Wir leben in einem Zeitalter, in dem Daten eine zunehmende Rolle spielen. Datenzentrierte Unternehmen haben eine extrem hohe Wachstumsrate gegenüber »traditionellen« Unternehmensmodellen. Zudem werden die ausgetauschten Informationsmengen und der Bedarf an Datenanalysen weiter stark ansteigen. Der Umgang mit Datenschutz und Privacy-Aspekten wird somit immer wichtiger.
In Unternehmen finden wir heutzutage – etwas überspitzt dargestellt – zwei grundsätzliche Umgangsweisen mit Daten: Zum einen haben wir den »Fort Knox«-Ansatz: Die Unternehmen schotten sich komplett ab, um ihre Daten zu schützen und sehen in der Herausgabe von Daten in erster Linie Gefahren. Zum anderen existiert der »Ich teile alles«-Ansatz: Unternehmen geben Daten bereitwillig heraus, obwohl sie dadurch zwar die Kontrolle über diese verlieren, doch sehen sie darin mehr Chancen als Risiken. Beide Haltungen können das Unternehmen schädigen. Datennutzungskontrolle (engl. Data Usage Control) bietet aus unserer Sicht einen goldenen Mittelweg. Die grundlegende Idee: Der Dateneigentümer erhält umfassende Kontrollmöglichkeiten, mit denen die zukünftige Nutzung seiner Daten durch Dritte gesteuert wird. Hierzu werden die klassischen Zugriffskontrollmechanismen (engl. Access Control) erweitert, sodass der Dateneigentümer die Daten aus der Hand geben kann und dennoch die Kontrolle über deren Nutzung behält: »Share your data, but keep control!« Somit können Unternehmen mit deutlich reduziertem Risiko an datenzentrierten Geschäftsmodellen teilnehmen.
Wir haben am Fraunhofer IESE das Konzept der Usage Control theoretisch erforscht und technisch umgesetzt. Die technische Lösung, das IND²UCE-Framework, wurde bereits in mehreren nationalen und internationalen Forschungsprojekten prototypisch eingesetzt. Eine Beispielanwendung stammt aus dem Finanzwesen und dient dem Schutz sensibler Kundendaten auf mobilen Endgeräten: Anlageberater benötigen im Kundengespräch Zugriff auf Portfoliodaten. Zunehmend findet eine Beratung beim Kunden vor Ort unter Verwendung mobiler Endgeräte statt. Diese sollen sich an die jeweilige Nutzungssituation anpassen und Datenzugriffe entsprechend einschränken. Hierzu zählen auch die automatische Erkennung der Umgebung sowie Maßnahmen zur Bestimmung der Anwesenheit des Kundenberaters und des Kunden, bevor eine Freigabe sensibler Daten erfolgt.
Seit 2015 führen wir erste Industrieprojekte in diesem Bereich durch, welche die Machbarkeit und Möglichkeiten in echten Szenarien evaluieren. In einem Projekt haben wir IND²UCE erfolgreich in eine Cloud-basierte Internet-of-Things-Plattform integriert, bei welcher wir den Informationsaustausch verschiedener intelligente Dinge kontrollieren. Somit können personenbezogene Daten vor Missbrauch geschützt werden. Wir sind auf der Suche nach weiteren Industriepartnern, um diese bei deren Herausforderungen im Bereich Usage Control zu unterstützen.