© Google, Satellitenbild von Wien

Das Handy als Verräter

SICHERHEIT
09.08.2009

Je mehr Funktionen mobile Geräte beherrschen, desto mehr Informationen können sie auch über ihre Nutzer sammeln. Um mobile Dienste nachhaltig weiterentwickeln zu können, müssen die User den Services und ihren Anbietern vertrauen. Der Informatiker Kai Rannenberg arbeitet an Strategien, mit denen die Provider Sicherheit und Vertrauen in mobile Systeme stärken können.

Am Sonntag in "matrix"

Den Radiobeitrag zu diesem Thema hören Sie am Sonntag um 22.30 Uhr im Ö1 Netzkulturmagazin "matrix".

Sicherheit von Daten und Anwendungen ist in Zeiten, in denen in nahezu allen Lebensbereichen Daten elektronisch gesammelt, übertragen, ausgewertet und verknüpft werden, ein extrem wichtiges Thema geworden. Besondere Bedeutung bekommt Sicherheit aber für mobile Geräte, weil Mobiltelefone, PDAs und andere handliche Computer und Kommunikationsgeräte immer mehr Bestandteile und Zusatzfunktionen erhalten. Man kann mit ihnen nicht mehr nur telefonieren, Adressen verwalten oder Musik abspielen, sondern alles zusammen.

Viele Mobiltelefone haben bereits Internet-Zugang, man kann mit ihnen E-Mails verschicken, über GPS die Position bestimmen, ortsbezogene Dienste nutzen und vieles mehr. Einem mobilen Gerät müsse man deshalb vertrauen können, so der Informatiker Rannenberg, der die T-Mobile-Stiftungsprofessur für "Mobile Business and Multilateral Security" an der Goethe-Universität Frankfurt innehat und sich damit beschäftigt, wie Sicherheit von mobilen Anwendungen für alle Beteiligten garantiert werden kann, also für Anbieter wie Nutzer.

Informationen verknüpfen und aufteilen

Warum Vertrauen bei mobilen Anwendungen wichtig ist, erklärt er am Beispiel eines Dienstes für Allergiker. Dieser Dienst könnte dem Nutzer die Möglichkeit bieten, sich orten zu lassen, damit er Warnungen vor Pollenflug an seinem momentanen Aufenthaltsort erhalten kann. Dafür müsste er nicht nur seinen Standort preisgeben, sondern auch seine Allergien. Mehr Sicherheit könnte ein derartiges Service bieten, wenn diese Angaben zum Beispiel nicht alle an einen Betreiber übermittelt werden, sondern auf verschiedene Anbieter aufgeteilt werden.

"Der Mobiltelefoniebetreiber weiß ohnehin meinen Standort", so Rannenberg. "Er müsste aber nicht wissen, welche Krankheiten ich habe. Diese Daten müssten geschützt mit einem anderen Anbieter kommuniziert werden. Der Nutzer muss außerdem jederzeit einstellen können, zu welcher Zeit oder wie lange er geortet werden möchte, wer in welcher Situation welche Daten erhält und so weiter."

Nervende Sicherheitsabfragen

Vertrauen komme dann ins Spiel, so Rannenberg, wenn man die Sicherheit eines Geräts, einer Software oder eines Dienstes nicht bei jeder einzelnen Nutzung überprüfen könne oder wolle: "Wenn zum Beispiel eine Ortung alle 30 Sekunden erfolgt, wird der Nutzer nicht bei jeder einzelnen Ortung gefragt werden wollen, ob er nun zustimme oder nicht. Er könnte aber einstellen, dass er für die nächsten zwei Stunden geortet werden möchte, weil er in dieser Zeit spazieren geht."

Der Nutzer muss also aufgrund von Sicherheitsüberprüfungen zu einem früheren Zeitpunkt, in einem vergleichbaren Fall oder durch eine Organisation, die ihm als sicher bekannt ist, auf die Einhaltung von Datenschutz und Schutz der Privatsphäre vertrauen können. Für derartige Entwicklungen gebe es bereits erste Ansätze und Beispiele. "Wichtig ist auch, dass ein System zur Einstellung des Schutzes von Daten und Privatsphäre einfach und verständlich ist und nicht zu viel Zeit in Anspruch nimmt, weil die Nutzer ansonsten die Standardeinstellungen verwenden, die vielleicht nicht ausreichend sicher sind oder nicht ihren Bedürfnissen entsprechen", so Rannenberg.

Kontrolle der Anbieter

Zusätzlich zum Grundsatz der minimalen Datenübertragung und zur Auftrennung der preisgegebenen Daten auf verschiedene Dienste und Anbieter sei auch die Kontrolle der Anbieter und ihres Umgangs mit Daten wichtig. Datenschutz-Audits sollten dabei garantieren, dass man den Geschäftsbedingungen und Datenschutzvereinbarungen eines Anbieters auch vertrauen könne.

Rannenberg: "Ein Lösungsansatz der Forscher ist, dass solche Datenschutzrichtlinien standardisiert werden und mein Gerät die vom Hersteller oder vom Betreiber eines Dienstes ausgewählte Policy mit jener einer Institution vergleichen kann, der ich als Nutzer vertraue."

(matrix/Sonja Bettel)