Da immer mehr persönliche Daten online verfügbar sind, wächst die Sorge um deren versehentlichen Missbrauch durch berechtigte Personen. Fast monatlich häufen sich Berichte über unbeabsichtigte Datenlecks durch Regierungsbehörden oder Anbieter digitaler Produkte und Dienstleistungen.

Gleichzeitig könnten strengere Zugriffsbeschränkungen den Datenaustausch beeinträchtigen. Die Koordination zwischen Behörden und Leistungserbringern könnte entscheidend für eine qualitativ hochwertige Versorgung sein; schließlich möchten Sie vielleicht, dass Ihre Familie die Fotos, die Sie in sozialen Medien veröffentlichen, mit Ihnen teilen kann.
Forscher der Decentralized Information Group (DIG) am Computer Science and Artificial Intelligence Laboratory (CSAIL) des MIT glauben, dass Transparenz statt Geheimhaltung die Lösung sein könnte. Zu diesem Zweck entwickeln sie ein Protokoll namens „HTTP with Responsibility“ (HTTPA), das die Übertragung privater Daten automatisch nachverfolgt und es dem Dateneigentümer ermöglicht, die Verwendung seiner Daten zu überprüfen.

Auf der IEEE-Konferenz zu Datenschutz, Sicherheit und Vertrauen im Juli werden Oshani Seneviratne, Doktorandin der Elektrotechnik und Informatik am MIT, und Lalana Kagal, leitende Wissenschaftlerin am CSAIL, eine Arbeit vorstellen, die einen Überblick über HTTPA gibt und eine Beispielanwendung präsentiert, bei der es sich um ein Gesundheitsdatensatzsystem handelt, das Seneviratne im experimentellen PlanetLab-Netzwerk implementiert hat.

Die DIG wird von Tim Berners-Lee, dem Erfinder des Webs und Gründungsmitglied des MIT-Professors für Ingenieurwissenschaften, geleitet und teilt sich Büroräume mit dem World Wide Web Consortium (W3C), der ebenfalls von Berners-Lee geführten Organisation, die die Entwicklung von Internetprotokollen wie HTTP, XML und CSS überwacht. Die Aufgabe der DIG besteht darin, neue Technologien zu entwickeln, die diese Protokolle nutzen.

Mit HTTPA erhält jedes private Datenelement einen eigenen Uniform Resource Identifier (URI), eine Schlüsselkomponente des Semantischen Webs. Diese neue Technologiegruppe, die vom W3C gefördert wird, würde das Web von einer Sammlung durchsuchbarer Textdateien in eine riesige Datenbank verwandeln.
Der Fernzugriff auf einen Webserver wäre durch Passwörter und Verschlüsselung deutlich strenger kontrolliert als bisher. Jedes Mal, wenn der Server sensible Daten überträgt, sendet er auch eine Beschreibung der Nutzungsbeschränkungen. Die Transaktion wird ausschließlich über den URI in einem Netzwerk verschlüsselter Spezialserver initiiert. Die Nutzung von
HTTPA ist freiwillig: Softwareentwickler sind verpflichtet, die Spezifikationen bei der Systementwicklung zu berücksichtigen. Die HTTPA-Konformität könnte jedoch ein Verkaufsargument für Unternehmen werden, die Dienstleistungen zur Verarbeitung privater Daten anbieten.
„Es ist gar nicht so schwierig, eine bestehende Website in eine HTTPA-fähige Website umzuwandeln“, sagt Seneviratne. „Bei jeder HTTP-Anfrage muss der Server die Nutzungsbeschränkungen für diese Ressource angeben und die Transaktionen im Spezialservernetzwerk protokollieren.“

Ein HTTPA-konformes Programm übernimmt auch bestimmte Verantwortlichkeiten, wenn Daten aus einer anderen HTTPA-konformen Quelle wiederverwendet werden. Angenommen, ein Berater in einem Ärztenetzwerk möchte auf Daten zugreifen, die vom Hausarzt eines Patienten erstellt wurden, und diese mit eigenen Notizen ergänzen. Sein System würde dann einen eigenen Datensatz mit eigener URI erstellen. Mithilfe gängiger Semantic-Web-Techniken würde dieser Datensatz jedoch als „Ableitung“ des Hausarztdatensatzes gekennzeichnet und mit denselben Nutzungsbeschränkungen belegt.
Die eigentliche Arbeit findet im Servernetzwerk statt. Fordert der Dateninhaber eine Überprüfung an, arbeiten die Server die Kette der Ableitungen durch und ermitteln alle, die auf die Daten zugegriffen haben und wie sie diese verwendet haben.

Seneviratne nutzt eine Technologie namens verteilte Hashtabellen – die Kerntechnologie von Peer-to-Peer-Netzwerken wie BitTorrent –, um Transaktionsprotokolle auf mehrere Server zu verteilen. Die redundante Speicherung derselben Daten auf mehreren Servern dient zwei Zwecken: Erstens wird so sichergestellt, dass die Daten auch bei Ausfall einzelner Server weiterhin zugänglich sind. Zweitens ermöglicht sie die Feststellung, ob jemand versucht hat, die Transaktionsprotokolle für bestimmte Daten zu manipulieren – beispielsweise durch das Löschen eines Eintrags über unerlaubte Nutzung. Ein Server, dessen Protokolle sich von denen seiner Peers unterscheiden, wäre leicht zu finden.
Um das System zu testen, entwickelte Seneviratne ein einfaches System für Gesundheitsdaten von Grund auf und füllte es mit Daten von 25 Freiwilligen. Anschließend simulierte er eine Reihe von Transaktionen – Apothekenbesuche, Überweisungen an Fachärzte, Nutzung anonymisierter Daten für Forschungszwecke usw. –, die die Freiwilligen im Laufe eines Jahres gemeldet hatten.
Seneviratne nutzt 300 Server bei PlanetLab zur Speicherung der Transaktionsprotokolle. In Experimenten verfolgte das System effizient die im Netzwerk gespeicherten Daten und verarbeitete die notwendigen Inferenzketten, um die Datenweitergabe über mehrere Anbieter hinweg zu überprüfen. In der Praxis könnten Audit-Server von einer Netzwerkbasis betrieben werden, ähnlich wie die Server, die BitTorrent-Dateien hosten oder Bitcoin-Transaktionen protokollieren.
# # #
Verfasst von Larry Hardesty, MIT News Office