Oasis arbeitet an Privacy-Management in der Cloud

Oasis arbeitet an Privacy-Management in der Cloud

Privacy by Design

Anika Kehrer
17.01.2011
Die Standardisierungsorganisation Oasis hat eine neue Arbeitsgruppe ins Leben gerufen, die "Privacy by Design" beispielhaft implementieren will.

Die Gruppe hat sich vorgenommen, Unternehmen beim Privacy-Management in der Cloud zu unterstützen. Bis heute gäbe es keine technischen Standards zum Privacy Management, obwohl sich persönliche Daten (Beispiel Soziale Netzwerke) und netzbasierte Technologien (Beispiel Cloud Computing) "unerbittlich" verbreiten, argumentiert sie.

Bestehende Standards wie die betagten Platform for Privacy Preferences (P3P) des W3C oder des bestehenden Oasis-Komitees Cross-Enterprise Security and Privacy Authorization (XSPA) würden nicht reichen: Es fehle an einem abstrakten Modell, das Informationen über Personen während des gesamten Verwendungszeitraums ("Lifecycle") schützt oder erst schützbar macht.

Zusätzlich zu der Arbeitsgruppenseite stehen ein Webvideo (WMV-Format) und das korrespondierende Handout (PDF) zur weiteren Information bereit. Zu den initialen Mitgliedern der Oasis-Arbeitsgruppe gehören die amerikanischen Institutionen U.S. National Institutes of Health, das U.S. National Institute of Standards and Technology, die U.S. Veterans Health Administration sowie die Unternehmen CA Technologies und Jericho Systems. Jeder Interessierte kann die Arbeitsgruppen-Mailingliste als Archiv lesen oder über eine öffentliche Mailingliste Feedback einsenden. Die Subskription der Arbeitsgruppen-Mailingliste ist jedoch Mitgliedern vorbehalten.

Als Beispiel für Privacy-Herausforderungen nennen die Initiatoren dieses wilde Diagramm eines Smartgrid-Informationsnetzes (Quelle: NIST 2010).

Als Beispiel für zunehmende Herausforderungen des Privacy-Management nennen die Initiatoren Intelligente Stromnetze (Smart Grids). Das ist ein von Regierungen geliebtes Thema: Nicht nur in Amerika erfreuen sich Smart-Grid-Projekte staatlicher Förderung. In Deutschland finden Smart-Grid-Aktivitäten unter dem Dach der Förderinitiative der Bundesregierung "E-Energy - IKT-basiertes Energiesystem der Zukunft" einen Platz, ein Förderprogramm des Bundesministeriums für Wirtschaft und Technologie (BMWi) und dem Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) (vor wenigen Tagen fand zum Beispiel der E-Energy-Jahreskongress statt). Bei der IEEE nimmt sich die Arbeitsgruppe P2030 der Interoperabilität in Smartgrids an. Die deutschen Datenschutz-Institutionen haben bereits eine Reihe Dokumente mit Datenschutz-Bedenken gegenüber dem Stromverbrauch-Tracking veröffentlicht.

Update: Die beiden Vorsitzenden des technischen Komitees haben für ihr Vorhaben, das ja eher schwammig klingt, der Redaktion einige Ergänzungen nachgereicht.

So sagt John Sabo, hauptberuflich Direktor für Global Government Relations bei der Firma CA Technologies: "Da das PMRM ein Referenzmodell ist, kommt es natürlich auf einigermaßen abstrakter Ebene zur Anwendung. Am Ende soll es aber Datenschutzverantwortliche verstehen lassen, wie sie den Schutz von Daten während deren gesamter Lebensdauer in Infrastukturen oder Anwendungen einbringen.

Das PMRM ist einzigartig darin, Daten während ihrer gesamten Lebensdauer in den Blick zu nehmen, und definiert die Services, die ihn in komplexen Systemem zu managen helfen. Im Smart Grid zum Beispiel liegt eine Fülle an Teilnehmern, Systemen und Anweisungen vor. Persönliche Daten werden aus vielen Gründen gesammelt, verarbeitet und gespeichert. Das PMRM wird den Enwicklern von Geschäftsprozessen und technischen Voraussetzungen nützlich sein, wenn sich Policies überschneiden. Es kann auch als Grundlage einer standardisierten, gemeinsamen Policy dienen. Im Moment arbeiten wir an einer methodologischen Grundlage, die wir dann auf konkrete Anwendungsfälle übertragen."

Der andere Vorsitzende, Michael Willett, ist ehemaliger Informatik-Dozent, IBM-Security-Architekt und arbeitet heute als selbstädiger Marketing-Consultant im Securitybereich. Er ergänzt: "Datenschutz wird traditionellerweise vom Policy-Standpunkt aus betrachtet, also faire Prinzipien, Gesetze und Regulatorien. Dieser Standpunkt gewährt aber wenig Einsicht darin, wie Datenschutz-Management tatsächlich designt und implementiert wird. Das PMRM überbrückt diese Lücke. Im Kern besteht es aus zehn Services, die man sich als aufrufbare Subroutine vorstellen kann. Sie können angepasst und als Teil einer Datenschutzmanagement-Handlung gestartet werden. Erfahrungen damit sollen mittels konkreter Anwendungsfälle im Rahmen des technischen KOmittees gesammelt werden."

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Bash awk Verständnis-Frage
Josef Federl, 22.07.2017 17:46, 2 Antworten
#!/bin/bash # Skriptdateiname = test.sh spaltennummer=10 wert=zehner awk '{ $'$spaltennummer'...
Bash - verschachtelte Variablenersetzung, das geht doch eleganter als meine Lösung?
Josef Federl, 18.07.2017 20:24, 2 Antworten
#!/bin/bash #Ziel des Skriptes wird sein die ID zu extrahieren hier nur als Consolentest: root@...
Speicherplatzfreigabe mit "sudo apt-get clean" scheitert
Siegfried Böttcher, 16.07.2017 21:16, 2 Antworten
Speicherplatzfreigabe mit "sudo apt-get clean" scheitert, weil aus mir unerfindlichen Gründen im...
Möchte Zattoo vom PC am Fernsehgerät sehen können
Ilona Nikoui, 15.07.2017 18:25, 3 Antworten
Hallo, ich habe mein Fernsehgerät, ein LG 26LE3300 mit dem PC verbunden per HDMI Kabel, wie empfo...
TUXEDO und Hardwareauswahl , fragwürdig / Kritik
Josef Federl, 11.07.2017 12:44, 7 Antworten
Auf tuxedocomputers.com steht: "....Aber wir können auch Linux und das so, dass "einfach" alles...