Hallo Herr Prof. Jürjens. Für den verlässlichen Schutz der persönlichen Daten der Nutzer zu sorgen ist zentrale Aufgabe des Betreibers eines Webdienstes ...

… und diese Aufgabe sorgfältig durchzuführen, liegt gerade bei Webdiensten im Bereich eGovernment oder im Gesundheitsbereich auch in ihrem ureigenen Interesse. Denn der Anbieter muss nicht nur die gesetzlichen Datenschutzrichtlinien erfüllen, sondern er will ja auch erreichen, dass die Nutzer für die er einen Service anbietet, diesen auch akzeptieren. Das Problem dabei ist, dass Datensicherheit relativ ist. Immer wenn personenbezogene und vertrauliche Daten verarbeitet und gespeichert werden, ist 100-prozentige Sicherheit nicht möglich. Wir müssen zum Beispiel unter Berücksichtigung der Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik BSI sorgsam abwägen: zwischen dem notwendigen und größtmöglichen Maß an Sicherheit und den konkreten Vorteilen, die der Service seinen Nutzern bringt.

Aber auch diese Abwägung trifft doch der Anbieter. Welche Rolle spielt dabei der einzelne Nutzer?

Nehmen wir als Beispiel den Austausch medizinischer Daten zwischen Klinik, Fachärzten und Hausarzt. Elektronische Dienste in diesen Bereich können für Patienten und die Ärzte sehr hilfreich und wichtig sein. Ob er einen solchen Service nutzen will, muss letztlich der Patient für sich entscheiden. Damit er diese Entscheidung fundiert treffen kann, benötigt er eine verlässliche Grundlage. Eine Plattform, die genau dies liefert, entwickeln wir derzeit in dem von der EU geförderten Projekt »VisiOn«. Sie kann die Sicherheits- und Datenschutzvorkehrungen eines Webdienstes automatisch überprüfen und dem einzelnen Nutzer transparent und klar verständlich sagen, ob ein Webservice seinen ganz persönlichen Sicherheitsanforderungen genügt ...

Aber das setzt voraus, dass das Programm das individuell gewünschte Maß an Sicherheit des Nutzers auch kennt. Und für einen Laien dürfte es schwierig sein, einen komplexen technischen Sachverhalt wie es Sicherheitsanforderungen sind klar zu artikulieren.

Das ist auch nicht notwendig. Denn dafür haben wir am Fraunhofer-Institut für Software- und Systemtechnik ISST eine spezielle »Dynamic Audit Engine« entwickelt. Sie ermittelt anhand von einer Reihe ganz einfacher, allgemein verständlicher Fragen, welches Sicherheitsniveau der jeweilige Nutzer im Umgang mit seinen persönlichen Daten wünscht. Die Vorgehensweise lässt sich vergleichen mit den bei Geldanlagen üblichen Beratungsgesprächen. Auch hier stellt der Berater eine Reihe von Fragen zur Risikobereitschaft des Kunden. Die Antworten ermöglichen ihm dann, die individuellen Sicherheitsanforderungen zu bestimmen und zu prüfen, ob eine bestimmte Anlageform diesen entspricht. Unsere Security-Plattform geht auf die gleiche Weise vor. Sie bestimmt zuerst die Sicherheitsanforderungen des Nutzers und prüft dann den Webservice, ob er diese Vorgaben erfüllt. Das Ergebnis erhält der Nutzer klar verständlich in einer Visualisierung angezeigt. Nun kann er auf der Basis einer fundierten Sicherheitsprüfung selbst entscheiden, ob er den betreffenden Webdienst nutzen will oder nicht.

Die »VisiOn«-Plattform ist also eine Art elektronischer Sicherheitsberater, der sich zwischen dem Nutzer und einer Webseite mit einem Servicedienst eingeklinkt ...

... und unterstützt somit nicht nur den potentiellen Nutzer eines Webdienstes, sondern insbesondere auch dessen Anbieter. Ihnen ermöglicht die Plattform ihre Sicherheits- und Datenschutzanstrengungen für den Nutzer transparent zu machen und durch deren unabhängige Überprüfung Vertrauen zu schaffen. Die Anbieter können die Security-Plattform direkt in ihre Webdienste integrieren. Dazu spezifizieren sie auf der Plattform die Sicherheitsarchitektur der verwendeten IT-Infrastruktur und richten damit für die Prüfalgorithmen der Plattform eine eigene Security-Schnittstelle ein. Damit ist es den leistungsfähigen Prüfsystemen der Plattform möglich, den Weg und die Verarbeitung der personenbezogenen Daten in Echtzeit mitzuverfolgen und das Funktionieren der Sicherheitsvorkehrungen für den Nutzer ersichtlich nachzuweisen. Zusätzlich bietet die Plattform den Anbietern eine unabhängige Überprüfung ihrer Sicherheitsmaßnahmen bereits bei Entwicklung und Weiterentwicklung ihrer Webdienste. Im Rahmen des Projekts erproben wir gemeinsam mit den Forschungs- und Anwendungspartnern die »VisiOn«-Plattform speziell für den Einsatz bei Behörden und Gesundheitsdienstleistern. Grundsätzlich ist das System aber für jede Art von Webdienst geeignet. Zum Beispiel ist aktuell auch ein Einsatz im Rahmen der aktuellen Fraunhofer Initiative »Industrial Data Space« angedacht. (stw)