Privacy by Design

Oasis arbeitet an Privacy-Management in der Cloud

Oasis arbeitet an Privacy-Management in der Cloud

Anika Kehrer
17.01.2011
Die Standardisierungsorganisation Oasis hat eine neue Arbeitsgruppe ins Leben gerufen, die "Privacy by Design" beispielhaft implementieren will.

Die Gruppe hat sich vorgenommen, Unternehmen beim Privacy-Management in der Cloud zu unterstützen. Bis heute gäbe es keine technischen Standards zum Privacy Management, obwohl sich persönliche Daten (Beispiel Soziale Netzwerke) und netzbasierte Technologien (Beispiel Cloud Computing) "unerbittlich" verbreiten, argumentiert sie.

Bestehende Standards wie die betagten Platform for Privacy Preferences (P3P) des W3C oder des bestehenden Oasis-Komitees Cross-Enterprise Security and Privacy Authorization (XSPA) würden nicht reichen: Es fehle an einem abstrakten Modell, das Informationen über Personen während des gesamten Verwendungszeitraums ("Lifecycle") schützt oder erst schützbar macht.

Zusätzlich zu der Arbeitsgruppenseite stehen ein Webvideo (WMV-Format) und das korrespondierende Handout (PDF) zur weiteren Information bereit. Zu den initialen Mitgliedern der Oasis-Arbeitsgruppe gehören die amerikanischen Institutionen U.S. National Institutes of Health, das U.S. National Institute of Standards and Technology, die U.S. Veterans Health Administration sowie die Unternehmen CA Technologies und Jericho Systems. Jeder Interessierte kann die Arbeitsgruppen-Mailingliste als Archiv lesen oder über eine öffentliche Mailingliste Feedback einsenden. Die Subskription der Arbeitsgruppen-Mailingliste ist jedoch Mitgliedern vorbehalten.

Als Beispiel für Privacy-Herausforderungen nennen die Initiatoren dieses wilde Diagramm eines Smartgrid-Informationsnetzes (Quelle: NIST 2010).

Als Beispiel für zunehmende Herausforderungen des Privacy-Management nennen die Initiatoren Intelligente Stromnetze (Smart Grids). Das ist ein von Regierungen geliebtes Thema: Nicht nur in Amerika erfreuen sich Smart-Grid-Projekte staatlicher Förderung. In Deutschland finden Smart-Grid-Aktivitäten unter dem Dach der Förderinitiative der Bundesregierung "E-Energy - IKT-basiertes Energiesystem der Zukunft" einen Platz, ein Förderprogramm des Bundesministeriums für Wirtschaft und Technologie (BMWi) und dem Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) (vor wenigen Tagen fand zum Beispiel der E-Energy-Jahreskongress statt). Bei der IEEE nimmt sich die Arbeitsgruppe P2030 der Interoperabilität in Smartgrids an. Die deutschen Datenschutz-Institutionen haben bereits eine Reihe Dokumente mit Datenschutz-Bedenken gegenüber dem Stromverbrauch-Tracking veröffentlicht.

Update: Die beiden Vorsitzenden des technischen Komitees haben für ihr Vorhaben, das ja eher schwammig klingt, der Redaktion einige Ergänzungen nachgereicht.

So sagt John Sabo, hauptberuflich Direktor für Global Government Relations bei der Firma CA Technologies: "Da das PMRM ein Referenzmodell ist, kommt es natürlich auf einigermaßen abstrakter Ebene zur Anwendung. Am Ende soll es aber Datenschutzverantwortliche verstehen lassen, wie sie den Schutz von Daten während deren gesamter Lebensdauer in Infrastukturen oder Anwendungen einbringen.

Das PMRM ist einzigartig darin, Daten während ihrer gesamten Lebensdauer in den Blick zu nehmen, und definiert die Services, die ihn in komplexen Systemem zu managen helfen. Im Smart Grid zum Beispiel liegt eine Fülle an Teilnehmern, Systemen und Anweisungen vor. Persönliche Daten werden aus vielen Gründen gesammelt, verarbeitet und gespeichert. Das PMRM wird den Enwicklern von Geschäftsprozessen und technischen Voraussetzungen nützlich sein, wenn sich Policies überschneiden. Es kann auch als Grundlage einer standardisierten, gemeinsamen Policy dienen. Im Moment arbeiten wir an einer methodologischen Grundlage, die wir dann auf konkrete Anwendungsfälle übertragen."

Der andere Vorsitzende, Michael Willett, ist ehemaliger Informatik-Dozent, IBM-Security-Architekt und arbeitet heute als selbstädiger Marketing-Consultant im Securitybereich. Er ergänzt: "Datenschutz wird traditionellerweise vom Policy-Standpunkt aus betrachtet, also faire Prinzipien, Gesetze und Regulatorien. Dieser Standpunkt gewährt aber wenig Einsicht darin, wie Datenschutz-Management tatsächlich designt und implementiert wird. Das PMRM überbrückt diese Lücke. Im Kern besteht es aus zehn Services, die man sich als aufrufbare Subroutine vorstellen kann. Sie können angepasst und als Teil einer Datenschutzmanagement-Handlung gestartet werden. Erfahrungen damit sollen mittels konkreter Anwendungsfälle im Rahmen des technischen KOmittees gesammelt werden."

Related content

Kommentare

1753 Hits
Wertung: 143 Punkte (5 Stimmen)

Schlecht Gut

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...