Zentrum für Angewandte Rechtswissenschaft (ZAR) - Forschungsgruppe Compliance

AVARE

 

Unser Alltag ist heute von global vernetzten Informations- und Kommunikationstechnologien (IKT) durchdrungen. Besonders die allgegenwärtige und bezahlbare Vernetzung führt dazu, dass Unternehmen, Organisationen und Haushalte permanent online sind und sich das Zusammenleben, die Kommunikation und das Geschäftsleben verändern. Zukünftig werden die Vernetzung und die damit verbundene Komplexität weiter steigen. Daher ist es für Bürgerinnen und Bürger immer schwerer nachzuvollziehen wo und durch wen ihre Nutzerdaten verarbeitet und verwendet werden. Soziale Netzwerke, kommerzielle Rabattsysteme, Smartphones, Cloud-Anwendungen und Ubiquitous Computing führen zu immer mehr Preisgabe personenbezogener Informationen. Diese Informationen werden ohne das Wissen der Bürgerinnen und Bürger von multinationalen Konzernen gesammelt, gespeichert, ausgewertet und verwertet. Bürgerinnen und Bürger können in diesem komplexen Szenario den Schutz Ihrer Daten schwer durchsetzen.

 

Ziel des Projektes ist es daher die Bürgerinnen und Bürger beim Schutz ihrer personenbezogenen Daten durch eine innovative und nutzerfreundliche Software-Anwendung zu unterstützten. Die Anwendung soll es den Nutzern ermöglichen, ihre datenschutztechnischen Präferenzen global und zentral zu bestimmen. Daraufhin werden diese Einstellungen dann auf verschiedene, eigene Hardware (Smartphones, PCs, Fahrzeug, SmartTV, Smart Home, …) und für verschiedene eigene Dienste (z.B. Facebook, …) übernommen und durch technische Maßnahmen (beispielsweise Unterbinden von Datenzugriffen und Tracking) umgesetzt. Wenn eine Anpassung nach Nutzerpräferenzen nicht möglich ist oder im Wiederspruch zu gewünschten Diensten steht, weist die Anwendung den Nutzer darauf hin. Gleiches gilt, wenn Anbieter ihre Datenschutzerklärungen verändern und dadurch bisher durchgesetzte Präferenzen nicht länger verfolgt oder bisher genutzte Dienste nicht länger verwendet werden können. Die Wirkung des Systems, das heißt das erreichte Vertrauensniveau, wird dadurch für den Nutzer transparent.

Es ist wünschenswert, dass die entwickelte Anwendung verschiedene Betriebssysteme und Endgerätetypen mittels einer einheitlichen Code-Basis adressiert. Zudem liegt ein starker Fokus auf der Usability der Anwendung. Daher wird diese kontinuierlich in den jeweiligen Entwicklungsschritten untersucht.

Des Weiteren wird im Rahmen einer interdisziplinären Herangehensweise die Anwendungs-Konzeption von Rechtswissenschaftlern auf rechtliche nationale und internationale Fragestellungen hin wissenschaftlich untersucht. Dadurch soll die Rechtskonformität der Anwendung, insbesondere unter Berücksichtigung der datenschutzrechtlichen Entwicklungen auf europäischer Ebene, bereits in der Entwicklungsphase ermöglicht werden.

Gezähmte DatenkrakenMichael Vogel

Gezähmte Datenkraken

  • Autor:

    Michael Vogel

  • Quelle:

    Bild der Wissenschaft plus

  • Datum: 12/2018
  • Der Konsument wird, oft ungewollt, zur Datenquelle. Karlsruher Wissenschaftler haben eine Software entwickelt, durch die der Nutzer die Kontrolle über seine persönlichen Angaben erlangt

    von MICHAEL VOGEL

    Gut 3,5 Millionen Apps stehen in Googles Play Store bereit. Der Großteil davon kostet – nichts. Genauer: Ihr Download kostet kein Geld. Vielmehr bezahlt der Nutzer mit seinen Daten, weil er einer App Zugriffsrechte erteilt: auf Adressbuch, Kamera und Bildergalerie, Mikrofon, Standortinfos und so weiter. Viele Apps fordern mehr Zugriffsrechte, als sie für ihre Funktion benötigen, denn mit den Daten lässt sich Geld verdienen, teils mehr als mit Hard- und Software. Siehe Google, siehe Facebook, siehe Amazon. Deshalb gilt heute jeder Konsument als Datenquelle.

    DOWNLOAD

    Die Sonderpublikation können Sie hier als PDF herunterladen.

    Sich dem zu entziehen, ist schwer. Doch dass es grundsätzlich geht, ohne zum Totalverweigerer in Sachen Digitalisierung zu werden, haben nun Wissenschaftler des Karlsruher Instituts für Technologie (KIT) und des FZI Forschungszentrums Informatik in Karlsruhe in einem Forschungsprojekt gezeigt. Das Projekt, finanziert durch die Baden-Württemberg Stiftung, trägt den Namen AVARE („Anwendung zur Verteilung und Auswahl rechtskonformer Datenschutzeinstellungen“). Das Ergebnis des Projekts kann sich sehen lassen, denn es vereint auf clevere Weise die Reduktion von Daten mit rechtlicher Sicherheit und intuitiver Bedienbarkeit.

    Sascha Alpers, wissenschaftlicher Mitarbeiter am FZI und einer der Projektbeteiligten, erläutert das Prinzip von AVARE anhand der beliebten Messenger-App Whats-App: „Wir haben einen Weg gesucht, um Anwendungen wie WhatsApp uneingeschränkt nutzen zu können, aber die eigenen Daten nur kontrolliert weiterzugeben.“ AVARE lässt sich dazu auf einem Android-Gerät wie eine App installieren und erzeugt dann einen isolierten Bereich, über den die Kommunikation zwischen Apps und Betriebssystem läuft. Das Prinzip ist in der Softwarewelt etabliert und wird „Sandbox“ genannt. Will WhatsApp auf die Kontakte im Adressbuch zugreifen, erkennt AVARE das und ermöglicht dem Nutzer, nur einzelne Kontakte freizugeben und die Freigabe auch da auf Angaben wie Mobilnummer und Name zu beschränken. „Adresse oder Geburtsdatum zum Beispiel sind ja für einen Chat nicht erforderlich“, sagt Alpers.

    AVARE kann auch die Genauigkeit der Ortsangabe innerhalb eines Radius von mehreren Kilometern verwischen, sodass zwar eine Wetter-App weiterhin verlässliche Voraussagen treffen kann, die Standortinformation aber keine gebäudegenaue Auflösung mehr liefert.

    Nützliche Einstellungen für viele Apps wie Spiele und Messenger

    Um das Einrichten des Programms zu erleichtern, haben die Forscher für Kategorien wie „Messenger“ oder „Spiele“ Zugriffsrechte voreingestellt. „So ist gewährleistet, dass eine App weiter funktioniert“, sagt Alpers. „Aber der Nutzer kann diese Einstellungen jederzeit detailliert an seine Bedürfnisse anpassen.“ Hat er sein Datenschutzprofil für eine Kategorie angelegt, kann er es auf alle anderen Apps dieser Kategorie sowie auf weitere Geräte wie Tablets oder Smart-phones übertragen.

    „Die Synchronisation erfolgt über einen Server des KIT. Die komplette Kommunikation wird dabei auf dem einen Endgerät verschlüsselt und erst wieder auf dem anderen Gerät entschlüsselt“, erklärt Alpers. „Der Austausch des digitalen Schlüssels zwischen den beiden Endgeräten erfolgt direkt von Gerät zu Gerät über einen QR-Code.“ Der Server-Betreiber weiß also über die AVARE-Nutzer nur, dass sie existieren. „Wenn wir eine Anwendung entwickeln, die Datenreduktion ermöglicht, würden wir uns sonst unglaubwürdig machen“, erklärt der FZI-Informatiker.

    Doch AVARE geht noch einen Schritt weiter: „Es gibt natürlich Apps, die so programmiert sind, dass sie ohne pauschal erteilte Zugriffsrechte nicht funktionieren“, sagt Sascha Alpers. „In diesen Fällen spielt AVARE falsche Daten ein, die aber als solche erkennbar sind.“ Die Schnittstelle des Mikrofons erhält ein Rauschen, die der Kamera eine schwarze Fläche oder ein Wolkenbild, die des Adressbuchs Notrufnummern von Feuerwehr und Pannendienst.

    Die App als Download

    Die in dem Forschungsprojekt AVARE entwickelte App ermöglicht eine zentrale Steuerung der Zugriffsrechte auf persönliche Daten. Die Grundlage dafür ist ein Präferenzprofil, das der Nutzer selbst anlegen und verwalten kann.

    Die App ist als Download für Smartphones mit dem Betriebssystem Android (Version 6.X bis 8.X) erhältlich unter: www.avare.app

    Die Wissenschaftler haben vorab analysiert, wie AVARE in Einklang mit EU-Recht aussehen muss. „Es gab bereits technische Lösungen für Datensparsamkeit und Anonymisierung“, sagt Gunther Schiefer. Der Informatiker ist Mitarbeiter am KIT. „Doch die greifen entweder in die Programmsubstanz einer App ein, was Urheberrechte verletzt, oder sie ermöglichen, die Zugriffsrechte nur pauschal zu erteilen oder zu entziehen. Beides wollten wir nicht.“

    Eine dritte Möglichkeit, um den Datenzugriff von Apps zu kontrollieren, sei die Installation eines anderen Betriebssystems: „Das ermöglicht dann zwar die gewünschte differenzierte Rechteverwaltung“, erklärt Schiefer. „Doch die Gewährleistung des Geräts erlischt und der Nutzer benötigt technisches Know-how.“ Die einfache Bedienung sei aber wichtig, um viele Nutzer zu erreichen. „Sonst deinstallieren sie solche Dienste bald.“ Daher haben die Forscher vorab in Tests analysiert, wie Nutzer, die kein technisches Hintergrundwissen haben, mit AVARE umgehen. Die Erkenntnisse sind in Bedienkonzept und Gestaltung der grafischen Oberfläche eingeflossen.

    Zum Projektende haben die Wissenschaftler den AVARE-Code als Open-Source-Software veröffentlicht. Sie hoffen, dass andere ihre Entwicklung aufgreifen. Sie sei zwar ein Forschungsprojekt gewesen. Doch Sascha Alpers ist optimistisch, dass „sich dank Open-Source zumindest einzelne Funktionen in künftigen Anwendungen wiederfinden werden“.