IT-Sicherheitskonferenz: Kontrolle ist gut – Sicherheit ist besser

Ein Einbruch hinterlässt immer Spuren, er verletzt die Privatsphäre, verunsichert und macht misstrauisch. Das trifft auch auf Leistungssportlerinnen und -sportler zu, die nach Einbrüchen von Hackern in das Anti-Doping-Kontrollsystem ADAMS (Anti-Doping Administration & Management System) ihre persönlichen Daten nun öffentlich im Internet wiederfinden.

Die Sportler sind gezwungen, ihre Daten dort einzugeben, wollen sie nicht für große Wettkämpfe gesperrt werden. Das System zuverlässig abzusichern ist bislang nicht gelungen. Forscher zweier Fraunhofer-Institute und der TU Berlin arbeiten derzeit daran, ein System zu entwickeln, das für Sportler und Kontrolleure einfacher zu handhaben und vor allem sicherer ist.

Auf der Konferenz IT-Sicherheitsforschung in Berlin präsentieren sie einen ersten Demonstrator sowie dessen serverseitigen Funktionalitäten: Ein „Wearable“, an der Kleidung zu tragen, das Kontrolleure und Sportler gezielt zusammenbringt, aber kein Bewegungsprofil erstellt.

„Viele Sportler fühlen sich durch die detaillierten Angaben zu Aufenthaltsorten und Zeiten, die sogenannten ‚Whereabouts‘ im bisherigen System indirekt beobachtet. Sie haben keine Möglichkeit, dies einzuschränken und können nicht nachvollziehen, wer wann und in welchem Umfang auf diese Informationen zugreift“, erklärt Sebastian Zickau, Diplom-Informatiker und wissenschaftlicher Mitarbeiter am TU-Fachgebiet Service-centric Networking (SNET).

SNET gehört zu den Telekom Innovation Laboratories, einem An-Institut der TU Berlin, und wird von Prof. Dr. Axel Küpper geleitet. „Eine russische Hacker-Gruppe hat zudem medizinische Daten aus dem ADAMS-System, unter anderem von deutschen Athleten, im Netz veröffentlicht“, so der Wissenschaftler.

Sebastian Zickau ist TU-Projektleiter bei dem Projekt PARADISE (Privacy-enhancing And Reliable Anti-Doping Integrated Service Environment). Es beschäftigt sich mit Datenschutz im Anti-Doping-Bereich und wird vom Bundesministerium für Bildung und Forschung (BMBF) im Rahmen des Programms „Datenschutz: selbstbestimmt in der digitalen Welt“ finanziert. Hauptaugenmerk des Projekts liegt auf der Entwicklung eines Systems, das die Angaben der „Whereabouts“ der Sportler schützt.

Aber auch die Datensicherheit spielt eine große Rolle. Partner im Projekt sind neben der TU Berlin sowie Partnern aus der Industrie das Fraunhofer-Institut für Angewandte Informationstechnik FIT, das auch Koordinator des Projekts ist, sowie das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC und das Landeszentrum für Datenschutz Schleswig-Holstein. Bei den Industriepartnern sind auch ehemalige Hochleistungssportler mit im Boot, wie der Olympionike Jonas Plass (4×400-Meter-Staffelläufer in London) und der ehemalige Triathlet Dr. Denis Giffeler (beide bei „gekko“, Gesellschaft für Kommunikation und Kooperation mbH) sowie Uniscon, ein Unternehmen mit Expertise für versiegelte Cloud-Technologien.

Die Ergebnisse können sich bereits sehen lassen. Einen ersten Meilenstein haben die Partner mit dem „eves“-Device erreicht. Dessen verbesserte Version wird auf der Nationalen Konferenz für IT-Sicherheitsforschung 2017 „Selbstbestimmt und sicher in der digitalen Welt“ Mitte Februar im Café Moskau in Berlin demonstriert. Mit dem kleinen tragbaren, GPS-basierten Gerät „eves“, „Wearable“ genannt, kann ein Kontrolleur einen Athleten lokalisieren – einmalig und ohne ein Bewegungsprofil zu erstellen.

Das soll vor allem die Privatsphäre der Athleten schützen, da diese dann nicht mehr ihre exakten Aufenthaltsorte in das System ADAMS eingeben müssen. Es reicht die Angabe der Stadt, in der der Athlet sich aufhalten wird. Das ist ausreichend für den Kontrolleur um seine Anreise im Voraus planen zu können. Für den Athleten reduziert sich gleichzeitig nicht nur der Aufwand der Datenpflege, „eves“ ermöglicht ihm auch den Überblick darüber, wer wann seine Daten abfragt. Natürlich muss der Zeitpunkt einer Standortabfrage und damit der Kontrollzeitpunkt dem Sportler verborgen bleiben.

Doch die Datenzugriffe im neuen System sind immer zweckgebunden. Erst am Tag der Kontrolle selbst greift der Kontrolleur auf den genauen Standort über das „Wearable“ zu. „Insgesamt sorgt das System durch die Reduzierung der aufgenommenen Daten, durch den zweckgebundenen Datenzugriff und durch eine größere Datensicherheit dafür, dass die Privatsphäre von Athleten besser geschützt wird und die Athleten damit mehr Vertrauen in das Anti-Doping-Kontrollsystem gewinnen“, erklärt Sebastian Zickau.

„Die Technologie besitzt nicht nur eine höhere Nutzerfreundlichkeit, sondern sorgt außerdem dafür, dass die Datenzugriffe für die Anwender nachvollziehbar werden.“ Nachvollziehbar wird selbst die Technologie sein. Es ist geplant, die relevanten Teile der PARADISE-Software als Open Source zur Verfügung zu stellen. „Außerdem sind wir im Moment noch im Gespräch mit den Partnern, wie möglichst schnell auch ein konkretes Produkt daraus entstehen kann.“

https://privacy-paradise.de

Nationale Konferenz IT-Sicherheitsforschung 2017
Selbstbestimmt und sicher in der digitalen Welt
Zeit: 14. – 16. Februar 2017
Ort: Café Moskau, Karl-Marx-Allee 34, 10178 Berlin
http://www.forschung-it-sicherheit-kommunikationssysteme.de/it-sicherheitskonferenz

Weitere Informationen erteilt Ihnen gern:
Dipl.-Inform. Sebastian Zickau
TU Berlin
Fachgebiet Service-centric Networking
Tel.: 030/ 8353 58815
E-Mail: sebastian.zickau@tu-berlin.de