Denys Rudyi - Fotolia

User Managed Access (UMA) holt die Privatsphäre ins Netz

Privatsphäre ist bei vermeintlichen Gratisangeboten und IoT-Lösungen oft nur zweitrangig. UMA gibt den Anwendern die Kontrolle über ihre Daten.

Von Auto bis Zentralheizung – Im Abc des Internet of Things (IoT) ist alles und jeder miteinander vernetzt. Erfolgreiche Hackerangriffe machen dabei eins deutlich: Sicherheit und Privatheit der Anwender werden oft zweitrangig behandelt. Dabei könnten gerade diese beiden Aspekte zu neuen lukrativen Geschäftsmodellen führen.

Daten sind heute so wertvoll wie Öl. Die Anbieter von IoT-Lösungen sind deshalb daran interessiert, die in den Geräten gespeicherten Informationen der Anwender zu besitzen und für ihre Zwecke zu gebrauchen beziehungsweise an Dritte weiterzuleiten. Das widerspricht wohl meist den Interessen der Nutzer. Moderne Sicherheits- und Datenschutzkonzepte minimieren solche Konflikte, indem sie verschiedenen Parteien einen individuell definierten und kontrollierten Zugang zu den Informationen ermöglichen, auf die sie zugreifen dürfen.

So viel Information wie nötig, so wenig wie möglich

Viele Anwender springen bereitwillig auf den IoT-Zug auf, der ihren Alltag in vielerlei Hinsicht vereinfacht beziehungsweise vereinfachen soll. Dabei wollen sie aber gleichzeitig die volle und alleinige Kontrolle über ihre Daten behalten. Ein Paradoxon? Wer als Unternehmen künftig erfolgreich sein möchte, darf jedenfalls nicht nur auf einseitiges Erlangen von Informationen durch Big Data setzen, sondern muss das Vertrauen der Kunden gewinnen. Diese müssen selbst bestimmen können, welche Daten sie freigeben und teilen.

Das muss ohne den Zwang erfolgen, für Online-Transaktionen wie Überweisungen und Vertragsabschlüsse mehr über sich preiszugeben als unbedingt erforderlich – dem Anbieter der Leistungen genauso wenig wie bei einer Datenpanne kriminellen Subjekten. Die Information, dass jemand über 18 und voll geschäftsfähig ist, reicht im Normalfall aus, auch ohne das exakte Geburtsdatum zu kennen. Unternehmen, die dies beherzigen, beugen Datenmissbrauch vor.

Den Idealfall für adäquate Lösungen stellen nutzerzentrierte Life-Management-Plattformen (LMP) dar, die mit dem Prinzip des Minimal Disclosure von persönlichen Informationen operieren. Ein zentraler Aspekt, auf den Kim Cameron in seinem Beitrag The laws of identity bereits 2005 hingewiesen hat: Auf lange Sicht sei diejenige Lösung die erfolgreichste, die die wenigsten identifizierenden Daten abfragt. Sie wäre nach Camerons Ansicht auch wesentlich weniger anfällig für Identitätsdiebstahl: To minimize risk, minimize aggregation. Erste LMP-Ansätze existieren bereits, etwa von Meeco oder der Qiy Foundation. Sie leiden allerdings bislang an der fehlenden Verbreitung und mangelnden Interoperabilität der Lösungen.

UMA sorgt für Interoperabilität

Das von der Kantara Initiative entwickelte offene Protokoll User Managed Access (UMA) macht nun einen großen Schritt, um diese Lücken zu schließen. Es legt die volle Kontrolle über die Daten in die Hände der jeweiligen Anwender – also der Datenbesitzer –, nicht in die des Service-Providers. Die Nutzer allein bestimmen, was mit ihren auf beliebig vielen Servern hinterlegten Ressourcen passiert. Sie entscheiden auch, ob, wie und über welchen Zeitraum sie die Inhalte mit anderen teilen. Diese Regeln werden auf rein diesem Zweck dienenden Autorisierungsservern zentral im Internet hinterlegt und von den Anwendern flexibel verwaltet und angepasst. Bei Bedarf lassen sie sich jederzeit wieder aufheben. Eine Demo der Lösung findet sich bei Youtube.

Wer diesen neuen Standard in seine Geschäftsmodelle integriert, sorgt damit auf lange Sicht für ein auf Vertrauen fußendes Beziehungs-Management, von dem sowohl Unternehmen als auch Kunden profitieren. Erste Hinweise deuten darauf hin, dass Anwender lieber für mehr Kontrolle über ihre Daten Geld bezahlen würden als mit ihren Daten für vermeintliche Gratisangebote.

Neue Geschäftsmodelle mit Sicherheit möglich

UMA schafft auch Raum für neue Geschäftsmodelle, für die Privatsphäre kein Fremdwort ist. Die Kantara Initiative hat hierfür selbst Szenarien und Fallbeispiele mit dem Schwerpunkt auf das Endkundengeschäft veröffentlicht. Genauso sind aber ebenfalls Anregungen für den B2B-Bereich zu finden, so etwa das Beispiel für intelligente Containerkühlung in der Logistik oder Authorization as a Service, um Entwicklern mit verschiedenen Endgeräten übers Web einen zentralen und sicheren Zugang zu Application Interface Programming (APIs) zu ermöglichen. Die Lösung bestimmt, wer auf welche der oft zahlreichen Schnittstellen in Unternehmen zugreifen kann.

„Wer als Unternehmen künftig erfolgreich sein möchte, darf jedenfalls nicht nur auf einseitiges Erlangen von Informationen durch Big Data setzen.“

Martin Kuppinger, KuppingerCole Research

xxx

Außer den von der Kantara Initiative genannten Beispielen sind noch viele weitere Szenarien denkbar. So kann ein Unternehmen etwa über die Cloud Informationen mit Partnern derart teilen, dass nicht der Cloud Service Provider (CSP) die Zugänge auf die Server autorisiert, sondern jeder Partner den Zugriff auf seine eigenen Ressourcen jeweils für die anderen freigibt – oder nicht. Auf diese Weise behält jeder am Netzwerk Beteiligte komplett die Kontrolle über seine Daten.

Fazit

UMA kommt überall dort zum Zuge, wo es darum geht, dass Unternehmen sicher zusammenarbeiten und wo komplexe und sensible Informationen zwischen mehreren Parteien geteilt werden müssen. Aber eben nur diese.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PKI und digitale Zertifikate

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close