. In: Wirtschaftsinformatik, 3/2011, S. 151-158 (Download)

Bedner, M.; Ackermann, T.: Schutzziele der IT-Sicherheit. In: Datenschutz und Datensicherheit. 5/2010, S. 323-328 (Download)

Wragge, A.: EU-Kommissarin will Meldepflicht bei Angriffen auf Cloud-Anbieter. http://cloud.irights.info/eu-kommissarin-will-meldepflicht-bei-angriffen-auf-cloud-anbieter, Abruf am 2013-01-14 

1 comment :: Kommentieren

christoph.putz.uni-linz, 16. Jänner 2013, 10:51

Wichtig für den Benutzer ist auch für ihn zu wissen wie die Daten verarbeitet werden und was damit passiert. Eine wie in meinem Blog aufgezeigte transparente Darstellung des Quellcodes oder zumindest eine Zertifizierung durch unabhängige Fachleute ist dafür sinnvoll.

Verlinken :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.