Lösungen für eine rechtssichere Verifikation von Identitäten in betreibersicheren Clouds
Der Austausch von Informationen sowie auch die Abwicklung von Geschäften im Internet erfordern eine eindeutige und sichere Identifikation der beteiligten Akteure. So erkennt beispielsweise der Bankkunde beim Online-Banking anhand eines Sicherheitszertifikats, ob es sich um die korrekte Website handelt. Umgekehrt identifiziert die Bank den richtigen Kunden über die Abfrage von Login und Passwort. Dabei kennt die Bank notwendigerweise die Identitäten der Nutzerinnen und Nutzer sowie den Inhalt der Transaktion. Derartig heute übliche Authentifizierungsszenarien reichen jedoch für die vielseitigen Anforderungen beim Cloud-Computing nicht aus.
Derzeit haben fast alle großen Cloud-Anbieter Zugriff auf alle ihnen anvertrauten Daten - einschließlich Metadaten wie Dateinamen und -typen. Sie wissen auch, wer auf welche Dateien zugegriffen hat. Zudem kann nicht ausgeschlossen werden, dass es firmenintern durch Missbrauch zu unberechtigten Zugriffen auf die Daten kommt. Dies ist insbesondere bei der Speicherung oder Verarbeitung sensibler oder personenbezogener Daten nicht mit dem strengen, deutschen Datenschutzrecht vereinbar.
Im Vorteil sind betreibersichere Cloud-Dienste, bei denen der Cloud-Anbieter durch technische Maßnahmen ausschließt, dass er auf die ihm anvertrauten Daten oder Metadaten zugreifen kann. Bisher ist es technisch nicht möglich, dass Anbieter solcher Clouds die zugreifenden Personen kennen oder deren elektronische Identitäten eindeutig zu verifizieren. Dies ist jedoch für viele Anwendungen essenziell.
Die Projektpartner erarbeiten eine Lösung, die es Nutzerinnen und Nutzern betreibersicherer Cloud-Dienste ermöglicht, sich auf elektronische Identitäten der beteiligten Partner zu verlassen. Sie erforschen eine Methode, die es mit Hilfe von Personalausweisen ermöglicht, dass sich Personen wechselseitig sicher identifizieren können, ohne dass der Cloud-Anbieter ihre Identitäten kennt. Anstelle des Cloud-Anbieters übernimmt dabei eine vertrauenswürdige dritte Instanz (Trusted Third Party) die Überprüfung der Identitäten. Zusätzlich soll das Verifi-eID-System auch in der Lage sein, die elektronischen Identitäten juristischer Personen und digitaler Objekte wie Dokumente oder Bilder zu verifizieren. Durch das angestrebte Verfahren soll dabei auch Rechtssicherheit beim Verifizieren der Identitäten erlangt werden. Die zu entwickelnden Verfahren und Methoden werden in einen Demonstrator integriert, um die Anwendbarkeit der technisch und rechtlich sicheren Verfahren in verschiedenen Anwendungsszenarien zu testen.
Mit den im Projekt angestrebten Lösungen zur rechtssicheren Verifikation von Identitäten in betreibersicheren Clouds kann das Potenzial des Cloud-Computing für Nutzergruppen erschlossen werden, die heutige Dienste aus Datenschutzgründen nicht einsetzen können. Verifi-eID ermöglicht es, künftig sensible Geschäftsdaten in Clouds auszutauschen oder besondere Arten personenbezogener Daten wie beispielsweise aus Arztpraxen oder Rechtsanwaltskanzleien mittels Cloud-Computing zu speichern und zu verarbeiten.