Meldung
21.04.2017

Sicherheit geht vor

Die Arbeitsgruppe „Sichere Plattformarchitekturen“ diskutierte bei ihrem ersten Treffen, welche Faktoren die Entwicklung von Plattformarchitekturen beeinflussen. Datenschutz und Datensicherheit gehören zu den zentralen Herausforderungen.

Digitale Plattformen
© cherezoff – Fotolia
Digitale Plattformen

Nicht alles, was technisch möglich ist, kann und darf auch umgesetzt werden: Beim Kick-off Workshop der Smart Service Welt-Arbeitsgruppe „Sichere Plattformarchitekturen“ am 15. Februar 2017 in Berlin wurden die einzelnen projektspezifischen Ansätze zur Gestaltung von Plattformarchitekturen vorgestellt und diskutiert. Dabei wurde schnell deutlich: Das Thema Rechtskonformität spielt eine der wichtigsten Rollen. Eine solide, rechtssichere Gestaltung ist für den Aufbau der einzelnen Plattformarchitekturen unverzichtbar – auch wenn technisch oft mehr Möglichkeiten für die Nutzung und Verknüpfung der Daten bestehen. „Die rechtlichen Rahmenbedingungen setzen bei Analyse- und Kombinationsmöglichkeiten der Daten Grenzen. Die Herausforderungen sind in vielen Projekten ähnlich, jedoch muss jedes Projekt eine individuelle Architektur entwickeln, die vor allem auch den juristischen Anforderungen gerecht wird“, erklärt die Leiterin der Arbeitsgruppe, Inessa Seifert von der Begleitforschung Smart Service Welt. Entsprechend soll der Austausch mit der Arbeitsgruppe Recht noch stärker vorangetrieben werden. Der Workshoptag am 11. Mai in Berlin soll den Anstoß dafür geben, möglichst allgemeingültige, technologische Lösungsmöglichkeiten für die Gestaltung sicherer Plattformarchitekturen auf Grundlage rechtlicheren Rahmenbedingungen zu finden.

Beim Thema Datenschutz wurden unter anderem die Frage nach der Verantwortlichkeit diskutiert: Sind Datenlieferanten, Serviceanbieter oder die Plattformbetreiber verantwortlich, wenn Dienste Daten falsch nutzen oder Datenschutzgrenzen überschreiten? Wie kann eine Rückverfolgbarkeit gewisser Daten sichergestellt, anderer aber ausgeschlossen werden? Ansätze, die diskutiert wurden, sind beispielsweise ein sogenannter „Datennotar“, der nur zuvor erlaubten Anwendungen mit dafür zugelassenen Daten die Freigabe erteilt, oder die Zuteilung gewisser Nutzungszeitfenster. Hier sollen Use Cases definiert werden, in denen Zielstellungen, Datenformate und Vertraulichkeitslevel für bestimmte Szenarien definiert und die Projekte diesen zugeordnet werden. Anhand dieser Gruppen sollen in weiteren Arbeitsgruppentreffen relevante Lösungsansätze konkretisiert werden.

Weiterer wichtiger Punkt waren die Anforderungen beim Identitätsmanagement, das der Authentifizierung und Autorisierung von Nutzern dient. Die damit verbundenen sicherheitstechnischen Anforderungen sind je nach Anwendungsfall sehr unterschiedlich, so dass es selten bereits passende Lösungen gibt. Hier spielen durch die Verarbeitung personenbezogener Daten auch die Datenschutzgesetze eine große Rolle. An dieser Stelle war das Fazit des Workshops, dass ein anforderungsgerechtes Identitätsmanagement zwar komplex, aber technisch in den meisten Fällen lösbar ist. Die Umsetzung und der Sicherheitsbedarf sind jedoch erneut stark abhängig von den sehr unterschiedlichen Anwendungsfällen. Ziel ist es unter anderem, Aufsichtsbehörden (z. B. bei der Zertifizierung) stärker in die Arbeit der Arbeitsgruppe einzubeziehen.

Ein dritter Schwerpunkt war die Integration von komplexen Services und Testautomatisierungen. Die Überprüfung der neuentwickelten Dienste, zum Beispiel zu ihren Reaktionszeiten und Kompatibilität, ist von existenzieller Bedeutung. Die Programmierung der funktionalen Tests ist jedoch sehr aufwendig. Vorgestellt wurden dafür einige Lösungen, unter anderem eine mögliche Abstraktion von Testszenarien, sodass die gleichen Testszenarien für viele Services eingesetzt werden können. In der Arbeitsgruppe werden schrittweise weitere bereits erprobte Möglichkeiten zur Überprüfung der Services eingeführt.