Privatsphäre und Sicherheit für Multimediaströme

Inhaltsverzeichnis

1. Einleitung
1.1. Aktuelle Problemfelder und Ziele
1.2. Aufbau der Arbeit

2. Grundlagen
2.1. Privatsphäre
2.1.1. Begriffsbestimmung
2.1.2. Schutz der Privatsphäre
2.1.3. Zusammenfassung
2.2. Multimediaströme
2.2.1. System- und Strommodell
2.2.2. Stromebenen
2.2.3. Transportkanälc und Fehlerverhalten
2.3. IT-Sicherheit
2.3.1. Grundelemente
2.3.2. Gruppen und Hierarchien
2.3.3. Zugriffskontrollc und Informationsfluss
2.3.4. Zusammenfassung
2.4. Weiterentwicklung von IT-Systemen und Anwendungen
2.4.1. Mobile Geräte
2.4.2. Allgegenwärtige Datenverarbeitung
2.4.3. Kontext und Kontextbewusste Systeme und Anwendungen
2.4.4. Intelligente Umgebungen
2.5. Zusammenfassung

3. Analyse
3.1. Szenarien
3.1.1. Vidcokonfcrcnzcn
3.1.2. Medizinische Anwendungen
3.1.3. Positionsdaten
3.1.4. Bewertung der Szenarien
3.2. Privatsphäre und Multimediaströme
3.2.1. Ursprünglicher Dateneigentümer
3.2.2. Persönlich Identifizierbare Informationen
3.2.3. Zwecke und Zustimmung
3.2.4. Kontext
3.2.5. Integrität der Privatsphäre
3.2.6. Entstchungskontcxt und Privatsphärcncpoehcn
3.2.7. Strukturelle Abhängigkeiten und Privatsphärcncpoehcn
3.2.8. Informationsaltcrung, zeitgebundene Vorgabczwcekc und Privatsphä­renobjekte
3.3. Multimediaströme
3.3.1. Struktur und Inhalt
3.3.2. Strcamingfähigkcit/Zuvcrlässigkcit
3.3.3. Universalität
3.3.4. Informationsflusskontrollc
3.3.5. Effizienz
3.3.6. Robustheit
3.4. Verwandte Arbeiten
3.4.1. Platform for Privacy Preferences Projekt
3.4.2. The Enterprise Privacy Authorization Language
3.4.3. Purpose Based Access Control
3.4.4. Zugriffskontrollc in MPEG
3.4.5. Dczcntralizcd Labeling Modell
3.4.6. Informationsraummodcll

4. Zugriffskontrollmodell und Anbindung an Multimediaströme
4.1. Grundelemente
4.1.1. Zwecke, Zweckbaum, Vorgabczwcekc und Label
4.1.2. Zeitgebundene Label
4.1.3. Privatsphärenobjekte
4.1.4. Datcnmodcll und Kontext
4.2. Labeling von Stromobjekten
4.2.1. Bestimmen der tatsächlichen Privatsphärenobjekte
4.2.2. Zuordnung von tatsächlichen Privatsphärenobjekten und Stromobjekten
4.3. Subjekte, Tasks und Zugriffszwecke

5. Privatsphärenpolitik
5.1. Evaluation

6. Zusammenfassung und Ausblick
6.1. Zusammenfassung
6.2. Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

A. Privatsphären Inferenz Algorithmus

B. Beispiel einer Privatsphärenpolitik
B.l. Labelingpolitik
B.2. Zugriffspolitik

Thesen

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Ich kann mit meiner Familie und Freunden über Gott und die Welt reden, aber nicht mit Gott und der Welt über meine engsten Verhältnisse.

Mathias Richling

Danksagung

An dieser Stelle möchte ich mich bei denjenigen Danken, die besonders zum Gelingen die­ser Arbeit beigetragen haben. Als erstes möchte ich meinem Betreuer Dipl.-Inf. Alexander Eichhorn für die aufopferungsvolle Zusammenarbeit, die zahlreichen Diskussionen und seine unendliche Geduld danken. Herrn Prof. Dr.-Ing. habil. Winfried Külmhauser danke ich für die kritischen Fragen und Einwürfe, die mir beim Verständnis des Problcmumfcldcs geholfen haben. Dipl.-Inf. Mario Holbe, der bei vielen Diskussionsrunden beteiligt war, möchte ich für seine oft konträren Einwürfe und Kritiken danken, die oft Anlass für neue Ideen waren. Besonderer Dank gilt meiner Verlobten Kim für ihre Geduld und mentalen Beistand aus der Ferne und meinen Eltern für ihre Zuversicht, das Vertrauen in mich und ihre fortwährende Unterstützung in den letzten .Jahren. Nicht vergessen möchte ich all die fleifbigen Korrektur­lesen-, ohne die wohl so mancher Fehler uncntdcckt geblieben wäre auch ihnen sei hiermit mein Dank gewiss.

1. Einleitung

Der Bereich der privaten Lebensgestaltung wird als besonders schützenswert erachtet und deshalb auch vom Gesetzgeber besonders berücksichtigt. So findet sieh der Gedanke von Privatsphäre und ihrem Schutz bereits im Deutschen Grundgesetz wieder. Exemplarisch dafür sind das Post- und Fcrnmcldcgchcinmis (Artikel 10) und die Unverletzlichkeit der Wohnung (Artikel 13). Sogar in internationalen Abkommen [οοοδϋ], [ftcüS], [еиРЭ-э], [еиРЭТ] findet der Gedanke der Privatsphäre und ihr Schutz Berücksichtigung. Es gibt kulturell geprägte Unterschiede im Verständnis und der gesellschaftlich geforderten und akzeptierten Notwendigkeit von Privatsphäre. Trotzdem lassen sieh wichtige Grundprinzipien definieren, zu denen die Datenvermeidung und die Zweckbindung gehören [FHül].

Mit der Zunahme digitaler informationstcdmisehcr Datenverarbeitungssysteme (im Fol­genden kurz IT-System) und der damit verbundenen Digitalisierung unseres Alltags kommt cs zu einer verstärkten Erfassung, Verarbeitung und Speicherung pcrsoncnbczogcncr Infor­mationen [LM031- Insbesondere die Möglichkeit multimediale. Daten dazu nutzen und auto­matisiert auswerten zu können, führt zu einer wachsenden Gefährdung der Privatsphäre, so wie wir sic heutzutage wahrnchmcn und erwarten vorzufinden.

Die verstärkte Nutzung digitaler multimedialer Daten wird durch eine etwa alle 18 Mo­nate stattfindende Zunahme der Leistungsfähigkeit moderner IT-Systeme, der Verfügbarkeit breitbandiger, weiträumig nutzbarer und insbesondere drahtloser Transportkanälc und des verfügbaren Speicherplatz ermöglicht. Dieser noch heute gültige Zusammenhang wird als ,,Moore’s Law“ bezeichnet |Моо65]. Ein Ende der Entwicklung ist, trotz oft erreicht geglaub­ter Grenzen, noch nicht in Sieht.

Gleichzeitig führt die damit einhergehende Reduzierung des Platzbedarfs zu einem Pro­zess der Miniaturisierung und Integration von IT-Systemen in Alltagsgegenstände. Dadurch nehmen wir ihre Existenz und vor allem das Sammeln von Informationen nicht mehr bewusst wahr fLan05]. Damit verbunden, wird eine ortsunabhängige und in Echtzcit verfügbare Er­stellung komplexer Informationen über Personen und privater Daten möglich. Zusätzlich hat die Qualität der Datenerfassung durch Sensoren und somit auch die Erfassung multimedialer Daten stark zugenommen.

In vielen Ländern wurden nationale Datcnsehutzgcsctzc in den letzten .Jahrzehnten eta­bliert. Allerdings sind viele Menschen nur unzureichend über bestehende Gesetze und ihre Möglichkeiten aufgeklärt. Hinzu kommen stark beschränkte Einflussmöglichkeiten auf die neuen Formen der Datenerfassung, -Speicherung und -Verarbeitung, was wiederum zu einer weiteren Erosion der erreichten Balance zwischen privaten Daten und staatlicher oder ge­schäftlicher Nutzung führt. Denn häufig wird vergessen oder ignoriert, dass gerade multime­diale Daten besonders viele private Informationen über uns enthalten und somit für Andere verfügbar machen. Das beginnt bei der Idcntifizicrbarkcit durch Bilder oder die Stimme und geht hin bis zu Pcrsönlichkcitsanalyscn durch Auswerten der Körpcrspraehc.

Diese veränderten Umweltbedingungen führen somit zu neuen Herausforderungen beim Einsatz von IT-Systemen, die komplexe gesellschaftliche Normen, wie Privatsphäre, berück­sichtigen und bei deren Erhalt und Durchsetzung unterstützend wirken sollen.

1.1. Aktuelle Problemfelder und Ziele

Die traditionell etablierten Ansätze und Modelle der IT-Sichcrhcit beschränken sieh im we­sentlichen auf die Problcmfcldcr der Vertraulichkeit, Integrität und Verfügbarkeit. Diese sind für den Schutz der Privatsphäre wichtig, aber nicht ausreichend, um grundlegende Anforde­rungen der Privatsphäre wie Zweckbindung oder Datcnvcrmcidung umzusetzen.

In den vergangenen .Jahren entstanden deshalb Modelle, die diesen neuen Anforderungen Rechnung tragen und cs ermöglichen, IT-Systeme und vor allem IT-Sichcrhcitssystcmc so zu gestalten, dass sic das Ziel: Schutz der Privatsphäre., stärker unterstützen.

Ein sehr gebräuchliches Vorgchcnsmodcll besteht darin, entweder einer vorgegebenen Pri­vatsphärenpolitik vor der Datenübertragung zuzustimmen oder sic selbst festzulegen. Diese Entscheidung bleibt dann bis zum Ende der Datenübertragung bestehen. Die Autorisicrung von Zugriffen in Sichcrhcitsmodcllcn basiert auf einem ähnlichen Modell. Auch hier erfolgt die Autorisicrung vor dem Zugriff und bleibt für die Dauer des Zugriffs oder zeitlich be­schränkt erhalten. Beim Ausfüllen von Formularen und der Verwaltung von Ressourcen auf Betriebssystemebene mag dieser Ansatz ausreichend viel Flexibilität bei geringem Adminis­trationsaufwand bieten.

Für den Fall der kontinuierlichen Datenerfassung, wie er beim Einsatz von Multimedia­strömen zu beobachten ist, ist dieser Ansatz nicht ausreichend. Die Annahme, dass die Si­tuation, die zu einer bestimmten Entscheidung und somit einer Zugriffslcgitimation oder -Verweigerung geführt hat, für die gesamte Dauer des Zugriffs konstant bleibt, kann für die Privatsphäre nicht aufrecht erhalten werden. Gerade in diesem Umfeld, kann sieh die Situa­tion, im Folgenden als Kontext bezeichnet, durch äußere Einflüsse ändern. Deshalb muss der Kontext ständig beobachtet und die Zugriffsentscheidung darauf aufbauend kontinuierlich überprüft werden. Das ist der eine Aspekt, dem sieh diese Arbeit verstärkt widmen und ihn modellieren wird, um damit eine kontextabhängige Zweckbindung von multimedialen Daten zu realisieren.

Der zweite Aspekt dieser Arbeit wird sieh mit der Dauer der Zweckbindung befassen. Ähnlich, wie bei der Zugriffsentscheidung, bleibt der Zweck, der einem Multimediastrom bzw. seinen Stromobjekten zugeordnet ist, immer gleich, sobald er einmal vergeben wurde. Der Zweck, der bei der Datenerfassung vorlag, muss an den Daten haften und sic ihr Leben lang begleiten. Das wird allgemein auch als Sticky Poi,icy bezeichnet. Diese Anforderung ist sehr sinnvoll, berücksichtigt aber einen elementaren Aspekt, die Informations alterung von erfassten Daten, nicht. Gerade im Zusammenhang mit dem Schutz der Privatsphäre ergeben sieh hier neue Ansatzpunkte, da die gesammelten Daten zwar einer bestimmten maximalen Lebensdauer unterliegen aber zugleich auch in Abhängigkeit von Ihrem Alter zu unterschiedlichen Zwecken genutzt werden sollen. Das hier erarbeitete Modell wird diesem Punkt besondere Aufmerksamkeit widmen.

Selbst wenn all die im Abschnitt zuvor genannten Aspekte gebührend berücksichtigt wer­den, das IT-Systcm eine Zweckbindung vornimmt, der Zugriff nur über zweckentsprechend au­torisierte Tasks [FHül] oder zweckentsprechend berechtigte Personen erfolgt, ist die mensch­liche Komponente immer noch vorhanden und zu berücksichtigen. Die Möglichkeiten am Ende der Verwertungskette, wenn Menschen auf die Daten zugreifen und sic interpretieren, kann und soll das hier vorgcstclltc Modell nicht cinsehränkcn. Niemand, insbesondere kein IT-Systcm, kann verhindern, dass sieh jemand Notizen macht oder, im Fall der hier speziell betrachteten Multimediadaten, die Daten zu einem bestimmten Zweck, für eine konkrete Tätigkeit abruft, sic aber unter anderen Aspekten als den vorgegebenen betrachtet.

IT-Systcmc können bei einer kulturell und gesamtgesellschaftlich geprägten Auffassung von Privatsphäre und deren Schutz nur unterstützend wirken. Damit verbunden, kann die IT-Siehcrhcit auch nur innerhalb eines IT-Systcms¹ zur Sicherung der Privatsphäre beitra­gen. Das hier vorgcstclltc Modell wird daher keinen ausreichenden Schutz oder gar Garantien geben können. Es bietet aber die Möglichkeit, Privatsphäre in Multimediaströmen so abzu­bilden, dass Vorgaben von Personen, über die (multimediale) Daten gesammelt, verarbeitet und gespeichert werden, verfügbar sind. Darauf aufbauend wird cs möglich sein, IT-Systcmc zu entwickeln, die diese Vorgaben berücksichtigen. Somit wird auch eine automatisierte Ver­arbeitung von Multimediadaten möglich, die Anforderungen zum Schutz der Privatsphäre berücksichtigen kann.

1.2. Aufbau der Arbeit

Die Arbeit gliedert sieh in folgende Abschnitte. Kapitel 2 crlcutcrt die Grundlagen der Kon­zepte und Ideen von Privatsphäre, Multimediaströmen und IT-Siehcrhcit. Darauf aufbauend findet in Kapitel 3 eine ausführliche Analyse der Wechselwirkung zwischen Privatsphäre, Multimediaströmen und IT-Siehcrhcit, ihrer Auswirkungen und daraus resultierender An­forderungen an ein Modell zum Schutz von Privatsphäre in multimedialen Datenströmen statt. Das formale Modell wird im Kapitel 4 beschrieben. Anschließend folgt in Kapitel 5 die Beschreibung einer Privatsphärenpolitik auf der Grundlage dieses Modells. Im Kapitel 5.1 findet eine Evaluation des Modells und der damit erreichbaren Ziele statt. Das letzte Kapitel 6 gibt einen Ausblick auf weitere sieh daraus ergebende Möglichkeiten und offene Fragen.

2. Grundlagen

Dieses Kapitel gibt den weniger mit der Materie vertrauten Lesern eine kurze Einführung in die drei miteinander zu verbindenden Teile (Privatsphäre, Multimediaströme und IT- Sichcrhcit) und der ihnen zu Grunde liegenden Ideen und Konzepte. Als erstes wird in Abschnitt 2.1 der Begriff der Privatsphäre erläutert, wie wir damit umgehen und welche ge­sellschaftlichen Erwartungen und Annahmen daraus resultieren, um eine Vorstellung davon zu bekommen, was das eigentliche Sehutzzicl des Modells ist. Der Abschnitt 2.2 befasst sieh mit dem Aufbau, den Anforderungen, dem Einsatz und daraus resultierender Eigenschaften von Multimediaströmen. Die Grundelemente der IT-Sichcrhcit und insbesondere die Möglich­keiten im Bereich der Zugriffskontrollc werden in Abschnitt 2.3 besprochen. Daran schließt sieh im Abschnitt 2.4 eine kurze Betrachtung technologisch anstehender Entwicklungen, die eine Motivation für die Arbeit darstellen, an. Der letzte Abschnitt 2.5 zieht ein kurzes Resü­mee.

2.1. Privatsphäre

Privatsphäre ist ein sehr weites Feld und cs gibt viele zum Teil widersprüchliche Begriffsbe­stimmungen davon. Der folgende Abschnitt soll mehr Klarheit schaffen, somit das Sehutzzicl besser definieren und bei seiner Einordnung helfen.

2.1.1. Begriffsbestimmung

Privatsphäre wird manchmal als Synonym für die Freiheit, nicht gestört zu werden, oder für die Vertraulichkeit benutzt [ВоуОЗ], umfasst aber bei genauer Betrachtung beides. Deshalb stütze ich mich im weiteren Verlauf der Arbeit auf die Definitionen von Boyle [ВоуОЗ] und seiner gemeinsamen Arbeit mit Greenberg. Sic haben sieh in ihrer Arbeit [BG05] ausführlich mit dem Begriff der Privatsphäre und seinen verschiedenen Ausprägungen befasst.

Eine oft benutzte und noch heute aktuelle Definition der Privatsphäre wurde 1967 von Westin definiert:

Privacy is the claim of individuals, groups and institutions to determine for them­selves when, how and to what extent information about them is communicated to others. [Wcs67]

Boyle und Greenberg beziehen sieh ebenfalls darauf. Dabei definieren sie folgende drei we­sentliche Merkmale, mit denen sieh die Privatsphäre beschreiben lässt:

- Einsamkeit beschreibt die Interaktion mit anderen Personen und die Aufmerksam­keit/Bereitschaft· zur Interaktion mit anderen.
- Vertraulichkeit beschreibt den Zugriff anderer auf persönlich identifizierbare Daten (also Informationen über einen selbst) und die Genauigkeit/Qualität dieser Informatio­nen.
- Autonomie beschreibt was und wie man etwas tut (Willensfreiheit) und somit die für andere sichtbar vermittelte Identität.

Alle drei dieser beschreibenden Merkmale sind miteinander verbunden und übersehnei­den sich deshalb. Es handelt sich nicht um orthogonale Eigenschaften. Trotzdem ist diese Unterteilung sinnvoll, wie die folgende detaillierte Beschreibung der einzelnen Merkmale zei­gen wird. .Jedes der Merkmale übernimmt dabei drei mögliche Funktionen. Die Erste ist die Beschreibung des Zustands der Privatsphäre. Die Zweite ist die Möglichkeit diesen Zustand bewusst zu beeinflussen und die dritte Funktion betrifft die Kontrolle, der drei Merkmale und der damit verbundenen Erfassung des Zustands und des sich bewusst seins der momentanen Situation.

Die Einsamkeit (engl, solitude) beschreibt die Interaktion mit anderen Menschen und Si­tuationen. Als zweites Element umfasst sic die Aufmerksamkeit, also das sich bewusst sein über eine stattfindende Interaktion bzw. die Bereitschaft dazu. In diesem Sinne ist sic eng mit der Autonomie verbunden, welche primär die vermittelten Identitäten in solchen Interaktionen beschreibt. Der Begriff der Einsamkeit dagegen widmet sich der Art der Interaktion und ihrer Intensität. Dabei kann man vollkommen allein sein, sich in einem intimen Bereich, etwa mit dem Lebenspartner oder in einer größeren Gruppe von Personen befinden.

In der Menge von Menschen in einer Einkaufsstraßc ist der Grad der Einsamkeit in der Regel recht hoch. Das erklärt sich folgendermaßen: Da die Bereitschaft mit allen oder einigen Individuen dieser Gruppe zu kommunizieren, also zu interagieren, recht gering ist, befindet man sich in einer persönlichen Art von Einsamkeit. Es findet keine soziale Interaktion zwischen den Individuen statt und die Aufmerksamkeit zur Interaktion ist entsprechend gering. Man bemerkt eher selten, ob man von Anderen in einer solchen Menschenmenge beobachtet wird oder nicht. Natürlich hängt das vom Charakter einer Person ab und ist Ausdruck ihres individuellen Umgangs mit der eigenen Privatsphäre und der Anderer. Der Grad der Einsamkeit ist zudem stark an die Eigenschaft der Vertraulichkeit geknüpft.

Vertraulichkeit (engl, confidentiality) Dieser Bereich der Privatsphäre beschreibt, wem man welche Informationen mit welcher Genauigkeit zugänglich macht. Zugleich bietet die Vertraulichkeit einen direkten Bezug zur IT-Sichcrhcit, da Vertraulichkeit dort eine zentrale Rolle spielt und ähnliche Aufgaben hat. Für die Privatsphäre bedeutet Ver­traulichkeit den Zugriff auf persönliche Informationen zu kontrollieren und steuern zu können. Konkret entscheiden wir tagtäglich, wem wir was über uns selbst erzählen und somit Zugriff auf diese Informationen gestatten. Darüber hinaus entscheiden wir auch, wie detailliert und wie korrekt (genau) die weitergegebenen Informationen sind. Den Detaillierungsgrad und die Korrektheit beschreibt man in diesem Zusammenhang auch mit dem Begriff der Genauigkeit. Die angesprochene Korrektheit von Informatio­nen bietet aufbcrdem einen weiteren direkten Anknüpfungspunkt an die IT-Sichcrhcit. Man kann also durchaus zwei verschiedenen Personen die gleiche Information vermit­teln (das gleiche Ereignis, dass man erlebt hat), aber mit unterschiedlicher ciualitativcr Ausprägung, je nach Vertrauensstatus. Das Vertrauen spielt dabei insofern eine wich­tige Rolle, da wir Informationen an andere weiter geben, vertrauen wir darauf, dass diese anderen Personen sic für sich behalten oder nur entsprechend aufbereitet weiter­geben. Zusammen bieten Vertraulichkeit und Genauigkeit der Information die Basis für verschiedene Mechanismen, wie Inhaltskontrollc, Datcnvcrschlcicrung und traditionelle Zugriffskontrollc sowie kryptographischc Techniken, um Privatsphäre zu bewahren.

Autonomie (engl, autonomy) beschreibt die Möglichkeiten der Selbstbestimmung und damit verbunden die beobachtbare Identität, die man anderen und der jeweiligen Umgebung vermittelt. Durch die Einbeziehung der Identität in die Autonomie wird cs nach Boyle und Greenberg ermöglicht, Verhalten, Erscheinungsbild, Eindruck und Sclbstdcfinition abzubilden, zu kontrollieren und dabei sowohl externe als auch interne Eigenschaften, wie Meinungen und Erfahrungen, zu berücksichtigen. Autonomie bedeutet darüber be­stimmen zu können, was und wie man etwas tut. Die Kontrolle über die Autonomie und der Grad der Autonomie ist beschränkt. Zum einen wird sic durch das Recht, wel­ches die Freiheit anderer schützt, eingeschränkt. Zum anderen folgen wir nicht immer eigenen Vorstellungen, sondern auch den Ideen und Vorgaben anderer Menschen und ordnen unsere eigenen dann unter. Darunter fallen beispielsweise die verschiedenen sozialen Rollen und damit verbundene Verhaltensmuster und soziale Stellungen.

Persönlich identifizierbare Informationen Eng verbunden mit der Privatsphäre ist der Begriff der persönlich identifizierbaren Informationen (PII) [KS02]. Darunter versteht man Informationen, die direkt oder indirekt, etwa mit Hilfe von Korrclationsanalyscn, einer na­türlichen Person zugeordnet werden können. Informationen, die durch geeignete Methoden anonymisiert wurden, werden nicht als persönlich identifizierbare Informationen bezeichnet, da sic keiner natürlichen Person zuordenbar sind. Diese Art von Informationen werden auch als anonymisiert bezeichnet. Neben diesen beiden Kategorien gibt cs noch die pscudonymisicr- ten Informationen. Bei diesen sind zusätzliche Informationen, beispielsweise die Zuordnung eines Pseudonyms zur realen Person notwendig, um sic zu identifizieren. Diese Unterschei­dung ist relevant, da sic cs ermöglicht zu differenzieren, wann eine Verletzung der Privat­sphäre möglich ist und wann sic nicht auftreten kann. An einigen Stellen der Arbeit wird der Begriff persönliche. Daten benutzt, dieser ist als Synonym für den Begriff der persönlich identifizierbaren Informationen zu verstehen.

Alltäglicher Umgang mit der Privatsphäre In unserem täglichen Umgang miteinander kön­nen wir verschiedene Möglichkeiten nutzen, um den Zugang zu persönlichen Informationen offener oder restriktiver zu gestalten. Das fängt bei bauhehen/physisehen Begrenzungen an und bewegt sieh über gesellschaftlich etablierte Umgangsformen bis hin zu formalen Bestim­mungen und Anonymität. Typische physische Begrenzungen finden wir in Form baulicher Gestaltung von Räumen und Türen als akustische und optische Barrieren, zu denen auch Vorhänge, Gardinen und .Jalousien oder die Art der Kleidung zählen. Bei den Höfliehkeits- rcgcln handelt cs sieh um erlernte und gesellschaftlich etablierte Verhaltensweisen wie das Anklopfcn, sprachliche Floskeln in Form von: Sowas fragt man nicht!, oder in Form von peinlichem Berührtsein [PreüS].

Generell kann man den Informationsfluss der eigenen persönlich identifizierbaren Informa­tionen sehr gut steuern, da er primär die Personen in der jeweiligen unmittelbaren Umge­bung betrifft und man die baulichen Gegebenheiten bewusst oder unbewusst berücksichtigt. Außerhalb des privaten Bereichs haben sieh in vielen Berufsgruppen, die mit persönlichen Daten von Personen arbeiten, spezielle Gchcimhaltungsgcbotc entwickelt, die den Umgang mit persönlichen Daten regeln. Diese werden oft als Schweigepflicht bezeichnet. Zu den be­kanntesten Berufsgruppen zählen dabei medizinisches Personal, Rechtsanwälte, Geistliche, Bankangestellte und Mitarbeiter von Behörden. Teilweise dürfen sic sieh auch nicht unter­einander über die gewonnenen Informationen austausehen.

2.1.2. Schutz der Privatsphäre

Dass cs sieh bei den vorangegangenen Betrachtungen nicht nur um akademische und philo­sophische Betrachtungen handelt, kann man ganz klar an der nationalen, europäischen und internationalen Gesetzgebung sehen. Diese Gesetzgebungen betrachten Privatsphäre nicht einfach als ein gesellschaftliches Phänomen, sondern beschreiben sic als ein Persönlichkeits- reeht. Darüber hinaus haben internationale Organisationen diese Ideen ebenfalls aufgegriffen und in Form von Abkommen und Verordnungen manifestiert.

Informationeile Selbstbestimmung Westin [Wcs67] hat bereits 1967 postuliert, dass das Recht auf Privatsphäre einen gewissen Grad an Kontrolle über Informationen, die andere über einen selbst sammeln und verbreiten, und das Recht, die Korrektheit dieser Informationen zu überprüfen, beinhaltet [ВоуОЗ]. Die Idee der informationellen Selbstbestimmung hat sieh tatsächlich aber erst in den letzten .Jahrzehnten zusammen mit der zunehmenden Computeri­sier ung unserer Umwelt entwickelt und etabliert. Als grundlegend kann im deutschsprachigen Raum das Volkszählungsurtcil des Bundesverfassungsgerichts von 1983 gesehen werden, in dem das Recht auf informationelle Selbstbestimmung fest geschrieben wurde. Die informatio­nelle Selbstbestimmung erweitert die Idee der generellen Selbstbestimmung des Individuums, um die Kontrolle über Informationen über sieh selbst zu behalten, die hier synonym als per­sönlich identifizierbare Informationen eingeführt wurden und kommt im Datcnschutzrccht, dem Postgeheimnis, der Datcnvcrschlüssclung oder dem anonymisierten Datenverkehr zum Ausdruck [PreOä].

Vertrauen Vertrauen in Normen und Regeln und das Befolgen dieser durch unsere Mit­mensehen ist eine wichtige Grundlage unseres täglichen Zusammenlebens. Beispielsweise fah­ren Autos immer rechts (in Deutschland) auf Straßen und Fußgänger bewegen sieh üblicher Weise auf Fußwegen. Niemand hält einen Autofahrer davon ab, plötzlich auf den Fußweg zu fahren oder einen Fußgänger, plötzlich vor ein Auto auf die Straße zu springen. Nur das Vertrauen in das erwartete Verhalten (das unter anderem durch Androhung von Strafen und in das Vertrauen der Durchsetzung dieser Strafen gefördert wird) der anderen Personen, lässt das System ohne größere technische Maßnahmen tagtäglich funktionierenfLanüö].

Der alltägliche Umgang mit persönlichen Informationen beinhaltet ebenfalls den Aspekt des Vertrauens. Dabei vertraut man in den Empfänger und das die Informationen transpor­tierende System. Durch die Weitergabe von persönlichen Daten gehen wir tagtäglich eine bewusste oder unbewusste Gefährdung unserer Privatsphäre ein. Das tun wir, weil wir ent­sprechende Gegenleistungen von anderen Menschen oder InstitutioncnfLanOä] dafür erwarten. Darüber hinaus spielt das Vertrauen in den Kommunikationspartner, an den man die Daten weitergibt, eine wichtige Rolle. Das betrifft insbesondere die Qualität der übermittelten Da­ten [ВоуОЗ]. Empfängern, denen wir besonders vertrauen oder von denen wir einen großen Nutzen erwarten, werden mit korrekten und detaillierteren Informationen versorgt, bei an­deren sind die weitergegebenen Informationen weniger genau oder nicht so detailliert. Wir vertrauen also darauf, dass Dritte sorgsam wie von uns gewünscht mit ihnen anvertrauten Informationen über uns umgehen.

Dieses Vertrauen schließt auch eine eventuelle Weitergabe von persönlich identifizierbaren Informationen an weitere Personen oder die Nutzung von anonymisierten Daten mit ein. Im Fall der Nutzung anonymisierter Daten vertrauen wir als ursprüngliche Dateneigentümer darauf, dass der Prozess der Anonymisierung sicher ist, also keine Verknüpfung mit einer natürlichen Person, mehr möglich ist.

2.1.3. Zusammenfassung

Zusammenfassend kann die unmittelbare Privatsphäre als ein vom Individuum wahrgenom­mener, beeinflusster und kontrollierter Zustand beschrieben werden. Der Zustand Privat­sphäre ist stark von den zeitlich veränderbaren Faktoren der mittelbaren und unmittelbaren Umgebung abhängig. Das betrifft den Ort der Datenerfassung inklusive seiner architektoni­schen Gestaltung und daraus ableitbarer Stufen der Privat heit, die anwesenden Personen und ihre soziale Stellung zueinander, die Art der ausgeübten Tätigkeit und Aufmerksamkeit der anwesenden Personen bezüglich ihrer Interaktion untereinander und mit ihrer Umgebung und der damit verbundenen, beabsichtigten oder unbeabsichtigten Weitergabe von Informationen. Vor allem aber betrifft cs die Möglichkeit, die drei genannten Eigenschaften Einsamkeit, Ver­traulichkeit und Autonomie und ihre Ausprägungen in gesellschaftlich definierten Grenzen selbst bestimmen und kontrollieren zu können.

Risiken bei der Weitergabe von persönlich identifizierbaren Informationen treten insbesonde­re dann auf, wenn sic unsere direkte Kontrollsphärc verlassen.

In Abbildung 2.1 wird dieser Zusammenhang grafisch veranschaulicht. Eingebettet in eine konkrete Umgebung und Situation, den Kontext (siehe Abschnitt 2.4.3), bewertet der ur­sprüngliche Dateneigentümer zunächst diesen Kontext und darauf basierend nimmt er die Einstufung der Informationsempfindlichkeit (in Bezug auf seine Privatsphäre) vor. Die Wei­tergabe an einen Informationsempfänger ist dabei abhängig vom erwarteten persönlichen Nutzen und einer Abwägung durch damit verbundene Risiken. Die Wahrnehmung und das Vertrauen in den angemommenen Informationsempfänger, die Daten im Sinne des ursprüngli­chen Datcncigcntümers zu nutzen, spielt dabei eine wichtige Rolle. Dabei muss berücksichtigt werden, dass die Wahrnehmung der verschiedenen Aspekte nicht immer mit der Realität kor­reliert. Trotzdem ist die Wahrnehmung und die darauf beruhende Bewertung des Kontext die entscheidende Grundlage, für das erwartete Verhalten des Informationsempfängers und der Kosten/Risiko-Abwägung. Werden die Erwartungen nicht erfüllt, kann das zu einem Vertrau­ensverlust in den Informationsempfänger, das, die Informationen verarbeitende, technische System oder die Organisation, die die Anwendung anbietet, führen [ASül].

2.2. Multimediaströme

Ein Multimediastrom ist eine geordnete kontinuierliche Abfolge typisierter Objekte. Zwischen den Objekten können Abhängigkeiten bestehen. Über den kontinuierlichen Datenfluss inncr-

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.1: Zusammenhang zwischen Kontext·. Informationen und ihrer Weitergabe nach, fASOlJ

halb eines solchen Stroms werden Informationen zwischen einem Sender und möglicherweise mehreren, aber mindestens einem Empfänger ausgetauscht [НоЮЗ].

2.2.1. System- und Strommodell

Die abstrakte schematische Darstellung in Abbildung 2.2 stellt eine geordnete Abfolge von typisierten Stromobjekten und somit einen Teil eines Multimediastroms dar. Die Pfeile be­schreiben Abhängigkeiten zwischen den Objekten. Abhängigkeiten in einem Strom können transitiv sein. Beispielsweise ist Objekt 05 von den Objekten 04 und Ol abhängig, was durch entsprechende Pfeile visualisiert ist. Das Objekt 07 existiert noch nicht und ist des­halb grau dargestellt, hängt aber von Objekt 06 ab. Die Abhängigkeiten der Objekte werden durch ihre Typen und das zugehörige Typsystem bestimmt [Вгй05].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.2: Abstraktes Modell eines Multimediastroms

Die Typen sind im Strom durch T 1,T2 und T3 dargestellt. Die Typhierarchie wird in Abbildung 2.3(b) dargestellt. Dabei ist Typ T2 топ T1 und T3 топ T2 und T1 abhängig.

Die Bezeichnung SE im Strommodell steht für Strukturepoche und kennzeichnet alle Objekte,die zu einer Instanziicrung der Typhicrarchic gehören.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.3: Übersicht über Typsystemzusammenhänge

Die drei Beobachter (B1,B2 und B3) nehmen den Strom aus der Perspektive der durch Pfeile gekennzeichneten Beobachtungspunkte wahr. Dabei entspricht Beobachter B1 dem Erzeuger des Stroms und B2 und B3 zwei möglichen Empfängern.

Beobachter B1 betrachtet die Erzeugung des Stroms. Zum Zeitpunkt t wurden also be­reits sechs Objekte erzeugt und versandt und vom Beobachter B1 gesehen. Das 7. steht als nächstes an. Beobachter B2 hat bereits die Objekte 01 bis 04 gesehen und wird demnächst 05 sehen können. Beobachter B3 sieht gerade Objekt 02.

In Abbildung 2.4 ist eine alternative Darstcllungsform eines Multimediastroms zu schon. In dieser Darstcllungsform sind die Objekte, ihre hierarchischen Abhängigkeiten und die Strukturepochen deutlich zu erkennen. Die gestrichelte Linie zwischen O5 und 06 stellt den Fall eines bidirektional abhängigen Stromobjektes dar, dessen zweite Abhängigkeit in einer nachfolgenden Strukturepoche kodiert wird. Dieser Spezialfall wird in der Analyse im Abschnitt 3.2.7 gesondert besprochen. Ebenfalls in dieser Grafik zu sehen, ist die Möglichkeit Stromobjekte in verschiedenen Ebenen zu transportieren.

2.2.2. Stromebenen

Moderne Multimediaströme bieten die Möglichkeit, Inhalte so zu kodieren, dass nicht alle Stromobjekte übertragen und dekodiert werden müssen, um ein vollständiges Bild zu erhal­ten. Stattdessen kann cs mehrere Ebenen im Strom geben, die je nach verfügbarer Bandbreite übermittelt werden. .Jeder Datenstrom besteht aus mindestens einer als Basisebene (BE) be- zeidmeten Ebene und kann mehrere Erweiterungsebenen (ЕЕ) besitzen. Erweiterungsebenen dienen der Verbesserung der zeitlichen und örtlichen Auflösung sowie der Verringerung des Signal-Rausch-Abstandcs. Dabei liefern die Objekte in einer Erweiterungsebene zusätzliche

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.4: Alternative Darstellung eines Multimediastroms mit Strukturepochen und Strome­benen.

Informationen zu denen der Basisebene. Die Basisebene kann unabhängig von Erweiterungs­ebenen dekodiert und genutzt werden. Erweiterungsebenen können entweder das gesamte Objekt der Basisebene erweitern oder nur Teile davon. Dieser Sachverhalt ist in Abbildung 2.5 dargestellt. Diese Option gilt auch für freigeformte Vidcoobjcktc.

2.2.3. Transportkanäle und Fehlerverhalten

Der Austausch von Informationen durch Multimediaströme geschieht über Rcdmcrgrcnzcn hinweg. Die dabei eingesetzten Transportkanälc besitzen Parameter wie Bandbreite und mög­liche Fehlcrkorrckturmcehanismcn. Aufbcrdcm unterliegen Kanäle äußeren Einflüssen, etwa der Vcrbindungsciualität bei funkbasierten Verbindungen oder der momentanen Kanalaus­nutzung.

Transport kanal

In Abbildung 2.6 ist das abstrakte Modell eines Kommunikationskanals zu schon. Dabei wer­den Daten durch den Kanal vom Sender zum Empfänger transportiert. Störungen verändern Daten oder fügen zusätzliche Daten in den Strom ein, während Verluste dazu führen, dass nicht alle abgcsehiektcn Daten beim Empfänger ankommen.

Fehlerverhalten

Der Transport über verlustbehaftete Transportkanälc erfordert deshalb Maßnahmen, um fest­stellen zu können, ob alle Daten vollständig und unverändert beim Empfänger angekommen

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.5: Stromebenen und Erweiterungsvarianten nach /PE02b]

sind. Dazu kann ein Kanal selbst entsprechende Fchlcrkorrckturmcchanismcn anbieten, die Verluste und Veränderungen erkennen und Objekte gegebenenfalls neu anfordern. Das De- tckticrcn von Daten ver ander ungen während des Transportes kann durch kryptographisehc Hashvcrfahrcn oder einfache Prüfsummenmeehanismen realisiert werden. Kryptographisehc Hashvcrfahrcn besitzen, zusammen mit einer entsprechenden Infrastruktur, dabei den Vorteil auch böswillige Datenveränderungen zuverlässig fest st eilen zu können. Prüfsummenverfahren können zum Erkennen von nicht böswillig herbeigeführten Veränderungen der transportier­ten Daten genutzt werden, bieten aber keinen Schutz gegen böswillige Datenänderungen, da ein potentieller Angreifer eine korrekte Prüfsumme der veränderten Daten selbst erstellen kann.

Für Anwendungen von Multimediaströmen ergibt sieh die Notwendigkeit, mit Verlusten von Stromobjekten rechnen und entsprechend darauf reagieren zu müssen. Multimediaströme werden bereits so konstruiert, dass sic trotz Objektverlusten noch verwertbare Informatio­nen für eine Anwendung liefern. Diese Eigenschaft wird als Robustheit bezeichnet, das heißt, einzelne Stromobjekte können beim Transport verloren gehen, zu spät eint reffen oder be­

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.6: Modell eines Kommunikationskanals nach /BrüOöJ

wufbt entfernt werden, ohne dass der gesamte nachfolgende Strom unbrauchbar wird [НоЮЗ]. Der Verlust einzelner Objekte hat unterschiedlich starke Auswirkungen auf die Nutzbarkeit der nachfolgenden Stromobjcktc. Die Auswirkungen eines Objcktvcrlustcs werden durch die strukturelle Position eines Objektes und der Anzahl weiterer, von diesem Objekt abhängiger, Objekte bestimmt. Objcktvcrlustc können sieh in zeitlicher und räumlich er Richtung auf andere Objekte und die Nutzbarkeit der darin enthaltenen Informationen auswirken. Geht etwa Objekt 01 aus Abbildung 2.4 verloren, können aus den Objekten 02,0з,04 und O5 keine vollständigen Informationen mehr dekodiert werden, da die Basisinformationen aus Objekt Oi fehlen.

2.3. IT-Sicherheit

IT-Sichcrhcit befasst sieh mit der Absicherung von IT-Systcmcn und der durch sic verarbei­teten Daten. Generell ist die IT-Sichcrhcit dabei in ein Gesamtkonzept von Risikoanalvsc und Siehcrhcitsmanagcmcnt eingebettet. Das umfasst entsprechende Prozeduren und organi­satorische Vorkehrungen. Die IT-Sichcrhcit lässt sieh klassisch in drei Kcrnbcrciehc eint eilen [Gol99]:

Vertraulichkeit: Schutz vor nicht autorisierter Preisgabe von Informationen.

Integrität: Verhindern vor nicht autorisierter Veränderungen von Informationen.

Verfügbarkeit: Sichcrstcllcn der Verfügbarkeit von Informationen und Betriebsmitteln.

Eine Definition: „Computcrsichcrhcit befasst sieh mit dem Verhindern und Erkennen von nicht autorisierten Aktionen der Benutzer eines Computersystems.“ Eine Möglichkeit dieses Ziel zu erreichen, besteht im Einsatz von Zugriffskontrolle, die auf der Basis von Sicherheits- Politiken Entscheidungen über die Zulässigkeit von Aktionen identifizierter Benutzer treffen kann.

Neben weiterem Bereichen wie Vertrauen, ist in den letzten .Jahren die Privatsphäre ver­stärkt in das Interesse der Forschungsgemeinschaft gerückt.

Privatheit Schutz der Privatsphäre durch Verhindern von nicht autorisierter Nutzung oder Weitergabe persönlich identifizierbarer Informationen.

Der Begriff der Privatheit führt aber oft zu starken Assoziationen mit dem Begriff der Ver­traulichkeit, was das Problemfeld der Privatsphäre, ihrem Schutz und ihrer Integrität aber nur unzureichend gerecht wird. Deshalb wird in der Arbeit bevorzugt von Schutz oder Inte­grität der Privatsphäre an Stelle von Privatheit gesprochen. Die Arbeit wird sich primär mit der Thematik der Zugriffskontrolle und im speziellen der Zugriffskontrolle zum Zweck des Schutzes von Privatsphäre befassen.

2.3.1. Grundelemente

Zunächst werden elementare Begriffe der IT-Sichcrhcit definiert:

Objekte sind passive Elemente in einem Computersystem. Für Objekte kann man beschrei­ben, was mit ihnen geschehen darf. Beispiele dafür sind: es wird ausgeführt, betrachtet, versandt, kopiert, verändert, erstellt oder gelöscht.

Subjekte sind aktive Elemente in einem Computersystem. Für Subjekte kann man beschrei­ben, welche Operationen ein Subjekt auf einem Objekt ausführen darf.

Operationen beschreiben mögliche Aktionen von Subjekten auf Objekten. Beispiele hierfür sind Lese- und Schreibrechte. Erlaubte und verbotene Operationen werden oft in Form von Rechten beschrieben. Alternativ dazu können auch konkrete Objektmanipulatio­nen, an Stelle von Rechten, vergeben werden. Die genaue Ausprägung und Anzahl der Operationen und Rechte ist von Modell zu Modell verschieden, vom konkreten Anwen­dungsfall abhängig. Viele Modelle ermöglichen die Angabe von positiven und negativen also explizit erlaubten oder verbotenen Operationen.

Ein Referenzmonitor ist ein Zugriffskontrollkonzept, bei dem eine abstrakte Maschine alle Zugriffe von Subjekten auf Objekte bewertet [Gol99j.

Eine Sicherheitspolitik ist eine Strategie, die die Erfüllung der Sicherheitsanforderungen an ein IT-Svstem verfolgt fKüh99].

Ein Sicherheitsmodell ist eine präzise, in der Regel daher formale Beschreibung der Sicher­heitspolitik eines IT-Svstems fKüh99].

Label beschreiben Zusatzinformationen die mit Subjekten oder Objekten verknüpft sind und bei einer Zugriffsentscheidung berücksichtigt werden. Die Vergabe von Lab ein kann in vielfältiger Art und Weise, etwa statisch oder dynamisch in Abhängigkeit bestimmter Umgebungsbedingungen erfolgen. Das Aussehen und die möglichen Werte der Label sind vom Sichcrhcitsmodcll und der jeweiligen Sicherheitspolitik abhängig.

Die Differenzierung in aktive und passive Elemente eines Computer systems erfolgt nicht dauerhaft. Vielmehr kann ein Element sowohl Subjekt als auch Objekt in Abhängigkeit der Situation der Zugriffsanfrage sein. Ein Programm, das als Datei im Dateisystem liegt wird beim Start als Objekt behandelt. Später, während cs ausgeführt wird, kann cs ein aktives Element des Computersystems darstellen und selbst auf Objekte zugreifen.

Das grundlegende Prinzip einer Zugriffskontrollc ist in Abbildung 2.7 zu schon. Ein akti­ves Subjekt stellt eine Zugriffsanfrage, um mit einer dabei angegebenen Operation auf ein passives Objekt Zugriff zu erlangen. Die Zugriffsanfrage wird von einem Referenzmonitor entweder zuglassen oder verhindert. Der Referenzmonitor trifft diese Entscheidung auf Ba­sis einer Sicherheitspolitik, die entsprechend eines Sichcrhcitsmodcllcs erstellt wurde. Einige grundlegende Modcllansätzc werden in Abschnitt 2.3.3 vorgcstcllt.

Beziehung zwischen Daten und Informationen

Ein Computersystem arbeitet immer mit Daten. Informationen erhält man erst durch die Interpretation, der sic repräsentierenden Daten. Sind die Daten nicht durch das Computer­system selbst oder den Nutzer interpretierbar, enthalten sic für ihn auch keine verwertbaren Informationen. Diese Tatsache wird beispielsweise in der Kryptographie genutzt. Dort wer­den Daten durch mathematische Verfahren so umgeformt, das sic nur mit Kenntniss sehr speziellem Wissens, interpretierbar sind. Die Informationen sind dadurch vor unerwünschter Nutzung durch nicht autorisierte Subjekte geschützt.

2.3.2. Gruppen und Hierarchien

Gruppen und Hierarchien auf Gruppen spielen eine wichtige Rolle beim Umgang mit großen veränderlichen Mengen an Subjekten und Objekten. Diese werden im später vorgcstclltcn Modell Berücksichtigung finden. Als Grundlage dazu dienen die Ausführungen in [Gol99] und [PfiOO].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.7: Grundlegendes Modell der Zugriffskontrolle [Gol99]

Gruppen Subjekte und Objekte können in Gruppen zusammengefasst werden, was den Umgang und vor allem die Administration erleichtert. In praktischen Systemen werden oft Gruppen an Stelle konkreter Subjekte und Objekte betrachtet. Die Rechte/Aktivitäten wer­den dann jeweils den Gruppen zugordnet. Einzelne Subjekte oder Objekte erhalten ihre Eigenschaften und Rechte dann durch die entsprechenden Gruppcnmitglicdsehaftcn. Bei Ob­jekten bezeichnet man Gruppen oft als Typen, bei Subjekten als Rollen. Letztendlich dienen Gruppen der Einordnung von Elementen mit gleichen Eigenschaften und der Vereinfachung der Administration.

Ein einfaches gruppcnoricnticrtcs System findet sieh in unixartigen Betriebssystemen wie­der. Dort werden Zugriffsrechte durch Zugriffskontrolllistcn (AGL) an Dateien geknüpft. Da­bei werden nicht einzelne Subjekte, sondern ’Typen’ in den ACLs genutzt. Es gibt drei Arten von Typen: Eigentümer, definierte Gruppen und Welt. Eigentümer sind ein konkretes Sub­jekt mit der Eigenschaft, das Objekt zu besitzen. Welt entspricht allen im System bekannten Subjekten. Daneben gibt cs noch die Möglichkeit Subjekte definierten Gruppen zuzuordnen. Dabei erhält jedes Subjekt einer Gruppe genau die Rechte, die der Gruppe in der AGL eines Objektes zugewiesen wurden, wenn cs Mitglied dieser Gruppe ist. Über diese Zuordnung kann dann ein Zugriff, legitimiert oder verweigert werden.

Gemeinsame Gruppen Neben der separaten Gruppierung von Subjekten und Objekten, ist cs möglich, beiden Element arten jeweils die gleiche Gruppe zuzuordnen. Das ist z.B. im Fall von Abteilungen (Compartments) oder auch bei Sichcrhcitsdomäncn der Fall. Sowohl Subjekte als auch Objekte sind der gleichen Domäne oder Abteilung zugeordnet, wodurch bestimmte Annahmen über diese Elemente gemacht werden können. Durch die Zuordnung beider Elemente zu einer Gruppe, kann dann eine Aussage darüber getroffen werden, ob ein konkretes Objekt о und ein konkretes Subjekt s in der gleichen Gruppe sind oder nicht (siehe Abbildung 2.8).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2.8: Gruppen als Entscheidungsgrundlage nach [Gol99]

Hierarchien Gruppen bieten bereits eine gute Abstraktionsmögliehkeit, aber sie ist nicht immer ausreichend. Eine weitere Vereinfachung der Administration und Handhabung kom­plexer Gruppenbeziehungen kann man mit Hilfe von hierarchischer Anordnung der Gruppen (oder allgemein Elementen einer Menge), erreichen. Dabei sind die unterschiedlichsten Bezie­hungen innerhalb solcher Hierarchien denkbar (dominiert hängt-ab-von, ist-ein, handelt-für). Diese sind von Modell und Definition innerhalb einer konkreten Implementierung eines Siehcr- hcitsmodclls abhängig. Auch Rechte und Aktivitäten lassen sieh in Hierarchien darstellen, was selten genutzt wird. Häufiger werden Objekte und Subjekte so angeordnet, da diese Strukturen auch in der Realität vorzufinden sind.

2.3.3. Zugriffskontrolle und Informationsfluss

Im folgenden werden kurz einige grundlegende Ansätze und Modelle betrachtet. Im Bereich der Zugriffskontrollc kann man zwei grundlegende Paradigmen, die wahlfreien und die obli­gatorischen Ansätze, unterscheiden.

Wahlfreie Zugriffskontrolle

Bei wahlfreien Modellen gibt cs das Konzept des Eigentümers von Objekten. Dieser hat besondere Rechte, nämlich selbst Rechte für die im Besitz befindlichen Objekte vergeben zu dürfen.

Obligatorische Zugriffskontrolle

Bei obligatorischen Ansätzen werden die Möglichkeiten der einzelnen Nutzer des Systems, in die Rcehtcvcrgabc cingrcifcn zu können, stark eingeschränkt. Stattdessen werden von einer zentralen Sicherheitspolitik Eigenschaften und Möglichkeiten von Objekten und Subjekten vorgegeben. Dieses Paradigma ist oft in Informationsflussorientierten Modellen zu finden.

Zugriffsmatrix

Die einfachste und grundlegendste Form der Zugriffskontrollc wird mit der Zugriffsmatrix realisiert. Es gibt eine Menge an Subjekte, Objekten und Rechten. Die Zugriffsmatrix bietet die Möglichkeit sowohl wahlfreie als auch obligatorische Zugriffskontrollc zu unterstützen.

Bell LaPadula

Dabei werden durch eine Labclingfunktion sowohl Objekte als auch Subjekte mit eindimen­sionalen Labein verschon. Zwischen den Elementen der Label gibt cs eine Dominanzrcla- tion < (labeli < label2 < labels) die eine Halbordnung zwischen den Elementen bildet, welche bezogen auf den Informationsfluss eine totale Ordnung darstellt. Ein lesender Zu­griff auf ein Objekt wird immer dann gewährt, wenn das Subjekt das Objekt dominiert label(o) < label(s). Ein schreibender Zugriff ist dann gestattet, wenn das Objekt das Subjekt dominiert label(o) > label(s) [BL73]. Compartments bilden eine Erweiterung des Modells.

2.3.4. Zusammenfassung

Es wurden die Grundelemente der IT-Sichcrhcit besprochen und wichtige Ansätze zur Zu­griffskontrolle und der Kontrolle des Informationsflusses betrachtet.

2.4. Weiterentwicklung von IT-Systemen und Anwendungen

Seit der Einführung des Personal Computers, heutzutage einfach als PC bezeichnet, ist die Datenverarbeitung und die dazu notwendigen Geräte aus den großen Rechenzentren bis in die Welt des Heimanwenders vorgedrungen. Diese Entwicklung ist aber noch lange nicht abgeschlossen. Längst haben sieh neue Formen, wie mobile. Geräte, und damit verbunden neue Anwendungsszenarien wie Intelligente. Umgebungen und der Begriff der Allgegenwärtigen Datenverarbeitung etabliert. Diese spielen im Spannungsfeld der digitalen Datenverarbeitung und Privatsphäre eine wichtige Rolle und sollen hier kurz erläutert werden.

2.4.1. Mobile Geräte

Als mobile. Geräte, bezeichnet man im Zusammenhang mit Datenverarbeitung autonome IT- Systcmc, die unabhängig von ortsgebundenen Rcsourccn wie Energie oder Netzanbindungen, Daten erfassen, verarbeiten und speichern können. In diese Kategorie fallen Mobiltclcfonc, PDAs (Personal Desktop Assistants), Laptops aber auch Bluctooth-GPS-Empfänger, um nur einige Beispiele bereits heute weit verbreiteter Systeme zu nennen.

2.4.2. Allgegenwärtige Datenverarbeitung

Heutzutage begleiten bereits viele mobile Systeme den Menschen durch seinen Alltag. Noch findet der Informationsaustauseh zwischen solchen Systemen nur halbautomatisch und in der Regel mit Nutzcrintcraktion statt. Die zunehmende Verfügbarkeit mobiler Geräte und fort­schreitende Miniaturisierung führt zu einer stärkeren Integration in alltägliche Gegenstände. Dort nimmt man diese Geräte und ihre Fähigkeiten nur noch schwach bis gar nicht wahr. Da diese integrierten Systeme häufig nur noch indirekt über Anwendung, der Komplexität dem Nutzer aber nicht ersichtlich ist, genutzt werden, müssen und sollen diese Systeme zunehmend unabhängig vom Besitzer und Nutzer eigenständig miteinander kommunizieren und Daten austauschen, um ihre Funktion erfüllen zu können. Die Kombination dieser beiden Erschei­nungen, Miniaturisierung und Integration, sowie autonomes Agieren und Datenaustauschen, wird als Allgegenwärtige. Datenverarbeitung bezeichnet (im Englischen oft Pervasive Compu­ting genannt). Dabei tritt die Fähigkeit, Daten zu sammeln, auszuwerten und miteinander auszutauschen stark in den Hintergrund des eigentlichen Nutzens des Alltagsgcgcnstandes.

Im Zusammenhang mit mobilen Geräten und allgegenwärtiger Datenverarbeitung werden oft Begriffe wie Kontext und kontext-bewußte. Anwendungen und IT-Systcmc beschrieben.

2.4.3. Kontext und Kontextbewusste Systeme und Anwendungen Kontext

Eine mögliche, recht umfassende, Definition von Kontext ist die folgende:

Informationen, die zur Beschreibung einer Situationen von Elementen geeignet sind. Elemente können Personen, Orte oder Objekte sein. Die Informationen sollen dabei relevant für die Interaktion von Nutzern mit Anwendungen sein unter Einbeziehung der Nutzer und Anwendung selbst. Der Kontext kann in der Regel als der Ort, die Identität und der Zustand von Menschen, Gruppen und physischen wie virtuellen Objekten aufgefasst werden [DASül].

Mit einem so definierten Kontext ist cs möglich Aspekte der Privatsphäre zu erfassen und in technischen Systemen zu berücksichtigen, etwa beim Verknüpfen von Zwecken mit Multimediaströmen in Abhängigkeit des Zustandes des Kontextes.

Kontextbewusste Systeme und Anwendungen

Diese Möglichkeit besteht aber nicht nur für die hier definierte Domäne (Schutz von Privat­sphäre) sondern findet sieh in vielen Anwendungsszenarien und Frameworks wieder. Systeme, die Kontextinformationen heranziehen, um ihre primäre Aufgabe situationsabhängig gestal­ten zu können werden deshalb als kontext-bewußte. Systeme bezeichnet. Dieser Ansatz erhöht die Autonomität von IT-Systcmcn und ermöglicht die Gestaltung komplexer, zur Interaktion mit Menschen fähiger, Systeme.

2.4.4. Intelligente Umgebungen

Die Vision, für manch einen auch eine Schrcckcnsvision, der Kombination kontextbewußter Anwendungen, mobiler Geräte und der allgegenwärtigen Datenverarbeitung, besteht in der Möglichkeit intelligente. Umgebungen zu schaffen. Diese können den Menschen, sein Verhal­ten und Situationen beobachten, analysieren und basierend auf den so gewonnenen Infor­mationen, unterstützende Dienstleistungen erbringen. Ein bekanntes Beispiel dafür ist der Kühlschrank, der die Vorlieben seiner Benutzer kennt und selbständig Nachschub ordert. Eine weitere ist die Vision von Häusern, die entsprechend des Aufenthaltsortes seiner Bewoh­ner Gepräehe in Räume leiten oder sie begleiten, das Lieht und die Musik entsprechend der geschätzten Stimmung anpassen.

2.5. Zusammenfassung

In den einzelnen Abschnitten des Kapitels wurden wichtige Konzepte und Ansätze der Pri­vatsphäre, der Multimediaströme und der IT-Sichcrhcit erläutert, die als Grundlage für die weiteren Betrachtungen der Arbeit notwendig sind. Bisher wurden die einzelnen Bereiche getrennt voneinander untersucht, was viele Fragen offen gelassen hat. Diese Verknüpfung wird im nun folgenden Kapitel vorgenommen.

3. Analyse

Im Kapitel Analyse wird Abschnitt 3.1 Beispiele für den Einsatz von Multimediaströmen vorsteilen. Im sieh darauf anschließenden Abschnitt 3.2 wird untersucht, wie das Zusammen­spiel von Privatsphäre und Multimediaströmen so gestaltet werden kann, dass private Infor­mationen in Multimediaströmen transportiert werden können und die Privatsphäre trotzdem erhalten bleibt. Der Abschnitt 3.3 widmet sieh dann spezifischen Fragen die sieh durch die Kontinuität der Datenerfassung und -Verarbeitung beim Einsatz von Multimediaströmen ergeben. Die Erkenntnisse aus den vorangegangen Abschnitten wird Abschnitt 3.4 mit ähnli­chen Arbeiten vergleichen, um Gemeinsamkeiten und Unterschiede zu finden, sowie mögliche Elemente aus diesen Arbeiten für die eigene zu identifizieren und nutzen.

3.1. Szenarien

Um die Anforderungen an das Modell besser verstehen zu können, werden in diesem Ab­schnitt exemplarisch drei Szenarien skizziert. Auf diese wird im weiteren Verlauf der Arbeit, zur Verdeutlichung von Sachverhalten zurückgegriffen.

3.1.1. Videokonferenzen

Vidcokonfcrcnzcn bieten ein etabliertes Szenario für den Einsatz von Multimediaströmen. Bei einer Vidcokonfcrcnz sind üblicherweise mehrere Teilnehmer über ein Netzwerk mitein­ander verbunden und jeder Teilnehmer schickt dabei einen Multimediastrom an alle anderen Teilnehmer der Konferenz. Dabei ist cs unerheblich, ob die Kommunikation über einen zen­tralen Knoten läuft oder mittels direkter Verbindungen zwischen den Teilnehmern realisiert wird. Der Multimediastrom besteht dabei aus Video- und Audiodaten sowie ggf. zusätzli­chen Daten, wie zum Beispiel Skizzen. Die Anzahl der möglichen Teilströme ist theoretisch unbegrenzt, wird aber durch die eingesetzten Systeme, ihre Rcehcnlcistung, die verfügbaren Kommunikationskanälc und deren Bandbreite begrenzt. Die Verbindung zwischen den Teil­nehmern ist durch entsprechende Maßnahmen vor Manipulationen und Mitlesen geschützt. Das kann durch dedizierte Verbindungen zwischen den Teilnehmern oder bei unsicheren Ver­bindungen durch den Einsatz kryptographischcr Verfahren realisiert werden. Der Schutz der Kommunikationsverbindung ist aber nicht Thema der Arbeit.

Jeder Teilnehmer befindet sieh dabei in einer bestimmten Umgebung in einer konkreten Situation und somit auch in einem bestimmten Zustand seiner Privatsphäre. Die Umgebung beschreibt dabei die baulichen Gegebenheiten, schließt aber andere anwesende Personen mit ein. Zur Umgebung gehören Kameras, Mikrophone und andere Sensoren, sowie deren Anzahl, Blickwinkel, Beweglichkeit und Reichweite im Sinne von erfassbaren identifizierbaren Signalen. Andere Sensoren können beispielsweise Bewegungsmelder oder Kontaktsensoren darstellen. Diese Sensoren und die von ihnen gelieferten Informationen helfen den Status und den Kontext der Umgebung zu erfassen und somit einen Status der Privatsphäre zu definieren.

Jeder der Teilnehmer hat individuelle Vorstellungen über seine Privatsphäre und dem­zufolge andere Vorgaben an das System. Das kann auch Vorgaben über die Anwesenheit anderer Personen im Raum betreffen. Ob diese Anwesenheit weiterer Personen und ihrer sozialcn/bcruflichcn Stellung durch Sensoren (Bewegungsmelder) oder das Betätigen von Be­dienelementen einer Anwendung erzielt wird, soll nicht Gegenstand der Betrachtungen sein. Die Teilnehmer stehen in verschiedenen sozialen und berufliehen Beziehungen zueinander. Teil dieser Vorgaben kann sein, dass die übermittelten Daten nur für die Konferenz nutzbar sein sollen, also nicht gespeichert oder weitergeleitet werden sollen.

Zu einem beliebigen Zeitpunkt während der Vidcokonfcrcnz betritt eine weitere Person den Raum eines Teilnehmers, der bis dahin allein war. Dieses Ereignis wirkt sieh auf den Zustand der Privatsphäre mehrerer Personen aus. Es wirkt sieh auf den Teilnehmer, die den Raum betretende Person und die anderen, über Vidcokonfcrcnz verbundenen Teilnehmer, aus.

3.1.2. Medizinische Anwendungen

In medizinischen Umgebungen fallen erhebliche Mengen von Daten durch die Überwachung von Patienten an. Das ist vor allem im intcnsivmcdizinisehcn Bereich der Fall. Diese Daten werden in der Regel kontinuierlich erfasst und aufgezeichnet. Dazu liefern verschiedene Sen­soren einen kontinuierlichen Datenstrom an viele Systeme. Angcsehlosscnc Systeme können Übcrwachungsmonitorc direkt neben dem Patienten sein, eine zentrale Überwachungsstation in der Informationen von mehreren Patienten auflaufen und beobachtet werden, das Büro des behandelnden Arztes oder eines weiteren hinzugezogenen Spezialisten in einer anderen Klinik. Einige Patienten können sieh mit Hilfe mobiler Systeme frei auf der Station bewegen. Ihre Daten werden mittels Funk ebenfalls ständig in die Überwachungsstation übertragen. Manche Patienten befinden sieh außerhalb der Klinik, sollen aber trotzdem überwacht wer­den. Das kann durch eine direkte Übertragung in die Klinik mittels einer Intcrnctanbindung realisiert werden. Alternativ werden die anfallenden Daten von einem Gerät aufgezeidmet, das der Patient mit sieh führt. Sie können später zu Hause, beim Arzt oder in der Klinik aus­gelesen werden. Darüber hinaus können gesammelte medizinische Daten in anonymisierter Form für Forschungs- und Lehrzweeke genutzt werden, etwa bei Vorlesungen oder in Studien. In Kliniken befinden sieh außer den Patienten, Klinikpersonal, Besucher und Dienstleister. Jede dieser Gruppen steht in genau definierten Beziehungen zueinander.

3.1.3. Positionsdaten

In diesem Szenario erfasst ein mobiles Gerät, etwa ein PDA mit einem GPS-Empfängcr die Position seines Besitzers und übermittelt diese an andere Geräte in der Umgebung oder mittels WLAN/GPRS an entfernte Server oder andere Clients. Der Besitzer dieses Gerätes möchte nun unterschiedliche Nutzungen dieser Daten in verschiedenen Detailabstufungen zulassen. So sollen für Notfälle die genauen Daten abrufbar/nutzbar sein. Für das Anbie­tern von Dienstleistungen möchte der Besitzer aber nur eine Genauigkeit zulassen, die einen Rückschluss auf die Stadt, in der er sieh aufhält, ermöglichen. Diese Daten sollten für einen bestimmten Zeitraum weiterhin für die medizinische Betreuung abrufbar sein. Nach einer gewissen Zeit müssen sic allerdings gelöscht werden, da sic für die weitere Behandlung nicht mehr benötigt werden. Für Angehörige oder anderen durch den Besitzer festgelegten Zwe­cken dürfen sic weiterhin genutzt werden. Der Detailgrad kann auch abhängig von seiner momentanen Tätigkeit oder Position an sieh sein. Über einen Menschen in Ausübung eines öffentlichen Amtes, eines Politikers etwa, dürfen mehr Daten gesammelt werden, als über ihn in seiner Rolle als Privatperson. Es ist durchaus wünschenswert, den Aufenthaltsort eines Po­litikers zu kennen. Da besonders hochrangige Politiker einem erhöhten Gefährdungspotential unterliegen, muss der Zugriff auf die Positionsdaten zeitlich und der Kreis möglicher Subjek­ten sehr differenziert beschrieben werden. Die aktuelle Position sollte nur Siehcrhcitskräftcn und denen möglichst hochauflösend zur Verfügung stehen. Für historische Bewertungen von Politikern sollten zeitlich später aber diese Positionsdaten ebenfalls zur Verfügung stehen, vielleicht etwas schlechter aufgelöst und nach dem Tod des Politikers eventuell sogar kom­plett öffentlich ohne Einschränkung zur Verfügung stehen.

3.1.4. Bewertung der Szenarien

Nachfolgend werden die Szenarien und ihre Anforderungen kurz beleuchtet. Dadurch sol­len allgemeine wiederholt auftauehende Prinzipien erkannt und für die Anforderungsanalyse bestimmt werden.

Videokonferenz Dieses Szenario beschreibt Teilnehmer in ihrer Umgebung, die an der Kon­ferenz beteiligt sind und die Veränderung der Umgebung durch das Betreten einer wei­teren Person. Das hat Auswirkungen auf die Privatsphäre der Person, die den Raum betritt, des Konferenzteilnehmers, dessen Raum sie betritt und die Privatsphäre der an­deren Konferenzteilnehmer. Nun könnte es sein, dass die den Raum betretende Person nicht bei den anderen oder einem Teil der anderen Konferenzteilnehmer zu erkennen sein oder gar die Anwesenheit einer weiteren Person im Raum nicht mitgeteilt werden soll. Das betrifft die Privatsphäre dieser, in den Raum eintretenden, Person. Es betrifft die Privatsphäre des Konferenzteilnehmers, da er vielleicht nicht möchte, dass die an­deren Teilnehmer davon erfahren. Eine weitere denkbare Situation besteht darin, dass die den Raum betretende Person nicht die anderen Teilnehmer hören oder schon oder andere Informationen über die Konferenz wahrnchmcn können soll. Das wiederum be­trifft sowohl die Privatsphäre des Teilnehmers, dessen Raum betreten wurde als auch die Privatsphäre der anderen Konferenzteilnehmer.

Medizinische Anwendung In diesem Beispiel steht die Privatsphäre von Patienten im Mittel­punkt der Betrachtung. Da über diese Personen große Mengen Informationen während eines Klinikaufenthaltes gesammelt und verarbeitet werden, ergeben sieh mögliche Im­plikationen bezüglich der Privatsphäre des Patienten. Der Patient hat zuvor festgelegt, für welche Maßnahmen die über ihn gesammelten Informationen genutzt werden kön­nen. Medizinische Daten sind die privatesten Daten, die über einen Menschen erfasst werden können. Das bedeutet auch, dass sic selbst in teilweise anonymisierter Form Rückschlüsse auf die Person, von der sic stammen ermöglichen, wenn Verknüpfungen zu Name, Alter, Geschlecht nicht mehr vorhanden sind. Beispielsweise kann cs sein, dass ein Patient der Nutzung seiner Daten für Lehre und Forschung nicht oder erst nach Ablauf einer bestimmten Frist zugestimmt hat, dann dürfen diese auch nicht in anonymisierter Form dafür genutzt werden. Falls andere Patienten oder Besucher eine Konsultation im Büro des Arztes haben, sollten auf Anzeigesystemen dargestellte Da­ten anderer Patienten entsprechend geschützt werden und nicht für unbefugte Personen sichtbar sein. Dieser Fall ist analog zum Konferenzszenario mit der Einschränkung, dass der ursprüngliche Dateneigentümer als Patient passiv ist, sowie die Unterscheidung der Personen in medizinisches Personal, Patienten und Besucher erfolgt.

Positionsdaten Für das Modell ergibt sieh die Forderung verschieden detailliert ausfallende Teilströme (Ebenen) beschreiben und mit entsprechenden Zugriffsinformationen versc­hon zu können, so dass für bestimmte Zwecke nur genau definierte Ebenen und die darin enthaltenen Stromobjekte nutzbar sind.

Prinzipien

Deutlich wurde, dass in allen Szenarien die Umgebung und ihr Zustand eine wichtige Grund­lage, für die von den Beteiligten getroffenen Annahmen und Vorausctzung darstellt. Außcr- dem ist erkennbar, dass auch der Zustand der Umgebung bei den Empfängern von Multi­mediaströmen wichtig ist. Es kann unterschiedliche Teilströme oder Stromebenen mit Daten verschiedener Sensoren und differenziertem Nutzerkreis geben.

3.2. Privatsphäre und Multimediaströme

Aus der Bewertung der Szenarien und allgemeinen Aspekten lassen sieh Anforderungen, die ein Modell zum Schutz der Privatsphäre in Multimediaströmen berücksichtigen muss, ableiten. Zunächst werden die Einflüsse und Auswirkungen untersucht, die beim Einsatz von Multimediaströmen und dem Transport von persönlichen Informationen in diesen auftreten.

3.2.1. Ursprünglicher Dateneigentümer

Wenn man über Privatsphäre spricht, muss klar sein, wessen Privatsphäre gemeint ist. In­formationen die in einem Multimediastrom transportiert werden, können vielfältiger Natur sein. Für diese Arbeit sind insbesondere Informationen über Personen von Interesse. Um die verschiedenen Arten von Informationen und ihre Herkunft besser unterscheiden zu können, wird der Begriff des ursprünglichen Dateneigentümers eingeführt. Der ursprüngliche Datenei­gentümer stellt dabei die Person oder eine Gruppe von Personen dar, über die Informationen im Strom transportiert werden.

3.2.2. Persönlich Identifizierbare Informationen

Beim Einsatz von Anwendungen, die Multimediaströme nutzen, steht oft ein primärer Anwen­dungszweck, die aktuell aufgezeidmete oder übertragene Tätigkeit, im Vordergrund. Bei einer Vidcokonfcrcnz, das Thema, über das man sieh innerhalb der Konferenz verständigt. Neben dieser primären Informationsebene, die mittels multimedialer Daten transportiert wird, wird noch eine zweite, die sekundäre. Ebene, transportiert. Diese zweite Ebene enthält persönliche Informationen der ursprünglichen Dateneigentümer. Dabei kann cs sieh um Körpersprache, Aufmerksamkeit, Fähigkeiten, sieh auszudrücken und weitere eher sozial wichtige Informa­tionen handeln, die von der eigentlichen Aufgabe losgelöst sind [ASül]. Daraus lassen sieh verschiedene Nutzungsvorgaben ableiten. Einmal ergeben sic sieh aus der eigentlichen Aufga­be und zusätzlich aus der Perspektive der Privatsphäre der ursprünglichen Dateneigentümer. Der primäre Zweck könnte Weiterbildung lauten. Zugleich ist aber die Nutzung für psycho­logische Forschungszwcckc untersagt. Die Informationen, obwohl durch den ersten Zweck öffentlich zugänglich, sind durch den zweiten in ihrer Nutzung eingeschränkt. Durch das Beispiel wird deutlich, dass der oft vereinfacht betrachtete Dualismus zwischen privat, und öffentlich für diese Art von Informationen und die Beschreibung von Privatsphäre nicht aus­reichend ist. Informationen, die Personen zugeordnet werden können, werden als persönlich identifizierbare Informationen bezeichnet (siehe Abschnitt 2.1.1).

Anforderungen

Daraus ergibt sich die Anforderung Persönlich Identifizierbare Informationen müssen im Strom individuell mit Nutzungsvorgaben versehen lassen.

3.2.3. Zwecke und Zustimmung Zwecke

Sprachlich betrachtet beschreiben Zwecke die „allgemeine Orientierung von Handlungen und Handlungsfolgen; im engeren Sinn das Ziel, das durch willentlichen Einsatz bestimmter Mit­tel geplant und verfolgt wird, wodurch diese als zweckmäfbig bestimmt werden.“^[1] oder „Etwas, was jemand mit einer Handlung beabsichtigt, zu bewirken, zu erreichen sucht; (Beweggrund и. ) Ziel einer Handlung.“^[2] In dem Spannungsfeld zwischen Privatsphäre und Multimedia­strömen beschreiben Zwecke Vorgaben für die Nutzung bestimmter Daten, respektive die darin kodierten Informationen. Zwecke stellen so gesehen eine Nutzungsvorgabe, und somit auch eine Nutzungseinschränkung dar. Auf der anderen Seite lassen sich Zwecke ebenfalls zur Beschreibung der Art eines gerade stattfindenden Zugriffs auf bestimmte Informationen nutzen. Es gibt somit zwei verschiedene Möglichkeiten, Zwecke einzusetzen. Zwecke, die der Vorgabe einer Nutzung dienen, werden als Vorgabezwecke (VZ) bezeichnet. Zwecke, die die Nutzung eines Datums beschreiben, werden als Zugriffszwecke (ZZ) bezeichnet.

Zur Verdeutlichung ein kleines Beispiel: .Jemand liest ein Buch, um etwas über einen be­stimmten Sachverhalt zu lernen oder sich die Zeit zu vertreiben. Dieses Buch wiederum könn­te geschrieben worden sein, um Wissen zu vermitteln oder um zu unterhalten. Das Buch als auch die Aktivität des Lesens dienen einem ganz bestimmten Zweck. Bestimmte Ströme könn­ten zum Zwecke des Studiums und privaten Wissenerwerbs freigegeben sein aber nicht für die kommerzielle Nutzung, das heißt ein Sender kann kein Geld dafür verlangen. In manchen Fällen können die Zwecke auch nicht zueinander passen, dann hat das keine Auswirkung auf die Nutzbarkeit des Buches. Es kann zweckfremd benutzen werden. Den Multimediastrom hingegen soll man nur nutzen können, wenn man ihn auch zu einem der vorgegebenen Zwecke einsetzt. Im vorgestellten Modell werden die Zwecke daher vom Ersteller des Buches/Stromes und vom Lesenden vorgegeben und als Basis einer Zugriffsentscheidung dienen. Auch für die spezifische Nutzung von Rechten oder das Ausführen von Aktivitäten/Aktionen kann man Zwecke nutzen, denn ob ein Multimediastrom in einem Krankenhaus etwa im Foyer oder im Bespreehungszimmer des Arztes angezeigt wird, macht einen Unterschied. In beiden Fällen wird die Aktivität Anzeigen für einen unterschiedlichen Zweck und eine somit für eine andere Menge an Informationsempfängern genutzt.

Zwecke bieten eine breite semantische Ausdrucksmöglichkeit, die bei entsprechendem Ein­satz sowohl zur Wahrung der Vertraulichkeit als auch der Integrität nutzbar sind. Darüber hinaus können sic zum Zweck der Informationsflusskontrollc genutzt werden.

Formal betrachtet, stellen Zwecke eine Gruppe dar, die sieh hierarchisch organisieren lässt. Diesen Gruppen gleicher Bezeichnung (Zwecke) werden sowohl Objekte als auch Subjekte zugeordnet, siehe auch 2.3.2. Über Zugehörigkeits- und Dominanzaussagen können dann Entscheidungen über den Zugriff von Subjekten auf Objekte getroffen werden.

Zustimmung

Die Weitergabe von persönlich identifizierbaren Informationen basiert auf der Grundannah­me, dass der Weitergabe vom ursprünglichen Dateneigentümer zugestimmt wurde und somit Konsens über die Nutzungsfreigabe beim Empfänger/Datennutzer besteht. Ausgehend von der Annahme, dass der ursprüngliche Dateneigentümer selbst festlegen kann, für welche Zwecke die Daten, also die im Multimediastrom enthaltenen Informationen, weitergegeben werden, kann das als Zustimmung zur Nutzung der Daten zu diesen Zwecken angesehen wer­den. Die Zweckbindung eines Datums an einen Vorgabezweck ist deshalb immer mit der Zu­stimmung des ursprünglichen Datencigcntümcrs verknüpft. Ist umgekehrt ein Vorgabezweck nicht vorhanden oder explizit verboten, wurde auch keine Einwilligung für diese Nutzung erteilt. Es ist deshalb nicht notwendig, die Zustimmung explizit im Modell zu erfassen, da sic bereits implizit enthalten ist. Deshalb kann ein Empfänger ein Stromobjekt nur dann nutzen, wenn er entsprechend des vorgegebenen Zwecks des Stromobjektes für den Zugriff autorisiert wurde.

Anforderungen

Aus den Betrachtungen ergibt sieh die Anforderung Zwecke im Modell beschreiben, abbilden und mit privaten Daten und Subjekten verknüpfen zu können.

3.2.4. Kontext

Nachdem die unterschiedlichen Arten von Informationen betrachtet wurden, werden im fol­genden Abschnitt die Aspekte ihrer Entstehung untersucht. Wie bereits angedeutet spielt die Zeit eine Rolle, also wann die Informationen entstanden sind und wann sic benutzt wer­den. Daneben ist aber auch der Ort, andere anwesende Personen und das Wissen um den Transport von Informationen über einen selbst wichtig. Allgemein kann man die Umstän­de der multimedialen Datenerfassung und -nutzung als Kontext bezeichnen. Da cs wichtige Unterschiede zwischen der Datenerfassung und der Datennutzung gibt, wird für beide ein eigener Begriff eingeführt.

- Entstehungskontext (EK) entspricht dem Zustand der Umgebung des ursprüngli­chen Dateneigentümers zum Zeitpunkt der Datenerfassung.
- ZugriflEskontext (ZK) entspricht dem Zustand der Umgebung des Datennutzers zum Zeitpunkt der Datennutzung.

Die Informationen in einem Multimediastrom entstehen also in einem ganz konkreten Zu­stand der Umgebung: dem Entstchungskontcxt. In den Grundlagen (Abschnitt 2.1) wurde gezeigt, dass der Zustand der Umgebung wichtig dafür ist, wie man eine konkrete Situati­on wahrnimmt, bewertet und sich demzufolge entsprechend verhält. Nach [BDMNüö] wird Wahrnehmung der Situation durch informelle Normen, Rollen der Beteiligten und Vertrau­lichkeitsregeln geprägt und das Verhalten entsprechend angepasst, was als Angepasstheit. bezeichnet wird. Konkret bedeutet das, dass die betreffende Person sich in einer anderen Umgebung anders verhalten hätte, als zum Zeitpunkt der Datenerfassung. Diese Anpassung des Verhaltens ist wichtig für die soziale Interaktion in der Gesellschaft. Der Entstchungs­kontcxt und der Zugriffskontext stellen somit wichtige Bindeglieder zwischen Privatsphäre und ihrem Schutz dar.

Informationsräume

Multimediaströme besitzen die Eigenschaft, Informationen zu transportieren. Dabei verlassen die Informationen oft die Umgebung in der sic entstanden sind. Sic gelangen in andere Umgebungen und werden dort weitergenutzt.

Durch den Transport in Multimediaströmen Übewinden persönlich identifizierbare Infor­mationen natürliche und virtuelle Grenzen, die sic sonst nicht ohne weiteres überwinden können. Solche Grenzen können physischer (bauliche Gegebenheiten, siche auch Abschnitt 2.1.1), sozialer, aber auch aktivitätsbezogener Natur sein. Damit lassen sich Informations­räume. aufspannen für die bestimmte Regeln gelten. Um Informationsräumc erfassen und als Entschcidunsgrundlagc nutzen zu können, werden Systeme benötigt, die in der Lage sind, ihre Umgebung erfassen und verarbeiten zu können. Solche Systeme bezeichnet man als kon- t-extbewußt. Damit ist man in der Lage den Ort einer oder mehrerer Personen, ihre Identitäten und Aktivitäten zu erkennen [JL021 und entsprechende Reaktionen daraus abzuleiten.

Unsicherheit von Kontextinformationen

Informationen, die durch Sensoren gewonnen werden, sind mit Unsicherheiten bei der Erfas­sung der Daten verbunden. Zwisehcm dem durch einen Sensor erfassten Signal, der daraus abgeleiteten Interpretation und dem tatsächlichen Zustand der Umgebung besteht immer eine Differenz. Das führt dazu, dass der Kontext, den man erfassen kann, nicht mit dem tat­sächlichen Kontext übereinstimmt. Deshalb ist cs nicht möglich, den tatsächlichen Zustand der Umgebung vollständig und korrekt zu erfassen [HIR02]. Es gibt drei Möglichkeiten, mit diesem Sachverhalt umzugehen. Man kann die Daten und abgeleiteten Informationen an die Anwendung wcitcrrciehcn oder sic automatisch oder manuell korrigieren [DAS01, JL02].

Weiterreichen Die erste Möglichkeit besteht darin, dass die Anwendung Anforderungen an die Genauigkeit der Sensordaten vorgibt. Die Sensoren verschon dann die von ihnen gelieferten Informationen mit einem Wert, der die Korrektheit bzw. Zuverlässigkeit der Information beschreibt. Die Anwendung muss dann selbst entscheiden, ob dieser Wert für sic zufriedenstellend ist oder nicht. Dabei ergeben sieh aber schon Probleme durch die Quantität, denn was bedeutet eine Zuverlässigkeit der Identifizierung einer Person von 70%. Füzzy-Logik!

Automatisch korrigieren Die zweite Möglichkeit versucht die Korrektheit der Daten durch Redundanz mehrerer heterogener Sensoren zu erhöhen. Dabei geht man davon aus, dass man durch die Kombination unterschiedlicher Signale die Fehler und Ungenau­igkeiten reduzieren kann. Dieses Verfahren wird als Sensorfusion bezeichnet. Dieser Ansatz erhöht den Aufwand, den man betreiben muss, um den Kontext zu erfassen. Die Diskrepanz zwischen erfasstem und tatsächlichen Kontext kann auch damit nicht vollständig aufgelöst werden.

Manuell korrigieren Der dritte Ansatz besteht darin, dem Nutzer mitzuteilen, dass inkorrek­te bzw. nicht eindeutige Informationen benutzt werden, um den Kontext zu erfassen. Der Nutzer erhält dann die Möglichkeit die korrekte oder am besten passende Interpre­tation der Daten auszuwählen. Alternativ kann er cs auch der Anwendung überlassen, die dann entsprechende Default Optionen wählt.

Gerade wenn cs um Privatsphäre geht, ist cs aber wichtig, Entscheidungen auf Grund zuverlässiger Informationen fällen zu können. Das gilt insbesondere für das Verknüpfen von Stromobjekten mit Vorgabezwecken, da diese später als Entschcidungsgrundlagc für den Zugriff auf sensible persönlich identifizierbare Informationen dienen.

Für eine Multimediaanwendung ist der dritte Ansatz wegen der kontinuierlichen Datener­fassung und Weiterleitung eher ungeeignet und man muss daher auf die beiden erstgenannten Optionen zurückgreifen.

Am günstigsten wäre eine Mischung aus dem ersten und dem zweiten Ansatz. Durch die Kombination verschiedener Sensorwerte kann man möglichst genaue und korrekte Daten erfassen, die dann mit den entsprechenden Zusatzinformationen an die Anwendung weiter­gegeben werden. In [DASül] wird dieser Ansatz verfolgt, indem bei jeder Verknüfung eines Objektes mit Metadaten, Informationen über die Genauigkeit und die Korrektheit enthalten sind.

3.2.5. Integrität der Privatsphäre

Der Transport persönlich identifizierbarer Informationen in Multimediaströmen kann zu un­beabsichtigten Verletzungen der Privatsphäre führen. Das ist insbesondere dann der Fall, wenn die Daten Informationsräumc verlassen. Schon eine unbeabsichtigte Verletzung kann zum Vertrauensvcrlust der Anwender in die jeweilige Anwendung und die sic anbietende Organisation führen [JL02], [ASül].

Die Frage nach der Verletzung der Privatsphäre ist entscheidend, wenn man die Frage nach dem Zugriff auf Daten in einem Multimediastrom beantworten will. In fNisü4] wird postuliert, dass eine Verletzung der Integrität des Entstchungskontcxt eine Verletzung der Privatsphä­re nach sieh zieht. Demzufolge muss man, um die Privatsphäre aufrecht zu erhalten, die Integrität des Entstchungskontcxt über den Entstehungszeitpunkt hinaus wahren.

Wenn man verhindern kann, dass persönlich identifizierbare Informationen in unerwünsch­te Umgebungen gelangen bzw. dort genutzt werden können, dann entspricht das dieser For­derung. Um die Integrität der Privatsphäre zu sichern, darf der Zugriff auf die Informationen im Strom nur in ähnlichen Situationen (Zugriffskontext) wie denen der Datenerfassung (Ent­stchungskontcxt) geschehen. Das entspricht auch einer der Konsequenzen aus den Beispielen.

Beim Einsatz von Multimediaströmen zum Transport von Informationen kommen IT- Systeme zum Einsatz. Diese bringen zusätzliche Risiken, aber auch Möglichkeiten bei der Nutzung mit sieh. Zur Minimierung der Risiken wäre cs sinnvoll, dem Nutzer Möglichkeiten anzubieten, den Kontext zu erfassen und die innerhalb des Kontextes gewonnenen Informa­tionen so zu kennzeichnen, dass später Rückschlüsse auf den Entstchungskontcxt und somit die Intention des ursprünglichen Dateneigentümers erkennbar bleiben.

Eine Möglichkeit dieses Ziel zu erreichen, besteht darin, die Nutzung der Multimediadaten durch Nutzungsvorgaben cinzusehränkcn und die Verknüpfung der Nutzungsvorgaben in Ab­hängigkeit vom Zustand des aktuellen Entstchungskontcxtcs vorzunchmcn. Damit wird über die Nutzungsvorgabc der Bezug zum Entstchungskontcxt bei der Datenerfassung hergestellt und zudem die Empfindlichkeit der Informationen durch den ursprünglichen Dateneigentü­mer beschrieben. Durch Testen auf Konformität zur vorgegebenen NutzungfEBLüS] mit dem Nutzungswunsch in Abhängigkeit des Zustandes des Zugriffskontextes des zugreifenden Sub- jektes, wird eine Verknüpfung von Entstehungskontext und Zugriffskontext erreicht. Dabei wird über die Zwecke sicher gest eilt, dass die Zustände beider Kontexte ähnlich sind und somit die Integrität der Privatsphäre gewahrt bleibt. Damit kann durch den Zugriff auf Stro­mobjekte die Frage nach der Integrität der Privatsphäre der ursprünglichen Dateneigentümer beantwortet werden.

Anforderungen

Aus den Betrachtungen ergeben sieh folgende Anforderungen:

- Kontext im Modell erfassen, beschreiben und nutzen zu können.
- Kontext in Erfassungs- und Zugriffskontext differenzieren zu können.
- Vorgabezwecke kontextabhängig mit Stromobjekten zu verknüpfen.
- Subjekte kontextabhängig mit Zugriffszwecken zu verküpfen.

3.2.6. Entstehungskontext und Privatsphärenepochen

Wenn wie im Abschnitt zuvor vorgcsehlagcn die Verknüpfung von Daten und Zwecken in Ab­hängigkeit des Zustandes des Entstchungskontcxt erfolgen soll, muss untersucht werden, wie sieh der Entstchungskontcxt während der Datenerfassung eines Multimediastroms verhält.

Entstehungskontext

Die Datenerfassung bei Multimediaströmen ist ein kontinuierlicher Vorgang, der sieh über die gesamte Lebensdauer des Stroms erstreckt. Als Lebensdauer wird hier die Zeitspanne vom Beginn bis zum Ende der Existenz des Stroms bezeichnet. Diese kann je nach Anwendungsfall auch sehr lange Zeiträume wie Tage, Wochen oder .Jahre umfassen.

Es ist unrealistisch anzunehmen, dass sieh die Umgebung während der Datenerfassung nicht verändern kann. Vielmehr muss man davon ausgehen, dass cs sieh beim Entstchungs­kontcxt um ein dynamisches System handelt, das durch unabhängige stochastisch auftreten­de Ereignisse ständigen Veränderungen unterliegt, weil der ursprüngliche Dateneigentümer selbst das System veranlasst einen anderen Systemzustand anzunehmen oder weil ein Ereig­nis in der Umwelt zu einem Zustands Wechsel führt.

Privatsphärenepoche

Der Zeitraum, in dem keine für die Privatsphäre und ihre Integrität relevanten Zustands­veränderungen des Entstchungskontcxt stattfinden, wird als Privatsphärenepoche (PSE) be-

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3.1: Visualisierung von Privatsphärenepochen in einem Multimediastrom

zeichnet. Innerhalb einer Privatsphärcncpochc wird der Entstehungskontext als konstant an­gesehen und demzufolge auch die Zuordnung der Vorgabczwcekc zu Stromobjekten. Daraus folgt, dass für alle Stromobjekte einer Stromebene, die während einer Privatsphärcncpochc erzeugt werden, die gleichen Zwecke gelten.

In Abbildung 3.1 ist das abstrakte Modell eines Multimediastroms aus Abbildung 2.2, er­gänzt um Privatsphärcncpochcn, zu schon. Die Bedeutung der einzelnen Elemente entspricht denen aus Abbildung 2.2. Abbildung 3.2 bietet die alternative Darstcllungsform, analog zur Abbildung 2.4. Die Ebenen eines Stroms wurden in diesen beiden Darstellungen nicht be­rücksichtigt. In beiden Abbildungen ist zu sehen, dass cs Überschneidungen zwischen Privat­sphärcncpochcn und strukturellen Abhängigkeiten der Stromobjekte gibt. Diese werden im folgenden Abschnitt 3.2.7 genauer betrachtet.

Anforderungen

Es ergibt sieh die Anforderung Privatsphärcncpochcn, also konstante Entstchungskontcxtc, erfassen und darauf aufbauend Stromobjekte mit Vorgabczwcckcn zu verknüpfen. Das deckt sieh mit der Anforderung aus Abschnitt 3.2.5.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3.2: Visualisierung von Privatsphärenepochen im Strom; alternative Darstellung

3.2.7. Strukturelle Abhängigkeiten und Privatsphärenepochen

Beim Lab ein von Stromobjekten in Abhängigkeit vom Entstehungskontext können Konflikt­situationen innerhalb von strukturellen Abhängigkeiten beim Übergang von einer Privat- sphärenepoehe zur nächsten entstehen. Diese Problcmfällc, ihre Auswirkungen und mögliche Ansätze zu ihrer Vermeidung werden deshalb an dieser Stelle detailliert besprochen.

Wenn eine Privatsphärcncpoehc endet und eine neue beginnt, dann erhalten die einzel­nen Objekte im Strom verschiedene Privatsphärcnobjcktc. Dabei kann cs Vorkommen, dass sieh Objekte in verschiedenen Privatsphärcncpoehcn und zugleich in einer Strukturepoche des Stroms befinden (siche Abbildungen 3.1 und 3.2). Das führt dazu, dass die statisch bestimmten Abhängigkeiten und somit die Konfliktfreiheit der Privatsphärcnobjcktc nicht mehr gerantiert werden kann.

Man kann drei Fälle beim Übergang zwischen zwei Privatsphärcncpoehcn unterscheiden: Erweiterung der Vorgabezwecke, Verringerung der Vorgabezwecke und Disjunkte. Vorgabezwe­cke.

Die Erweiterung der Menge von Vorgabczwcckcn, die mit einem Stromobjekt verknüpft wer­den, führt dazu, dass mehr Empfänger bzw. Subjekte auf das Stromobjekt zugreifen können, als bei Objekten in der Privatsphärcncpoehc zuvor. Das führt dazu, dass Ob­jekte mit der erweiterten Menge an Vorgabczwcckcn vom Empfänger nicht vollständig dekodiert werden können, da strukturelle Vorgänger dem Empfänger nicht zugänglich waren (er war nicht zugriffsbcrcchtigt).

Die Verringerung der Menge der Vorgabczwecke, die mit einem Stromobjekt verknüpft wer­den, führt zu ähnlichen Effekten, nur dass in diesem Fall weniger Empfänger alle nachfolgenden Objekte im Strom dekodieren können. Für die nun ausgeschlossenen Empfänger existieren die in der neuen, restriktiveren Privatsphärcncpoehc erzeugten Stromobjekte nicht mehr. Das ist unproblematisch, da die Beschränkung des Nutzer­kreises gewollt ist.

Bei disjunkten Mengen von Vorgabczwcckcn tritt sowohl der Fall der Erweiterung als auch der Fall der Verringerung mit den entsprechenden Auswirkungen auf.

Erzwungener Strukturepochenwechsel

Um intracpoehalc strukturelle Abhängigkeiten zu vermeiden, wird beim Wechsel einer Privat­sphärcncpoehc der Beginn einer neuen Sturkturcpochc erzwungen. Damit kann man garan­tieren, dass auch die nachfolgenden, strukturell abhängigen Stromobjekte beim Empfänger dekodierbar sind, da nun alle voneinander abhängigen Stromobjekte gleich behandelt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3.3: Strom mit angepassten Strukturepochen

Die Abbildung 3.3 zeigt einen Strom nach der erzwungenen Anpassung der Strominstanzi- irung. Die hier zu sehende ’Zerstückelung’ der strukturellen Einheiten ist der Visualisierung des Lösungsansatzes geschuldet und wird in der Realität selten so extrem auftreten, da Privt- sphärcncpochcn im Vergleich zu Strukturepochen recht lang sind und eine Privatsphärcncpo- chc in der Regel viele Instanziicrungcn einer Strukturepoche umfassen wird. Eine Häufung verkürzter Strukturepochen, wie in der Abbildung zu schon, ist daher nicht zu erwarten.

Bidirektional abhängige Stromobjekte

Einen Sünderfall stellen bidirektional abhängige Stromobjekte dar. Hier tritt ein Problem im Sinne der Dekodierbarkeit genau dann auf, wenn ein Objekt von anderen Stromobjekten abhängig ist und eine der Abhängigkeiten in der neuen Privatsphärcncpochc kodiert wird. Da ein bidirektional abhängiges Objekt von vorhergehenden und nachfolgenden Stromobjekten abhängig ist, kann das Erzwingen eines Strukturcpochcnwcchscls diese Abhängigkeit nicht auflösen, sic besteht weiterhin. Es stellt sieh die Frage, welche Auswirkungen hat das und sind diese problematisch für den Schutz und die Integrität der Privatsphäre.

Die Auswirkung ist in diesem Fall umgekehrt, da ein bidirektional abhängiges Objekt vor einer seiner Abhängigkeiten genutzt wird (auch wenn diese für seine vollständige Dekodie­rung notwendig ist). D.h. ist das Objekt nicht dekodierbar, weil eine der Abhängigkeiten in der neuen Privatsphärcncpochc liegt und auf Grund der Zwcckmcngcnändcrung nicht mehr sichtbar, so führt das zu einem Effekt des Vorziehens der neuen Privatsphärcncpochc auf das bidirektional abhängige Objekt. Das ist unproblematisch und cs sind deshalb keine weiteren Maßnahmen notwendig, um diesen Effekt zu verhindern.

Anforderungen

Aus den Betrachtungen ergeben sieh keine direkten Anforderungen an das Modell aber an die Implementierung. Das Erwzingcn von Strukturcpochcnwcchscln benötigt eine Rückkopplung vom Modell an den jeweiligen Kodierer eines Stroms, um sie durchzusetzen.

3.2.8. Informationsalterung, zeitgebundene Vorgabezwecke und Privatsphärenobjekte

Zwischen der Datenerfassung eines Multimediastroms und der Nutzung, also dem Betrachten der Informationen beim Empfänger, vergeht eine zunächst unbestimmte Menge an Zeit. Bei einem Live-streaming ist diese Zeitspanne, in der Regel recht kurz und bewegt sieh im Be­reich von wenigen Sekunden, um vom Sender oder Stromerzeuger zum Empfänger und somit Konsumenten zu gelangen. Falls Ströme nicht direkt zum eigentlichen Empfänger/Konsu­menten gelangen, sondern zwischendurch abgcspcichcrt und neu versandt werden, können diese Zeitspannen auch Tage bis hin zu .Jahren umfassen. Das umfasst auch Szenarien, bei denen Ströme versandt, genutzt, erneut versandt und genutzt werden.

Informationsalterung

Die Zeitspanne, die zwischen der Entstehung und der Nutzung eines Stromobjektes ver­streicht, wird als das Alter des Stromobjektes bezeichnet. Das gilt analog für die im Strom­objekt enthaltenen Informationen.

Informationen, die man zum Zeitpunkt der Datenerfassung weitergibt, sollen oft nur für eine definierte Zeitspanne zu bestimmten Zwecken nutzbar sein. Wie in den Beispielen be­schrieben, können Informationen ganz verfallen, nur für eine Teilmenge der ehemaligen Zwe­cke oder für andere, zuvor nicht enthaltene, Zwecke weitergenutzt werden. In fASOlj wer­den dafür eine Unterteilung der Nutzungszeiträume in unmittelbare Nutzung und in spätere Nutzung vorgenommen. Es ist keine klare zeitliche Zuordnung erkennbar, da unmittelbare Nutzung beispielsweise für, während eines Telefongespräches steht und spätere Nutzung, für den Fall steht, dass Informationen von diesem Gespräch aufgezeidmet, bearbeitet und weiter genutzt werden. Diese Form der Einteilung ist deshalb sehr unspezifisch.

Das über das Alter verallgemeinerte Konzept der Informationsalterung erfasst diese Art der Einteilung und bietet darüber hinaus einen wesentlich feineren Modcllicrungsansatz für jeden beliebigen Zeitpunkt der Informationsnutzung.

Da sieh Nutzungsvorgaben auch oder gerade bei persönlich identifizierbaren Informationen über die Zeit verändern, ist cs aus Sieht der Privatsphäre wichtig, das Alter bei der Nutzung der Informationen zu berücksichtigen.

Zeitgebundene Vorgabezwecke

Den Aspekt der Informationsaltcrung kann man mit Vorgabczwcckcn verknüpfen, indem man diese in Abhängigkeit vom Alter der Stromobjekte an die Stromobjekte bindet. Die altersabhängigen Vorgabezwecke werden als zeitgebundene Vorgabezwecke (ZVZ) bezeichnet.

Privatsphärenobjekte

Da nun Vorgabczwcckc nur für ein bestimmtes Alter gültig sind, werden mehrere zeitge­bundene Vorgabczwcckc mit Stromobjekten verknüpft, so dass für jeden Zeitpunkt entspre­chende Nutzungsvorgaben gelten. Alle mit einem Stromobjekt verknüpften zeitgebunden Vorgabczwcckc werden als Privatsphärenobjekt bezeichnet.

Anforderungen

Aus den vorangegangenen Betrachtungen lassen sieh folgende Anforderungen ableiten:

- Die Lebensdauer eines Stromobjektes muss erfassbar und sein Alter zum Zeitpunkt des Zugriffs bestimmbar sein.
- Vorgabezwecke müssen unabhängig von der Objektlebensdauer zeitlich beschränkbar sein.
- Es müssen mehrere zeitlich beschränkte Vorgabezwecke mit Stromobjekten verknüpf­bar sein.

Das Zugriffskontrollsystcm muss die zum Zugriffszeitpunkt gültigen Zwecke aus dem ent­sprechend des Alters des Stromobjektes gültigen Label ermitteln und als Grundlage für die Zugriffsentscheidung berücksichtigen.

3.3. Multimediaströme

Nachdem die Anforderungen, welche sieh aus dem Ziel, Privatsphäre zu schützen bzw. die­se bei Weitergabe von privaten Daten in Multimediaströmen aufrecht zu erhalten, ergeben, befasst sieh dieser Abschnitt mit den spezifischen Problemen und Anforderungen, die sieh bei der Nutzung des zu entwickelnden Privatsphärcnmodclls zur Zugriffskontrollc in Multi- mediadast romen ergeb en.

Der Transport von Informationen in Multimediaströmen führt regelmäßig dazu, dass per­sönlich identifizierbare Informationen aus Informationsräumen in andere Informationsräumc fließen. Eine Möglichkeit, einen Informationsfluss kontrollieren und steuern zu können, be­steht darin, Prinzipien und Methoden der Zugriffskontrollc anzuwenden. Viele Zugriffskon- trollsystcmc arbeiten mit Metainformationen, die Aussagen darüber ermöglichen, was mit Objekten geschehen kann und welche Subjekte auf sic zugreifen können.

Um ein Privatsphärenmodell entwickeln zu können, muss zunächst untersucht werden, wie Informationen und insbesondere persönlich identifizierbare Informationen in Multimediaströ­men kodiert werden und ob und wie man über eine Stromebene auf sic zugreifen kann.

3.3.1. Struktur und Inhalt

Moderne Ko dier verfahren wie MPEG4[PEü2a] oder H.264 ermöglichen cs, unterschiedlich abgestufte Qualitäts-/Dctailgradc von kodierten Informationen innerhalb eines Stroms zu integrieren. Dabei lassen sieh drei wesentliche Arten der Qualitätsabstufungen unterscheiden:

zeitliche Auflösung

örtliche Auflösung

SNR FSG

Stromobjekte

Innerhalb dieser Abstufungen eines Stroms gibt cs vor allem für visuelle Informationen noch weitere kodicrspczifisehc Strukturen. Die einzelnen Objekte, die durch diese Strukturen (Ι,Ρ,Β-Framcs bei MPEG-4) definiert werden, ergeben die kleinsten einzeln differenzierbaren Objekte innerhalb einer Stromebene, die auf der Schicht des Datenstroms selbst betrachtet werden können.

In den von Kodierern genutzten Strukturen existieren strukturelle Abhängigkeiten. Ohne die zugehörigen I oder P-Frames kann kein vollständiges Bild durch einen В-Frame rekon­struiert werden. Welche Teile des Bildes bei einem Verlust von abhängigen Stromobjekten betroffen und somit seiner Informationen nicht mehr darstellbar sind, wird erst auf der An­wendungsschicht sichtbar und kann deshalb auf der Stromschicht nicht dctckticrt werden. Auf der Stromschicht ist nur eine Aussage über die teilweise oder vollständige dekodierbar­keit eines Stromobjektes möglich.

Ein Stromobjekt selbst trägt somit auf der Bctraehtungscbcnc des Stroms für die Anwen­dung relevante Informationen cs ist aber keine Aussage über den konkreten Inhalt oder gar eine Zuordnung zu konkreten Personen über den Objekttyp oder die Ebene im Strom mög­lich. Deshalb sind diese kodicrspczifischcn Strukturinformationen für die Fragestellung einer Zugriffskontrollc zur Integritätswahrung der Privatsphäre als nicht relevant cinzuschätzcn. Aus Sieht der Privatsphäre kann man jedes dieser Stromobjekte innerhalb einer Stromebene als gleichwertig betrachten, da cs nach seiner Rekonstruktion innerhalb der Anwendung je­weils einem vollständigen Frame entspricht. Dieser kann, wie in MPEG-4 definiert, rechteckig sein oder ein beliebig geformtes Objekt repräsentieren.

Stromebenen

Anders sieht es bei den möglichen Ebenen eines Multimediastroms aus. Diese stellen nicht nur eine Differenzierung hinsichtlich der drei vorgestellten Qualitätsabstufungen (zeitlich, örtlich, qualitativ) dar. Ebenen entsprechen vor allem anwendungsspezifischen Vorgaben und Konzepten. Die Entscheidung, in welcher Ebene welche Inhalte mit welcher zeitlichen, örtlichen und qualitativen Auflösung transportiert werden, wird von der Anwendung dem Kodierer vorgegeben. In jeder vorhandenen Ebene eines Multimediastoms lassen sieh damit Aussagen über die Ebenen und den in ihnen transportierten Informationen ableiten, da sieh in jeder Ebene eines Stroms spezifische Inhalte befinden. Diese Aussage trifft insbesondere auf MPEG4 basierende Ströme zu.

Der MPEG4-Standard beschreibt, wie Sequenzen von einzelnen differenzierten Visuellen Objekten (VO) (oft auch als Videoobjekte rcfcrcnzicrt) in eigenen Ebenen oder einzelnen Elementarströmen (ES), mit weiteren Ebenen, kodiert werden können. Da Elementarströme eigenständige Ströme darstellen, müssen keine Abhängigkeiten zwischen ihnen betrachtet werden, auch wenn ein Multimediaszenario aus mehreren solchen Elementarströmen beste­hen kann. Da diese in eigenständigen Quellen erzeugt werden, existieren für sic eigenständige Privatsphärenpolitiken. Da somit jeder Ebene eine semantische Bedeutung aus Anwendungs­sieht zugeordnet ist, kann man bei der Erzeugung eines Stroms Aussagen über die in den jeweiligen Ebenen des Datenstroms kodierten Inhalte treffen. Diese Tatsache kann nutzen, um den Ebenen und somit auch den in ihnen transportierten Stromobjekten bestimmte Zwecke zu zuweisen.

Ansatzpunkte einer Zugriffskontrolle

Zugriffskontrollc kann an verschiedenen Stellen eines Systems aufsetzen, entweder auf Anwen­dungsschicht oder an tiefer liegenden Schichten innerhalb der Gcsamtarehitcktur. Auf Ebene der Anwendung kann auf das gesamte dort verfügbare Wissen und zusätzliche Methoden zu­rückgegriffen werden. Der Zugriff auf Wissen und Methoden der Anwendungsschicht ist aber mit hohen Kosten verbunden, da die Daten erst bis dorthin gelangen müssen und eventuell komplexe Rechenoperationen erforderlich sind, um das Wissen zu nutzen. Die Informationen der Anwendungsschicht sind somit sehr teuer. Darüber hinaus bedeutet Zugriffskontrollc auf Anwendungsschicht auch späte Entscheidung und den Verlust von Eingriffsmöglichkeiten und damit der Möglichkeit flexibel auf tieferen Schichten den Informationsfluss steuern zu kommen.

Hält man dagegen die Möglichkeit offen, auf tieferliegenden Schichten der Architektur ansetzen zu können, gewinnt man die Möglichkeit, frühzeitig und an nahezu beliebigen Stellen Zugriffskontrollc zu plazieren. Damit wird cs möglich gezielt und effektiv zu Entscheiden wem Informationen wann zugänglich gemacht oder wo sic angezeigt werden. Es ergibt sieh somit ein weitaus größere Flexibilität der Einsatzmöglichkeiten des Modells. Beispielsweise lassen sich so adaptive Ansätze, die etwa auf Veränderungen der Übcrtragungsqualität der genutzten Kanäle reagieren können, mit der Umsetzung von Anforderungen aus dem Bereich der Privatsphäre effektiv kombinieren.

Deshalb ist für die Fragestellung der Zugriffskontrollc zur Integritätssicherung der Privat­sphäre in Multimediaströmen der zweite flexiblere Ansatz vorzuzichcn. Um gewollte und ungewollte Informationsflüsse zu kontrollieren bedarf cs daher einer Anbindung von entspre­chenden Metainformationen direkt im Multimediastrom. Erst dann wird cs für die Zugriffs­kontrollc möglich, zu entscheiden, etwa bei einer Vidcokonfcrcnz, welchem Teilnehmer welche Audio- und Videodaten (mehrere Kameras oder nur eine) zugänglich sind und ob sic an die­sen versandt werden oder nicht, kann dann direkt vor dem Verschicken entschieden werden. Damit kann, wenn clever implementiert das Prinzip der Datcnvcrmcidung unterstützt wer­den, da nur notwendige Daten das Ursprungssystem verlassen. Unterschiedliche Teilnehmer werden in diesem Fall unterschiedliche Binärströme aus dem, vom Vidcokonfcrcnzsystcm erzeugten, mit Metainformationen versehenen, Gesamtstrom erhalten.

Anforderungen

3.3.2. Streamingfähigkeit/Zuverlässigkeit

Die Zuordnung von Zwecken zu einem Strom soll in Abhängigkeit des Entstchungskontcxt erfolgen. Der Entstchungskontcxt ist während der Lebensdauer eines Stroms nicht kon­stant. Daraus ergibt sich die Notwendigkeit, diese veränderte Zuordnung dem Empfänger des Stroms zu signalisieren. Dazu gibt cs verschiedene Ansätze. Prinzipiell kann man drei Arten unterscheiden:

Metadatenströme In diesem Fall werden Metadaten, so auch etwaige Informationen über Änderungen der Label parallel zum Datenstrom in einem eigenen Metadatenstrom übertragen. Der Datenstrom enthält dabei die eigentlichen Nutzdaten wie Video- und Audiodaten. Im Metadatenstrom (oder mehreren Metadatenströmen) werden alle zu­sätzlichen Informationen übertragen. MPEG-4[PEü2al nutzt diesen Ansatz beispiels­weise recht intensiv. Dabei kann cs sich um Synchronisationsdaten, weiteren struk­turellen und semantischen Informationen bis hin zu Copyrightinformationen handeln. Bei diesem Konzept bestallt das Problem, dass Objektverluste zu Informationsverlus­ten auf der Metadatenebene führen. Durch Sequenznummern können Objektverluste zwar spätestens beim nächsten Objekt sicher fest gest eilt werden, cs ist aber nicht mög­lich festzustellen, welche Informationen verloren gegangen sind und ob diese wichtig waren. Für ein Sichcrhcitsmodcll bedeutet das, dass cs unzuverlässig wird und keine Garantien über die getroffenen Aussagen mehr möglich sind. Daher ist dieser Ansatz für ein Sichcrhcitsmodcll in einer Streaminganwendung ungeeignet.

Innerhalb der Datenströme Bei diesem Verfahren fügt man in die Datenströme von Zeit zu Zeit (das kann in regelmäßigen oder unregelmäßigen Abständen geschehen) die Metada­ten als eigenständige Pakete ein. Dabei besteht das gleiche Problem der Objektverluste wie im ersten Ansatz. MPEG-2 benutzt dieses Verfahren und in MPEG-4 wird cs als Fallbacklösung genutzt, falls keine separaten Metadatenströme möglich sind. Der Vor­teil dieser beiden Varianten liegt in der Verringerung mehrfach übertragener Daten [PE02al.

Mit jedem Stromobjekt In diesem Fall hängt man die benötigten Metadaten an jedes Stro­mobjekt. Damit sind sic garantiert immer verfügbar, sofern keine Abhängigkeiten der Metadaten zu anderen Metadaten weiterer Stromobjekte bestehen. Den Vorteil der ga­rantierten Verfügbarkeit der Metadaten erkauft man sieh mit einer Zunahme redundant verschickter Informationen und somit größerer Stromobjektheader.

Für ein Sichcrhcitsmodcll bietet der letztgenannte Ansatz mit der genannten Optimierung einen guten Kompromiss zwischen Overhead, durch die zusätzlichen Referenzen je Stromob­jekt, und der Verfügbarkeit aller notwendigen Metadaten, um zuverlässige Zugriffscntsehci- dungen treffen zu können. Deshalb wird dieser Ansatz für das eigene Modell verwendet, da damit sowohl die Streamingfähigkeit als auch die Zuverlässigkeit realisiert werden können. Die Details werden im Kapitel 4 beschrieben.

3.3.3. Universalität

Multimediaströme können recht unterschiedlich komplex aufgebaut sein. Es können einfache Ströme sein, die nur einem Medientyp, etwa Audio oder Video, auf einer Ebene transpor­tieren. Es sind aber, wie beispielsweise im MPEG-4 Standard definiert, auch sehr komplexe Ströme mit verschiedenen Mcdicntvpcn und Ebenen möglich. Diese Stromebenen ermögli­chen die Skalierung der Ströme in mehreren Dimensionen und die bereits angcsproehcnc Bereitstellung von Metadatenströmen, die aber nicht zwingend vorgcsehricbcn ist. Die Ska­lierung kann in zeitlicher, räumlicher und qualitativer Dimension erfolgen.

3.3.4. Informationsflusskontrolle

Eine wesentliche Eigenschaft von Multimediaströmen ist der Transport von Inhalten über Sys­temgrenzen hinweg. Aus dieser Perspektive bietet sieh die Frage nach einem Zusammenhang zwischen Multimediaströmen und Informationsflusskontrollc, neben der Frage der reinen Zu­griffskontrolle, intuitiv an. Durch Informationsflusskontrollc ist cs möglich, den Pfad, den ein Multimediastrom nimmt, zu betrachten und bereits vor dem Versenden zu entscheiden soll er verschickt werden oder nicht.

3.3.5. Effizienz

Multimediaströme stellen hohe Anforderungen an die sic verarbeitenden Systeme. Sowohl bei Erstellung als auch bei Nutzung gibt cs einen hohen Rcssourccnbcdarf der multimediaverar­beitenden Anwendungen. Das führt zu einer Rcsourccnknapphcit. Ein Siehcrhcitsmodcll für Multimediaströme sollte daher den Rcssourccnbcdarf einer solchen Anwendung nicht unnötig erhöhen.

3.3.6. Robustheit

Das Siehcrhcitsmodcll muss sicherst eilen, dass keine Konflikte zur Laufzeit auftreten können. Konflikte bedeuten in diesem Fall, dass widersprüchliche Zweckvorgaben eine Benutzung des Stroms behindern oder eventuell unmöglich machen. Es müssen geeignete Methoden zur Garantie der Konfliktfreiheit zur Verfügung gestellt werden. Ein zweiter Aspekt betrifft die Robustheit gegenüber Verlusten von, für das Modell relevanten, Informationen durch Verluste von Stromobjekten und den mit ihnen verknüpften Zusatzinformationen. Dieser Punkt und entsprechende Schlußfolgerungen wurden bereits im Abschnitt 3.3.2 besprochen.

3.4. Verwandte Arbeiten

In den letzten .Jahren wurden eine Menge an Modellen zum Erfassen von Kontext, Privatsphä­re, Privatsphärenpolitiken und Zugriffskontrollc vorgcstcllt. Viele davon verfolgen ähnliche Ansätze, indem als Kcrnclcmcnt die Zweckbindung von erfassten Daten steht. Einige dieser Arbeiten, die besonders wichtige oder interessante Ansätze für die eigenen Arbeit geliefert haben, werden im folgenden kurz vorgcstcllt und besprochen.

Begonnen wird mit Tools und Protokollen, die cs ermöglichen Informationen über den Kommuniktionspartner, die Daten die er während der Kommunikation erhebt und wie er damit später umgeht untereinander auszutauschen. Diesen Ansatz verfolgt das Platform for Privacy Preferences Projekt (P3P) des W3C. Mittels der Enterprise Privacy Authorization Language, basierend auf [KS02] wird dann die Basis für die Durchsetzung einer feingranularen Privatsphärenpolitik innerhalb einer Organisation gelegt, um die von Nutzern gesammelten privaten Daten entsprechend ihrer Vorgaben zu behandeln.

Im Anschluss daran, werden das PBAC-Modcll und das Informationsraummodcll beleuch­tet, welche sieh ebenfalls mit der Problcmctik der Datenerfassung widmen. Am Schluss wer­den Mechanismen zur Rcehtcvcrwaltung aus den MPEG-Standards angesprochen und kurz er lout er t.

3.4.1. Platform for Privacy Preferences Projekt

Das Platform, for Privacy Preferences Projekt (P3P) [CDH+04] bietet ein Konzept, dass es crmöglitch Informationen über den Umgang mit privaten Daten der Besucher und Nutzer des Webangebotes zu beschreiben. Dabei können Aussagen über die gesammelten Informationen getroffen werden, wer auf diese Daten zu welchem Zweck zugreifen kann und wie lange sic in maschinenlesbarer Form gespeichert bleiben. Diese Vorgaben stellen nur relativ unverbindli­che Vorgaben für den Benutzer der Webseite zur Verfügung. Der Standard beschäftigt sieh nicht mit der Frage, ob und wie diese Vorgaben anwendungsintern umgesetzt werden und ob die Datenverarbeitung konsistent mit diesen Vorgaben erfolgt. P3P dient deshalb primär der Formulierung von Datcnschutzrichtlinicn auf abstraktem Niveau und der automatisierten Be­reitstellung über eine definierte Schnittstelle für die Nutzer der eigenen Wcbangcbotc. Es ist weniger für die organisationsinterne Kontrolle und Durchsetzung von Privatsphärcnrichtlini- cn gedacht und geeignet. Deshalb ist cs auch für technische Systeme, die solche Richtlinien durchsetzen sollen nur bedingt nutzbar und für diese Arbeit uninteressant.

3.4.2. The Enterprise Privacy Authorization Language

Basierend auf dem Modell von [KS02] hat IBM eine formale Bcsehrcibungsspraehc entwickelt, mit der cs möglich ist Anforderungen der Privatsphäre mittels Politiken zu formulieren und Datenverarbeitungspraktiken in IT-Systcmcn zu überwachen.

Eine EPAL-Politik definiert hierarchische Daten- und Nutzer-Kategorien, Zwecke, Mengen von Aktionen, Auflagen und Konditionen. Nutzer-Kategorien sind die Einheiten (Nutzcr/­Gruppcn) welche (gesammelte) Daten benutzen. Datcn-Katcgoricn definieren verschieden Kategorien von (gesammelten) Daten, welche aus Sieht der Privatsphäre verschieden behan­delt werden (medizinische Daten gegenüber Kontaktdaten). Zwecke modellieren die Diens­te für welche die Daten genutzt werden sollen. (Verarbeiten eines Rcisckostcnantragcs oder Audit-Prozesse). Aktionen beschreiben, wie Daten benutzt werden, (vcröffcntlichbar oder nur lesen). Auflagen beschreiben Aktivitäten welche von der Umgebung von EPAL umgesetzt werden müssen (nach 30 Tagen löschen, Zustimmung cinholcn). Konditionen sind boolsehc Ausdrücke, welche den Kontext beschreiben (Nutzer muss Erwachsen sein). Mit Hilfe die­ser Elemente werden Zugriffsregeln definiert. .Jede Regel erlaubt oder verweigert Aktionen auf Datcn-Katcgoricn von Nutzer-Kategorien, die für einen bestimmten Zweck unter gege­benen Konditionen ausgeführt, während bestimmte Auflagen eingehalten/garantiert werden. Die Reihenfolge der Regeln bestimmt ihre Abarbeitung. Damit ist cs möglich Ausnahmen und generelle Regeln zu definieren, indem Ausnahmen vor dem allgemeinen Fall beschrieben werden.

Der primäre Einsatzzweck wird dabei vor allem als flexibles Datenaustausehformat zwi­schen Anwendungen, die Privatsphäre basierte Regeln erstellen und durchsetzen, gesehen. Im Gegensatz zu P3P werden hier Politiken wesentlich detailierter beschrieben und definiert, so dass sic von Anwendungen importiert werden können und eine direkte Zugriffsentscheidung aus den importierten Regeln möglich ist, welche aber komplett der jeweiligen Anwendung überlassen bleiben. EPAL benutzt als Datenaustausehformat XACML.

EPAL bietet keine Untcrsützung, um die Datenkategorien an hierarchische Daten zu bin­den. EPAL kümmert sieh auch nicht um die effektive Überprüfung oder Durchsetzung der definierten Politiken, wenn auf die Daten zugegriffen wird.fBBLüd]

3.4.3. Purpose Based Access Control

In [BBLÜ5] und [BBLÜ4] wird ein metadatenbasierter Ansatz, zum Schutz von privaten Daten vorgcstcllt. Das dort entwickelte Zugriffskontrollmodcll (PBAC), basiert auf Zwecken als Basis für die Entscheidung des Zugriffs und ermöglicht damit Zweckbindung umzusetzen. Als Grundlage zur Verwaltung und Administration der Zwecke dient ein Zweckbaum mit einer endlichen Menge vorgegebener anwendungsspezifischer Zwecke. Zwischen den Zwecken werden Beziehungen durch Generalisierung und Spezialisierung beschrieben. Als In den folgenden Abschnitten wird insbesondere auf die Modellierung von Zwecken und Labein detailiert eingegangen, da diese als Grundlage für das eigene Modell in Kapitel 4 dienen werden, wo sic um Aspekte zur Abbildung von Informationsaltcrung erweitert werden. Die formalen Aspekte werden im Abschnitt 4.1.1 aufgeführt.

Zwecke

Im Modell werden zwei Typen von Zwecken definiert. Vorgabezwecke (VZ) beschreiben die angcdachtc Nutzung von Daten und setzen so das Konzept der Zweckbindung um. Sic wer­den durch Label mit den erfassten persönlichen Daten verbunden. Um den Zugriff zweck­konform zu gestalten, werden Zugriffszwecke (ZZ) beschrieben, die mit kontextabhängigen Rollen verbunden werden. Die Zugriffskontrolle erfolgt dann durch Abglcieh von Vorgabc- und Zugriffszweck.

Um eine breitere Ausdruckskraft des Modells zu erreichen, werden positive und negative Zwecke in Form von erlaubten Vorgabezwecken (EVZ) und verbotenen Vorgabezwecken (WZ) eingeführt. Damit ist cs möglich Zwecke explizit und garantiert von der Nutzung auszusehlic- fbcn. Für den Konfliktfall sieh widersprechender erlaubter und verbotener Vorgabczwcckc, hat der verbotene Vorgabezweck Vorrang vor dem erlaubten.

Labeling-Modell

Die Verknüpfung der Vorgabzwcckc mit den Daten erfolgt über ein Labeling-Modell. Dazu werden Label, aus Vorgabezweeken, und ein hierarchisches Datenmodell beschrieben, das den Umgang mit komplexen, strukturierten Daten ermöglicht.

Da bei komplexen hierarchisch abhängigen Daten Konflikte durch sieh widersprechende Label auftreten können, wurden starke. (stVZ) und schwache. (swVZ) Vorgabczwcckc einge­führt. Starke Vorgabczwcckc dürfen bei der Inferenz von Lab ein nicht übersehrieben werden, schwache dürfen übersehrieben werden.

Die Verknüpfung von Daten und Vorgabezweeken erfolgt durch sogenannte wohlgeformte Label. Das Labeling-Modell stellt zwei Bedingungen an die Label, die beide zusammen die Widcrspruehsfrcihcit des Modells garantieren.

Wohlgeformtheit

Erstens, Label müssen wohlgcformt sein. Wohlgcformt bedeutet, dass sieh der starke und der schwache Vorgabezweck innerhalb eines Labels nicht widersprechen. Diese Bedingung wird genau dann erfüllt, wenn der schwache Vorgabezweck keine Zwecke erlaubt, die im Starken verboten sind und wenn der Schwache keine Zwecke verbietet, die im Starken erlaubt sind.

Konsistenz

Als zweites Merkmal wird die Konsistenz, also Widcrspruehsfrcihcit von Labein an strukturell abhängigen Datenelementen gefordert. Zur Verdeutlichung sind in Abbildung 3.4 exempla­risch zwei abhängige Objekte mit ihren Typen und Labein dargestellt. Dabei sind nicht alle Elemente mit einem eigenen Label versehen. Das Objekt O1 erhält sein, bei der Zugriflľs- kontrolle genutztes, Label durch seinen Typ Ti. Im Gegensatz dazu besitzt das Objekt O2 bereits ein eigenes, durch die Politik vorgegebenes, Label. Dieses Label allein bestimmt aber nicht den tatsächlich gütligen Vorgabezweck für dieses Objekt. Vielmehr wirken sieh auch die Label aller mit ihm in Verbindung stehenden Vorgänger aus. Der tatsächliche Vorgabezweck wird durch die Ableitung eines Labels, das aus allen drei im Bild zu sehenden Labein gebil­det wird, bestimmt. Dabei wird deutlich, wie wichtig cs ist, die in der Konsistenzbedingung geforderte Widcrspruehsfrcihcit zu realisieren, da der Vorgabezweck sonst nicht eindeutig bestimmbar ist.

Das Labeling der Daten kann, wie in der Abbildung zu schon explizit oder implizit erfolgen. Explizit wird ein Datum gelabelt, indem ihm ein Label direkt zugewiesen wird. Implizit erbt ein Datum die Label seiner Typen und Vorgänger.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3.4: Beispiel für die Zuordnung von expliziten und impliziten Labein nach PBAC

Bestimmung des Zugriffszwecks

Da die Zugriffsentscheidung allein auf der Zuordnung der Zwecke basiert, kommt der Zuord­nung der ZZ durch die Laufzeitumgebung eine enorm wichtige Bedeutung zu, da sic allein über einen positiven oder negativen Ausgang der Zugriffsanfrage entscheidet. Im PBAC- Modcll wird daher ein Kontext eingeführt, der den Zustand des Systems bei der Zugriffsan­frage definiert. Dieser Systemzustand wird durch Werte von Systemattributen beschrieben. Systemattribute müssen entsprechend den Anforderungen der Anwendung definiert werden und sind dem Modell zur Laufzeit bekannt. Als Systemattribute werden beispielhaft die Zeit oder Systemkennungen genannt. Diese können dann als Bedingungen genutzt werden, um Zugriffszwecke auf ihre, dem Systemzustand entsprechende, Gültigkeit zu überprüfen.

Besprechung des Ansatzes

Das Modell wurde für den Einsatz der Erfassung und Verarbeitung von strukturierten Da­ten in Datenbanken entwickelt. Dabei geht man von singulären Datenerfassungszeitpunkten aus, zu denen der Nutzer Privatsphärenvorgaben der datenerfassenden Organisationen zu­stimmt (oder auch nicht) und dann seine Daten übermittelt. Damit ist die Datenerfassung abgeschlossen und cs können die unterschiedlichen Aspekte bei der Nutzung der so erfassten und mit Lab ein versehenen Daten betrachtet werden. Das Modell erlaubt cs, bereits erfasste Daten vom ursprünglichen Dateneigentümer zu verändern.

Als elementare Elemente sind die detailierte Modellierung von Zwecken, einer Zwcckhicrar- chie und dem Labeling von komplexen Objekten auf Basis eines hierarchischen Datcnmodclls zu nennen. Dieser Ansatz wird als Ausgangspunkt für das hier vorgcstclltc Modell dienen.

Für die Nutzung mit Multimediadatenströmen fehlen dem Modell einige wesentliche in den Anforderungen aufgestelle Eigenschaften. Es ist nicht möglich, Informationsaltcrung zu berücksichtigen, da keine zeitlichen Restriktionen mit Labein oder Objekten verknüpft wer­den können. Das hier vorgcstclltc Modell wird deshalb die Grundlagen (Zwecke, Zweckbaum und Label) übernehmen und um zeitliehe Restriktionen erweitern. Außerdem wird es mit Hilfe von Privatsphärenobjekten möglich sein, eine Menge zeitlich beschränkter Label mit Objekten zu verknüpfen an statt nur einem zeitlich unbeschränkt gültigen Label.

Das hierarchische Datcnmodcll bietet eine sehr hohe flexibilität durch die über die Ob­jekte definierten Abhängigkeiten. Gleichzeitig fehlt dadurch die Möglichkeit, Konflikte zwi­schen Labein vor der Instanziicrung von Objekten zu erkennen, da erst mit Instanziicrung der Objekte bekannt wird, welche Label miteinander zu kombinieren sind. Im Modell muss die Anwendung dafür sorgen, dass neu eingeführte und genutzte Label die entsprechenden Wohlgcformthcits- und Konsistenzbedingungen erfüllen. Gerade bei Multimediaströmen wä­re cs fatal, wenn erst bei der Zuordnung von Labein zu Stromobjekten Inkonsistenzen erkannt und darauf reagiert werden könnte. Deshalb wird ein modifiziertes Datcnmodcll genutzt, dass cs erlaubt, die Konsistenzprüfung mittels des statischen Teils des entwickelten Modells zu realisieren.

3.4.4. Zugriffskontrolle in MPEG

In den MPEG-Standards ist ab MPEG-4 fPE02a] ein Framework für die Implementierung von Zugriffskontrolle enthalten. Es wird als Intellectual Property Management und Protecti­on (IPMP, IS О ЛЕС 21000-4) bezeichnet und wurde über MPEG-7 bis MPEG-21 [Kosüd] ständig wcitcrcntwickclt und verfeinert. Das Hauptziel besteht in der Definition von digitalen Rechten und ihrer Durchsetzung. Um dieses Ziel zu erreichen wird eine Sprache, die MPEG Rights Expression Language. (REL, ISO/IEC 21000-5) definiert. Diese soll in Verbindung mit einem MPEG Rights and Data Dictionary (RDD, ISO/IEC 21000-6) das Rcchtcmanagcmcnt von Digital Items (DI, ISO/IEC 21000-2/3) ermöglichen. Digitale Einheiten beschreiben hierarchische Kontainer von Ressourcen, Metadaten und anderen Digitalen Einheiten. Diese umfassen in der Regel aber komplette Ströme, so dass cs nicht oder nur sehr umständlich möglich ist, Teilen von Strömen mit unterschiedlichen Rechten zu verschon.

Es wird eine XML-Basicrtc Bcschrcibungssprachc (gBS) für digitale Elemente beschrieben. Dieser Ansatz bringt einiges an Problemen mit sieh. Um ein XML-Dokumcnt auswerten zu können, muss cs komplett vor liegen, was bei Live-Daten nie der Fall ist. Außerdem muss neben dem Nutzdatenstrom noch weiterer Datenstrom übertragen werden. Das bedingt die in Abschnitt 3.3.2 beschriebenen Herausforderungen mit sieh. D

3.4.5. Dezentralized Labeling Modell

In [MLüü] beschreiben Myers und Liskov ein Informationsflussmodcll, das sic Decentralized Labeling M odel (DLM) nennen. Dieses Modell wurde zur Inferenz Vermeidung in Program­miersprachen entwickelt. Es arbeitet mit Labein, die mit Variablen und Funktionen einer Programmiersprache verknüpft werden, um unerwünschte Informationen über den Inhalt oder die Existenz von Variablen zu verhindern und somit unerwünschte Informationsflüsse zu unterbinden.

Ein Label hat dabei die From: (o : ri,r2,rn). Dabei bezeichnet o, den Eigentümer des Objektes und die Menge {n bis rn} beschreibt Subjekte die lesend auf das Objekt zugreifen dürfen. Der Eigentümer eines Objektes kann auch lesend darauf zugreifen. Ein Objekt kann mehrere Label besitzen. Die Menge er tatsächlich erlaubten Leser wird dann durch Inferenz aller Label bestimmt. Dabei dürfen dann nur noch die Subjekte auf ein Objekt zugreifen, die in allen Lab ein enthalten sind.

Im Gegensatz zum Bcll-LaPadula Modell ist zur Dcklassifizicrung von so gelabelten Va­riablen kein zentrales vertrauenswürdiges Subjekt nötig, da mit jedem Label das Subjekt verknüpft ist, das das Label vergeben hat. Damit kann das entsprechende Subjekt das La­bel nachträglich wieder ändern und somit die Zugriffsmöglichkeiten anderer Subjekte auf Bcrcdmungscrgcbnissc beeinflussen.

3.4.6. Informationsraummodell

Jiang und Landay [JL02] teilen in ihrem Modell die Welt in Informationsräumc auf, die durch physikalische, soziale und aktivitätsbezogene Grenzen definiert werden, um Privatsphäre durch die Kontrolle von Informationsflüsse über diese Grenzen zu kontrollieren.

Dazu wird die Idee der dezentralisierten Label aus dem DLM aufgegriffen und um kon­textabhängige Privatsphärcncigcnschaftcn erweitert. Dazu gehören der Informationsraum, in dem die Daten erfasst wurden, die Qualität der Daten (beispielsweise hoch oder niedrigauf- löscnd) und die Sicherheit der Korrektheit der erfassten Information.

4. Zugriffskontrollmodell und Anbindung an Multimediaströme

Das Zugriffskontrollmodell wird auf Metainformationen beruhen. Dazu werden Subjekte und Objekte mit zusätzlichen Attributen versehen (gclabclt) und über den Vergleich der Werte dieser Attribute eine Aussage über die Zulässigkeit einer Zugriffsanfrage getroffen. Diese Idee ist nicht neu. Bereits im Bcll-LaPadula-Modcll (BLP)[BL73l wird dieser Ansatz benutzt.

Für die Modellierung von zeitgebundenen Zwecken ist die dort genutzte Ordnung von Labein nicht ausreichend. Sic wird deshalb durch eine Mengenalgebra mit Hierarchien, mit der Zwcckmcngcn und Zeit bcsehrcibbar sind, ersetzt. Dadurch gehen einige Annahmen des BLP-Modclls und die Möglichkeit der Abbildung auf die Zugriffsmatrix verloren. Das Grundprinzip des Abglciehs zwischen Objekt- und Subjcktcigcnsehaftcn, die jetzt komplexer sind, bleibt aber erhalten.

4.1. Grundelemente

In diesem Abschnitt werden die Grundelemente des Modells eingeführt. Dazu gehören Zwe­cke, der Zweckbaum, Label und ihre Erweiterung bis hin zu Privatsphärenobjekten und das hierarchische Strommodcll. Im anschließenden Abschnitt wird dann das Labeling beschrie­ben.

4.1.1. Zwecke, Zweckbaum, Vorgabezwecke und Label

Als Grundlage für die Modellierung der Zwecke dienen die Definitionen im PBAC-Modcll [BBLÜ5] und werden hier der Vollständigkeit halber nochmal formal explizit definiert.

Definition 1 (Zwecke, und Zweckbaum)

Der Zweckbaum ZB ist ein 2-Tupel ZB = (ZW, <zw)

- ZW = [zw\,zw2, zw3,..., zwn} beschreibt eine endliche Menge von anwendungsabhän­gig definierten Zwecken.
- Die Relation <zw beschreibt eine Ordnung der Ele mente von ZW. So dass wenn x <ZW У dann ist x eine Spezialisierung von y und y eine Generalisierung von x.
- Es gibt einen Generellen Zweck (GZ), der alle anderen Zwecke umfasst, immer in der Menge der Zwecke enthalten ist und die Wurzel des Baums darstellt. Die leere Menge ist der Zweck, der alle anderen Zwecke ausschlicßt.

Beispiel: ZW = {GP, public, private, record, screen, teach} ZB:

Basierend auf den Zwecken und dem Zweckbaum, werden zunächst die Vorgabezwecke definiert :

Definition 2 (Vorgabezweck)

VZ = {(EVZ,VVZ)\EVZ Ç ZW,VVZ Ç ZW} beschreibt die Menge der Vorgabezwecke, die durch Tupel bestehend aus Mengen von Zwecken gebildet werden. EVZ beschreibt er­laubte Vorgabezwecke und VVZ die verbotenen. Verbotene Vorgabezwecke haben Vorrang vor erlaubten Vorgabezwecken.

Da für die Zwecke ein Zweckbaum definiert ist, beschreiben die Mengen EVZ und VVZ mehr Elemente als nur die in ihnen enthalten. Ein Vorgabezweck umfasst alle Elemente der Menge EVZ sowie seiner Nachfolger im Zweckbaum und die Menge VVZ umfasst sowohl alle Nachfolger als auch alle Vorgänger im Zweckbaum. Die für den Zugriff zulässigen Zwecke ergeben sich dann durch die Differenz, der durch die Mengen EVZ und VVZ gebildeten Zwecke.

Formal lassen sich so folgende Mengen definieren:

Definition 3 (Enthaltene. Zwecke.)

1. EVZ1 = [Abbildung in dieser Leseprobe nicht enthalten]

2. VVZ1 = [Abbildung in dieser Leseprobe nicht enthalten]

Beispiele: [Abbildung in dieser Leseprobe nicht enthalten]

Mit den Vorgabezwecken und der Definition der in ihnen enthaltenen Zwecken werden nun wohlgeformte Label beschrieben:

Definition 4 (Wohlgeformtes Label)

Die Menge der wohlgeformte Label WL = {(stVZ,swVZ)\stVZ G VZ,swVZ G VZ} be­steht aus jeweils zwei Elementen der Vorgabezwecke. Die Wohlgeformt heit ist an die Be­dingung geknüpft, dass sich stVZ und swVZ innerhalb eines Labels nicht widersprechen dürfen. Konkret bedeutet das, der schwache Vorgabezweck darf keine Zwecke erlauben, die im Starken verboten sind und er darf keine verbieten, die von Starken erlaubt werden.

Beispiel:[Abbildung in dieser Leseprobe nicht enthalten]

Damit sind die grundlegenden Elemente aus dem PBAC-Modell spezifiert. Darauf aufbau­end werden nunr Zeitgebundene Label und Privatsphärenobjekte beschrieben.

4.1.2. Zeitgebundene Label

Um einen Bezug zur Zeit herzustellen, wird die Menge WL mit den natürlichen Zahlen verknüpft: ZWL Ç VZ x N.

Definition 5 (zeit-gebundenes Label)

Die Menge ZWL = [Abbildung in dieser Leseprobe nicht enthalten] der zeitgebundenen Label besteht aus Tupeln wohlgeformter Label und natürlicher Zahlen. Der Wert von n entspricht einem Zeitpunkt. Die genaue semantische Bedeutung ergibt sich erst in Verbindung mit einem Stromobjekt, die durch Privatsphärenobjekte realisiert wird. Beispiele:[Abbildung in dieser Leseprobe nicht enthalten].

4.1.3. Privatsphärenobjekte

Definition 6 (Privatsphärenobjekte)

Die Elemente der Menge der Privatsphärenobjekte [Abbildung in dieser Leseprobe nicht enthalten] bestehen aus Elementen to Potenzmenge der zeitgebundenen Label. Beispiel:[Abbildung in dieser Leseprobe nicht enthalten]. Der Wert von n eines zeitlich beschränk­ten Labels beschreibt innerhalb eines Privatsphärenobjektes ab welchem Zeitpunkt das Label für das Stromobjekt gültig ist. Ein Label mit t ist so lange gültig, bis ein nachfolgendes Label mit tn t gültig wird oder das Stromobjekt aufhört zu existieren.

Ein Privtsphärenobjekt wird als wohlgeformt bezeichnet, wenn es folgende Konditionen erfüllt:

1. Die Elemente eines Privatsphärenobjektes sind dabei in aufsteigender Reihenfolge ent­sprechend des Wertes von n der einzelnen Tupel geordnet.
2. Es muss immer ein Tupel mit n = 0 vorhanden sein. Ist dies nicht der Fall, wird implizit das zeitgebundene Label mit keinem erlaubten Zweck und n = 0 angenommen.
3. Alle zeitgebundenen Label [Abbildung in dieser Leseprobe nicht enthalten] besitzen ein [Abbildung in dieser Leseprobe nicht enthalten] Das heifit, es gibt keine zwei zeitgebundenen Label in einem Privtsphärenobjekt mit gleichem Index n.

4.1.4. Datenmodell und Kontext

Definition 7 (Hierarchisches Strommodell)

Das hierarchische Strommodell HSM wird als 4-Tupel HSM = (O, E, layer, <e) dargestellt. Dabei beschreibt:

1. O die Menge aller Objekte im Strom.
2. E die Menge aller Ebenen im Strom.
3. layer : [Abbildung in dieser Leseprobe nicht enthalten] eine Funktion, die jedem Objekt eine Ebene zuweist.
4. [Abbildung in dieser Leseprobe nicht enthalten] dann ist x eine Spezialisierung von y.

In diesem Strommodell werden die Typen der Stromobjekte nicht berücksichtigt, da die Stromebenen als Grundlage des Labelings ausreichend sind. Über die Ebenen wird den Ob­jekten dann kontextabhängig ein Privatsphärenobjekt zugewiesen. Deshalb wird nachfolgend der Kontext und dann die kontextabhängige Abbildung von Ebenen zu Privatsphärenobjek­ten beschrieben.

Definition 8 (Kontext)

Der Kontext K = [Abbildung in dieser Leseprobe nicht enthalten] wird durch eine endliche Menge von Attributen definiert. Jedes Attribut besitzt eine Funktion value(), die in Abhängigkeit vom Zustand 2 der Umgebung den Wert des Attributes liefert: attr.value(z). Die Funktion ist svstem- und sensorabhängig und hier deshalb nicht weiter spezifiziert. Die Menge [Abbildung in dieser Leseprobe nicht enthalten]} beschreibt die Werte der Attribute für al­le Zustände z die der Kontext annehmen kann. Mit den Attributen aus K können endliche logische Aussagen AKontext definiert werden, die in der Privatsphärenpolitik hinterlegt sind. Diese nutzen die logischen Operatoren Λ und V sowie Prädikate der Form [Abbildung in dieser Leseprobe nicht enthalten]als Konstanten und [Abbildung in dieser Leseprobe nicht enthalten] als Vergleichsoperatoren. Die Konstante y muss immer den gleichen Typ besitzen, wie der Wert des Attributes x, welcher durch die jeweilige Funktion value() des Attributes vorgegeben ist.

4.2. Labeling von Stromobjekten

Als Grundlage für das Labeling der Stromobjekte wird eine Privatsphärenpolitik (PSP) die­nen. In dieser werden mögliche Privatsphärenobjekte festgelegt. Die Privatsphärenobjekte basieren auf den zuvor beschriebenen Grundelementen. Daneben werden mögliche Ausprä­gungen von Entstehungskontexten festgelegt, also konkrete Zustände durch Aussagen defi­niert und der Strom in einem Strommodell beschrieben. Für jeden Kontextzustand wird dann festgelegt, welche der vorhandenen Stromebenen mit entsprechenden Privatsphären Objekten verknüpft werden. Ebenen, die nicht von anderen Ebenen abhängen, müssen immer eine explizite Zuordnung zu Privatsphärenobjekten innerhalb der Privatsphärenpolitik besitzen. Ebenen, die laut Strommodcll von anderen abhängen, erben die Privatsphärenobjekte ihrer strukturellen Vorgänger und können darüber hinaus auch eigene besitzen. Die tatsächlichen Privatsphärenobjekte (TPSO) für diese Ebenen ergeben sieh dann aus der Inferenz aus den geerbten und eigenen Privatsphärenobjekten. Die Zuordnung von Stromobjekt zu den tat­sächlichen Privatsphärenobjekten ergibt sieh dann dynamisch kontext- und ebenenabhängig entsprechend der Vorgaben der Privatsphärenpolitik.

Die gerade beschriebenen Zuordnungen innerhalb einer Privatsphärenpolitik sind alle stati­scher Natur und können sieh während der Benutzung des Modells nicht verändern. Es können keine neuen Zwecke oder Privatsphärenobjekte hinzukommen und auch die definierten mög­lichen Zustände des Enstchungskontcxtcs als auch der Zuordnungen zu den Privatsphärenob­jekten sind fest. Damit ist cs möglich eine statische Überprüfung des Modells vorzunchmcn und somit Inkonsistenzen vor der eigentlichen Nutzung festzustellen und ggf. zu beheben. Außerdem können bestimmte Elemente, wie Zwecke, Label und tatsächliche Privatsphäre­nobjekte bereits vor der Stromübertragung mit allen beteiligten Knoten abgestimmt und dorthin übertragen werden.

4.2.1. Bestimmen der tatsächlichen Privatsphärenobjekte

Bevor Privatsphärenobjekte Stromobjekten zugeordnet werden können, müssen sic für alle definierten Zustände des Erfassungkontextes und jede einzelne Ebene abgeleitet und auf Kon­fliktfreiheit überprüft werden. Im PBAC-Modcll wurde ein Vorgabczwcckinfcrcnzalgorithmus (IPI-Algorithmus) eingeführt. Dieser kann aber nur mit einfachen, zeitunabhängigen Lab ein auf Basis von Objektabhängigkeiten umgehen und ist daher für Privatsphärenobjekte und über Stromebenen (Typen) definierte Abhängigkeiten nicht benutzbar. Deshalb wird hier ein eigener Algorithmus für die Inferenzbildung von Privatsphärenobjekten vorgcstcllt.

In Abbildung 4.1 ist der Vorgang der Inferenzbildung zwischen zwei Privatsphären Objekten schematisch dargestellt. Auf den Achsen ist jeweils der Zeitpunkt, ab dem ein wohlgcformtcs Label des Privatsphärenobjektes gültig wird, zu sehen. Bei der Bildung des resultierenden Privatsphärenobjektes muss für jeden Zeitpunkt t in dem in einem der beiden zu vereinigen­den Objekte ein neues Label aktiviert wird, das resultierende Label aus beiden Objekten bestimmt und im tatsächlichen Privatsphärenobjekt eingefügt werden. Das resultierende La­bel wl —13 ergibt sich aus der Vereinigung von wl —12 und wl2 — 2. Im Laufe dieses Prozesses können neue Privatsphärenobjekte und neue zeitgebundene Label entstehen, die der jeweili­gen Menge hinzugefügt werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4.1: Grafische Darstellung der Inferenz zwischen PS01 und PS02 und dem resultie­renden tatsächlichen Privatsphärenobjekt TPSO

PSO-Inferenz-Algorithmus

Der ausführliche PSO-Inferenz-Algorithmus in Form von Pseudocode befindet sich im An­hang A. Die Funktion mcrgc_wl entspricht der Funktion mcrgc_ip aus dem IPI-Algorithmus. Daher kann auch, da das formale Modell auf den gleichen Grundlagen, bis hin zu den wohlge­formten Labckn basiert, das Theorem 1 des PBAC-Modells und dessen Beweis übernommen werden. Dieses Theorem besagt, dass die durch den IPI-Algorithmus erzeugten Label den Anforderungen an die Widerspruchsfreiheit genügen. Das gleiche lässt sich für die Label hier vorgestellten Modell.

4.2.2. Zuordnung von tatsächlichen Privatsphärenobjekten und Stromobjekten

Nachdem nun alle notwendigen Elemente besprochen wurden, kann der Schritt der kontext- und ebenenabhängigen Zuordnung von tatsächlichen Privatasphärcnobjcktcn zu Stromobjek­ten besprochen werden.

Nach der kontextabhängigen Zuordnung existiert eine einfache direkte Abbildung zwi­schen Stromobjekten und Privatsphärenobjekten und es kann über das Alter des Stromob­jektes auf das gültige Label und somit den Vorgabezweck geschlossen werden: label_o(o) = label_pso(opso(o),age(o)). Dabei liefert die Funktion age : [Abbildung in dieser Leseprobe nicht enthalten] das Alter des Objek­tes und die Funktion opso : [Abbildung in dieser Leseprobe nicht enthalten] das dem Objekt zugeornete Privatsphärenobjekt. Über die Funktion label_pso : [Abbildung in dieser Leseprobe nicht enthalten] kann ein bestimmtes Label aus einem Privatsphärenobjekt selektiert werden.

Für die Zuordnung während des Labeins des Objektes ist aber die komplexe Abhängig­keit zwischen Ebene des Objektes und momentanen Zustand des Entstehungskontextes aus­ schlaggebend. Das kann durch eine Funktionsschar Rk ausgedrückt werden. Dabei wird für jeden definierte Kontextaussage einer Ebene eine Funktion psok (e, z) entsprechend der Pri­vatsphärenpolitik bestimmt. Eine Funktion pso(e, z) aus der Funktionsschar Rk beschreibt dabei folgenden Zusammenhang: [Abbildung in dieser Leseprobe nicht enthalten] unter der Bedingung dass eine Aussage aus A-Kontext für den Zustand z zu einem wahren Ergebnis führt.

4.3. Subjekte, Tasks und Zugriffszwecke

Das Hauptaugenmerk des Modells liegt auf dem erfassungskontextabhängigen Labein der Stromobjekte. Um die Integritätswahrung der Privatsphäre zu veranschaulichen, wird für den Zugriff eine einfache Abbildung zwischen Subjekt und Zugriffszweck in Abhängigkeit des Zugriffskontextes genutzt. Diese Zuordnung kann, wie in [FHül] oder [FKC03] auch wesentlich komplexer gestaltet werden.

5. Privatsphärenpolitik

Auf den folgenden Seiten wird entsprechend der Analyse (Kapitel 3) und der im Kapitel 4 besprochenen konkreten Modelleigensehaften eine Sprache zur Beschreibung einer Privat­sphärenpolitik (PSP) entworfen. Mit Hilfcr der Privatsphärenpolitik werden die statischen Elemente einer konkreten Instanziicrungdcs des Modells sowie ihre Abhängigkeiten definiert.

Auf Basis der Politik können dann alle Elemente auf Wohlgcformthcit und Konsistenz über­prüft werden, bevor das Modell mit der Politik zum Einsatz gelangt. Dazu werden mittels des PSO-Infcrcnz-Algoritlmiuscs die fehlenden Privatsphärenobjekte und Vorgabczwcekc be­stimmt. Diese werden dann zusammen mit bereits in der Politik definierten an alle beteiligten stromvcrarbcitcndcn Knoten geschickt.

Dazu werden in Politik verschiedene Menge und ihre Abhängigkeiten definiert. .Jede Men­ge wird durch ein Schlüsselwort, dass sic beschreibt, und einer Folge von Strings, die die Elemente beschreiben, gebildet. Dazu gehören: Zwecke und Scnsorcn/Kontcxtattributc zur Beschreibung der Kontcxtzuständc.

Dann lassen sieh zwei Teilpolitiken entsprechend der EK und ZK definieren. Die Spezifika der zwei Kontexte werden dann getrennt betrachtet:

- Labelingpolitik (LP)
- Zugriflľspolitik (ZP)

Ein Beispiel kann im Anhang В betrachtet werden.

Die Funktionsschar für die Ebenen wird indirekt aus der Privatsphärcnpolitk abgeleitet. Da hier, nicht für jede Ebene ein passender Zustand, sondern für einen definierten Zustand die jeweiligen Ebenen mit Privatsphärenobjekten verknüpft werden. Der Grund dafür, liegt in der intuitiveren Möglichkeit eine Situation zu beschreiben und für diese dann festzulegen, welche Ebene mit welchen Privatsphärenobjekten verknüpft werden sollen.

5.1. Evaluation

Der folgende Abschnitt wird untersuchen, ob das entwickelte Modell die gesteckten Ziele erreicht hat. Die gesteckten Ziele konnten teilweise erreicht werden, da insbesondere die voll­ständige formale Darstellung des Modells nicht erreicht wurde, sowie eine Implementierung nicht mehr stattgefunden hat.

6. Zusammenfassung und Ausblick

Im letzten Kapitel der Arbeit wird der Abschnitt 6.1 die gewonnenen Erkenntnisse zusam­menfassen sowie mit den Zielen der Arbeit und den in Kapitel 3 aufgestellten Anforderungen verglichen. Im Abschnitt 6.2 wird dann ein Ausblick auf weitere zu betrachtende Aspekte und offene Fragestellungen gegeben, die in künftigen Arbeiten abgehandelt werden können.

6.1. Zusammenfassung

Es wurde gezeigt, dass durch die Einführung von Privatsphärcncpochcn unter Erzwingung von Strukturcpoehcnwcehscln eine Abbildung eins zwcekbasicrtcn Zugriffskontrollmodclls mit folgenden Eigenschaften möglich ist. Das Modell kann statisch überprüft werden.

6.2. Ausblick

Eine Forderung aus dem Katalog der Privatsphäre, die Möglichkeit den urpsrünglichcn Date­neigentümer über Nutzungen seiner Daten zu informieren oder ihm gar zu erlauben, diese zu prüfen, wurden im Modell nicht realisiert. Ansatzpunkte dafür ergeben sich aber aus der Ar­beit [MLüü], indem den Lebeln einfach eine Information, die Rückschlüsse auf den ursprüng­lichen Dateneigentümer zulassen, angeheftet wird. Diese können auch mittels Pseudonymen oder Anonymen erfolgen, die sich mit kryptographischcn Mitteln realisieren lassen.

Der Kern des entwickelten Modells beschreibt, wie man kontextabhängig Stromobjekte mit Labein versieht, die in Abhängigkeit des Objektalters gültig sind. Erwcitcrungsmöglichkcitcn bieten sich bei der Beschreibung des Kontextes, da dieser hier nur in einer sehr einfachen Art beschrieben und genutzt wird. Desweiteren erfolgt auch die Verknüpfung von Subjekten mit Zugriffszwecken auf recht rudimentäre Art. Für beide, um den Kern des Modells gruppierte Ansätze gibt cs weitreichende Ansätze, die man nutzen kann, um die Integration in ein Gesamtsystem zu realisieren.

Literaturverzeichnis

[ASül] Adams, A. und M.A. Sasse: Privacy in Multimedia Communications: Protec­ting Users Not Just Data. In: Joint Proc. Human-Computer Interaction/Interacti­on d'Homme-Machine IMH-HCI 01, Seiten 49 64, Berlin, 2001. Springer Verlag.

[BBL04] Baux, Ji-Wox, Elisa Bertixo und Nixghui Li: Purpose Based Acce,?,? Con­trol for Privacy Protection in Relational Dabatabase Systems. Technischer Be­richt, Purdue University, 2004.

[BBL05Ì Byux, Ji-Wox, Elisa Bertixo und Nixghui Ll Purpose based access control of complex data for privacy protection. In: SACMAT ’05: Proceedings of the tenth ACM symposium on Access control models and technologies, Seiten 102 110, New York, NY, USA, 2005. ACM Press.

[BDMN06Ì Barth, A., A. Dalia, J. C. Mitchell und H. Nissexhaum: Privacy and Contextual Integrity: Framework and Applications, erscheint in: Proceedings of 27th IEEE Symposium on Security and Privacy, 05 2006.

[BG05Ì Boyle, Michael und Saul Greexherg: The. language of privacy: Learning from video media space, analysis and design. ACM Transactions on Computer­Human Interactions, 12(2):328 370, 2005.

[BL731 Bell, D. Elliot und Leoxard J. LaPadula: Secure Computer Systems: Ma­thematical Foundations. Technischer Bericht, MITRE, Bedford, Massachusetts, 03 1973. An electronic reconstruction by Len LaPadula of the original MITRE Technical Report 2547, Volume I, Nov 1996.

[ВоуОЗ] BOYLE, Michael: A Shared Vocabulary for Privacy. In: Workshop on Ubicomp Communities: Privacy as Boundary Negotiation. UBICOMP 2003 5th Interna­tional Conference on Ubiquitous Computing, Seattle, October 12, 2003.

[Brüü5] BrÜCKXER, MARKUS: Analyse und Beschreibung von Strukturinformationen in Multimediaströmen. Diplomarbeit, Technische Universität Ilmenau, 2005.

[CDH+04] Craxor, L., B. Dobbs, G. Hogbex, J. Humphrey, M. Laxgheix- Ricii, M. Marchiori, M. Presler-Marshall, J. Reagle, M. Schux- TĽR, D.A. Stampley und R. Wexxlxg: The Platform for Privacy Prefe­rences 1.1 (P3P1.1) Specification. Technischer Bericht, 2004. Available at http://www.w3.org/TR/P3Pll, W3C Working Draft 27 April 2004.

[DASOl] Dey, Axtxd K., Gregory D. Abowd und Daxtel Salber: A Conceptual Framework and a Toolkit for Supporting the. Rapid Prototyping of Context-Aware Applications. Human Computer Interaction, 16(2/4):97 166, 2001.

[cuP95] Datenschutzrichtlinie (Richtlinie 95/4-6/EG), 1995.

[cuP97] Schutz der Privatsphäre im Bereich der Telekommunikation (Richtlinie 97/66/EG), 1997.

[FHüll F ISCHER-HÜBXER, S.: IT-Security and Privacy, Band 1958 der Reihe Lecture- Notes in Computer Science. Springer-Verlag, 2001.

[FKC03Ì Ferraiolo, David F., D. Richard Kuhx und Ramaswamy Chaxdramou- Ll: Role-Based Access Control. Ariceli House, England, 2003.

[fteü3l Fair Information Practice (FIP) Principles, 2003.

[Gol99] Gollmaxx, Dieter: Computer Security. John Wiley Sons, England, 1999.

[HIR02] Hľxricksľx, Karľx, Jadwiga Ixdulska und Axdry Rakotoxiraexy: Mo­deling Context Information in Pervasive Computing Systems. In: Pervasive Com­puting: First International Conference, Pervasive 2002, Zürich, Switzerland, Au­gust 26-28, 2002. Proceedings, Band 2414 der Reihe Lecture Notes in Computer Science-, Seiten 167 180, Berlin / Heidelberg, 2002. Springer-Verlag.

|Hof03] Hoeemaxx, Martex: On Failure. Semantics for Multimedia Streaming Applica­tions. Diplomarbeit, Technische Universität Ilmenau, 2003.

[JL021 JlAXG, XlAODOXG und JAMES A. LaxdaY: Modeling Privacy Control in Context-Aware Systems. IEEE Pervasive Computing, 1 (3):59 63, 2002.

[Kosü4] Kosen, HARALD: Distributed Multimedia Database. Technologies Supported by MPEG-7 and by MPEG-21. CRC Press LLC, Boca Raton, Florida, 2004.

[KS02] Karjoth, GCxter und Matthias Schuxter: A Privacy Policy Model for Enterprises. In: CSFW ’02: Proceedings of the. 15th IEEE Computer Security Foundations Workshop, Seite 271, Washington, DC, USA, 2002. IEEE Computer Society.

[Kiih99] KCnxilAĽSĽR, WlXERlED: Metapolitiken. Nummer 14 in GMD Research Series. GMD Forschungszentrum Informationstechnik GmbH, Sankt Augustin, 1999.

[LanOS] LaxghlEXRICH, MARC: Personal Privacy in Ubiquitous Computing. Doktorar­beit, Swiss Federal Institute of Technology Zurich, 2005.

[LM03Ì Laxgiieexrich, Marc und Friedemaxx Matterx: Digitalisierung des All­tags. Was ist Pervasive. Computing? Politik und Zeitgeschichte, (42):6 12, 10 2003.

[ML001 Myers, Axdrew C. und Barbara Liskov: Protecting Privacy Using the. De­centralized Label Model. ACM Transactions on Software Engineering and Metho­dology, 9(4):410 442, 2000.

[Moo65] Moore, Gordox: Cramming more, components onto integrated circuits. Elec­tronics, (38) : 114 117, 1965.

[Nisü4] NlSSĽXBAUM, Hľlľx F.: Privacy as Contextual Integrity. Washington Law Review, 79(1):119 158, 2004.

[occ80l Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 1980.

[PE02a] Pľrľira, Fľrxaxdo und Touradj Ebraiiimi (Herausgeber): The MPEG-4 Book. Prentice Hall PTR, 2002.

[PE02b] Pľrľira, Fľrxaxdo und Touradj Ebraiiimi (Herausgeber): The MPEG-4 Book, Abbildung 8.28, S.: 331. Prentice Hall PTR, 2002.

[PfiOO] PĽ1TZMAXX, BIRGIT: Practical Security - Course Material. http://www- krypt.es.uni-sb.de/download/seripts/PraktSiehGanz.pdf, 2000.

[Pre05] Prľchľlt, Lutz: Vorlesung Anwendungssysteme ’ - Privatsphäre. http://www.inf.fu-berlin.de/inst/ag-se/, 2005.

[Wcs67l Wľstix, A.: Privacy and Freedom. Atheneum, New York, NY, 1967.

Abbildungsverzeichnis

2.1. Zusammenhang zwischen Kontext, Informationen und ihrer Weitergabe nach [AS01]

2.2. Abstraktes Modell eines Multimediastroms

2.3. Übersicht über Typsystemzusammenhänge

2.4. Alternative Darstellung eines Multimediastroms mit Strukturepochen und Stromebenen

2.5. Stromebenen und Erweiterungsvarianten nach [PE02b]

2.6. Modell eines Kommunikationskanals nach [BrüüS]

2.7. Grundlegendes Modell der Zugriffskontrolle [Gol99]

2.8. Gruppen als Entschcidungsgrundlagc nach [Gol99]

3.1. Visualisierung von Privatsphärcncpoehcn in einem Multimediastrom

3.2. Visualisierung von Privatsphärcncpoehcn im Strom; alternative Darstellung

3.3. Strom mit angepassten Strukturepochen

3.4. Beispiel für die Zuordnung von expliziten und impliziten Lab ein nach PBAC

4.1. Grafische Darstellung der Inferenz zwischen PSOl und PS02 und dem resul­tierenden tatsächlichen Privat Sphärenobjekt TPSO

Anhang A.

Privatsphären Inferenz Algorithmus

Abbildung in dieser Leseprobe nicht enthalten

Anhang В.

Beispiel einer Privatsphärenpolitik

B.l. Labelingpolitik

Abbildung in dieser Leseprobe nicht enthalten

B.2. Zugriffspolitik

Abbildung in dieser Leseprobe nicht enthalten

Thesen

1. Die technische Entwicklung und die zunehmende Erfassung persönlicher identifizierba­rer Informationen gefährden die Privatsphäre.
2. Daten und die in ihnen kodifizierten Informationen altern und müssen deshalb alters­abhängig geschützt werden.
3. Mit Sichcrhcitsmodcllcn können Vertraulichkeit, Integrität und zum Teil Verfügbarkeit garantiert werden. Sic sind ungeeignet, um Privatsphäre zu schützen.
4. Vorhandene Sicherheitsmodcllc und Privatsphärcnmodcllc berücksichtigen das Alter nicht.
5. Der Zustand der Privatsphäre ist vom Zustand der Umgebung abhängig und kann als Kontext beschrieben werden. Werden private Daten geschützt, wird auch die Privat­sphäre geschützt.
6. Multimediaströmen enthalten private Daten. Private Daten in Multimediaströmen kön­nen durch kontextabhängige zwcekbasicrtc Zugriffskontrolle geschützt werden.
7. Altersabhängige Nutzungsvorgaben können durch zeitgebundene Zwecke beschrieben werden.
8. Das entworfene Privatsphärcnmodcll ist in der Lage durch zeitgebundene Zwcekvor- gaben das Alter zu berücksichtigen und durch statisch definierte Stromebenen und Abhängigkeiten Stromobjekte kontextabhängig damit zu verknüpfen.

Abbildung in dieser Leseprobe nicht enthalten

[...]

---

^[1] IT-Syst.em ist liier als komplexes verteiltes System zu verstehen und nicht auf einzelne Rechensysteme beschränkt.

^[1] Der Brockliaus in einem Band

Häufig gestellte Fragen

Was ist der Fokus dieser Arbeit?

Die Arbeit konzentriert sich auf den Schutz der Privatsphäre in Multimediaströmen durch zweckbasierte Zugriffskontrolle, wobei der Kontext und die Lebensdauer der Informationen berücksichtigt werden.

Welche grundlegenden Konzepte werden in der Arbeit behandelt?

Die Arbeit behandelt Konzepte wie Privatsphäre (Einsamkeit, Vertraulichkeit, Autonomie), Multimediaströme (System- und Strommodell, Stromebenen, Transportkanäle und Fehlerverhalten), IT-Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit, Zugriffskontrolle) sowie Kontext und kontextbewusste Systeme.

Was sind die Ziele dieser Arbeit?

Die Ziele der Arbeit sind die Entwicklung eines Modells zur kontextabhängigen Zweckbindung von Multimediadaten und die Berücksichtigung der Informationsalterung beim Schutz der Privatsphäre.

Wie werden Multimediaströme in dieser Arbeit definiert?

Ein Multimediastrom wird als eine geordnete kontinuierliche Abfolge typisierter Objekte definiert, zwischen denen Abhängigkeiten bestehen können.

Was bedeutet "Entstehungskontext" in dieser Arbeit?

Der Entstehungskontext (EK) entspricht dem Zustand der Umgebung des ursprünglichen Dateneigentümers zum Zeitpunkt der Datenerfassung.

Was ist ein "Zugriffskontext"?

Der Zugriffskontext (ZK) entspricht dem Zustand der Umgebung des Datennutzers zum Zeitpunkt der Datennutzung.

Was sind "Privatsphärenepochen"?

Privatsphärenepochen (PSE) sind Zeiträume, in denen keine für die Privatsphäre relevanten Zustandsveränderungen des Entstehungskontexts stattfinden.

Was sind "zeitgebundene Vorgabezwecke"?

Zeitgebundene Vorgabezwecke (ZVZ) sind Nutzungsvorgaben, die in Abhängigkeit vom Alter der Stromobjekte an die Stromobjekte gebunden sind.

Was sind "Privatsphärenobjekte"?

Privatsphärenobjekte sind alle mit einem Stromobjekt verknüpften zeitgebundenen Vorgabezwecke.

Welche Szenarien werden zur Analyse verwendet?

Die Arbeit analysiert die Szenarien Videokonferenzen, medizinische Anwendungen und Positionsdaten, um die Anforderungen an das Modell besser zu verstehen.

Was ist die "Integrität der Privatsphäre" und wie wird sie in diesem Zusammenhang betrachtet?

Die Integrität der Privatsphäre bezieht sich auf die Wahrung des Entstehungskontexts über den Entstehungszeitpunkt hinaus, um unbefugte Zugriffe und Nutzungen von persönlichen Informationen zu verhindern.

Welche verwandten Arbeiten werden in der Analyse berücksichtigt?

Die Analyse berücksichtigt verwandte Arbeiten wie Platform for Privacy Preferences Projekt (P3P), The Enterprise Privacy Authorization Language, Purpose Based Access Control (PBAC), Zugriffskontrolle in MPEG, Dczcntralizcd Labeling Modell und Informationsraummodcll.

Welche grundlegenden Elemente werden im entwickelten Zugriffskontrollmodell verwendet?

Die grundlegenden Elemente des Modells umfassen Zwecke, Zweckbaum, Vorgabezwecke, Label, zeitgebundene Label, Privatsphärenobjekte, Datenmodell und Kontext.

Was ist das hierarchische Strommodell (HSM)?

Das hierarchische Strommodell (HSM) wird als 4-Tupel dargestellt: HSM = (O, E, layer, <e), wobei O die Menge aller Objekte im Strom, E die Menge aller Ebenen im Strom, layer die Funktion, die jedem Objekt eine Ebene zuweist und <e die partielle Ordnung zwischen den Ebenen beschreibt.

Wie erfolgt das Labeling von Stromobjekten in diesem Modell?

Das Labeling basiert auf einer Privatsphärenpolitik (PSP), die die statischen Elemente des Modells definiert. Die tatsächlichen Privatsphärenobjekte (TPSO) für Stromobjekte werden dynamisch kontext- und ebenenabhängig entsprechend der Vorgaben der Privatsphärenpolitik zugeordnet.

Was ist das Ziel des PSO-Inferenz-Algorithmus?

Der PSO-Inferenz-Algorithmus dient dazu, die tatsächlichen Privatsphärenobjekte für alle definierten Zustände des Erfassungskontextes und jede einzelne Ebene abzuleiten und auf Konfliktfreiheit zu überprüfen.

Wie werden Subjekte und Tasks in diesem Modell mit Zugriffszwecken verknüpft?

Für den Zugriff wird eine einfache Abbildung zwischen Subjekt und Zugriffszweck in Abhängigkeit des Zugriffskontextes genutzt.

Was sind die Kernelemente der Privatsphärenpolitik?

Die Kernlemente der Privatsphärenpolitik (PSP) umfassen Zwecke, Scnsorcn/Kontcxtattributc zur Beschreibung der Kontcxtzuständc, Labelingpolitik (LP) und Zugriflľspolitik (ZP).