Herausforderungen

Die folgenden Anforderungen sind von zentraler Bedeutung f¨ur einen Autorisierungsme-chanismus, der sich f¨ur LBCSs eignen soll.

Kontrolle

Ein geeigneter Autorisierungsmechanismus sollte der Zielperson jederzeit Kontrolle dar¨uber geben, wer auf ihre Ortsinformationen zugreift. Durch das System kommunizierte Zugriffs-entscheidungen sollten also den aktuellen Einstellungen der Zielperson so gut wie m¨oglich entsprechen.

Um diesen Aspekt formal auszudr¨ucken, werden die Begriffe Korrektheit und Vollst¨an-digkeit der Autorisierung eingef¨uhrt, die analog definiert sind zu den Metriken Precision und Recall aus dem Bereich des Information Retrieval (IR). Bezogen auf eine gewisse Anzahl von Ortungsversuchen bezeichnet Korrektheit den Anteil der durch das System erlaubten Zugriffe, die tats¨achlich auch so von der Zielperson gew¨unscht worden sind. Im Gegenzug bezeichnet Vollst¨andigkeit den Anteil der von der Zielperson zu erlauben erw¨unschten Zu-griffsversuche, die vom System tats¨achlich erlaubt wurden. Anstelle von Positiven und Ne-gativen, wie beim IR, spricht man von Zugriffsbewilligungen und Zugriffsverweigerungen.

Die Zustimmung der Zielperson zu einer erfolgten Bewilligung oder Verweigerung wird mit den Adjektiven wahr (Zielperson ist einverstanden) bzw. falsch (Zielperson ist nicht einverstanden) bezeichnet.

Ebenfalls analog zu Precision und Recall ist die Tatsache, dass es relativ leicht f¨allt, ein hohes Maß an Korrektheit zu erreichen, wenn die Vollst¨andigkeit dabei nicht ber¨ucksichtigt werden muss. Das gilt auch andersherum. Leicht l¨asst sich eine hohe Vollst¨andigkeit er-reichen, wenn keine hohe Korrektheit gefordert ist. Ein Beispiel f¨ur die erste Variante ist ein extrem restriktives Autorisierungsschema, welches niemandem den Zugriff auf die ei-genen Ortsinformationen gestattet. Offensichtlich w¨urde hier ein hoher Wert f¨ur die Kor-rektheit erreicht, da keine falschen Zugriffsbewilligungen auftreten k¨onnen. Die erreichte Vollst¨andigkeit w¨are allerdings schlecht, da potentiell eine große Anzahl falscher Zugriffs-verweigerungen resultieren w¨urden. Als Beispiel f¨ur die zweite Variante dient ein extrem freiz¨ugiger Ansatz, der jedem anderen Zugriff gew¨ahrt. Nachdem so ganz sicher keine falschen Zugriffsverweigerungen passieren, w¨are die erreichte Vollst¨andigkeit sehr hoch.

Ein schlechter Wert w¨urde jedoch f¨ur die Korrektheit erreicht, nachdem unter Umst¨anden sehr viele falsche Zugriffsbewilligungen vork¨amen. Zusammenfassend l¨asst sich also sagen, dass ein Autorisierungsmechanismus im Idealfall gleichzeitig hohe Werte f¨ur die Korrekt-heit und f¨ur die Vollst¨andigkeit erreichen sollte.

Einfachheit

Neben der Bereitstellung geeigneter Kontrollmechanismen sollte ein Autorisierungsmecha-nismus einfach genug sein, um sowohl aus Sicht der Nutzer und Zielpersonen als auch des LBS und Location Providers mit annehmbarem Aufwand nutzbar bzw. umsetzbar zu sein.

Einfache Benutzung heißt aus Sicht der Zielperson zum einen, dass diese m¨oglichst we-nig zeitlichen Aufwand damit hat, Zugriffsrechte bez¨uglich ihrer Ortsinformationen zu ver-walten. Solcher Aufwand kann zum Beispiel darin bestehen, entsprechende Datenschutz-Policies zu definieren oder, im Fall von Ad-hoc-Autorisierung, interaktiv in die Autorisie-rungsprozedur eingebunden zu werden. Ein geeigneter Mechanismus sollte selbstverst¨and-lich auch intuitiv bedienbar und nicht zu komplex sein, so dass er wirkselbstverst¨and-lich von jeder, auch technisch nicht versierten Person genutzt werden kann. Dieser letzte Aspekt stellt insbe-sondere bei der Definition von Datenschutz-Policies ein Problem dar, vergleiche [84]. Um wirklich den aktuellen Einstellungen einer Zielperson zu entsprechen, sollten Policies fein abgestimmt sein und regelm¨aßig ¨uberarbeitet werden.

Einfachheit ist aus der Sicht des LBS oder Location Providers vor allem w¨unschenswert in Bezug auf die Umsetzung des Mechanismus, was insbesondere die Integration in beste-hende Technologien betrifft. In dieser Hinsicht scheint der Policy-basierte Ansatz der Ad-hoc-Autorisierung ¨uberlegen zu sein, da die Definition der Policies von ihrer Durchsetzung prinzipiell entkoppelt ist. Es ist somit keine immer zur Verf¨ugung stehende Nutzerschnitt-stelle notwendig, mit deren Hilfe die Zielperson um Zustimmung gefragt werden kann. So k¨onnen wiederum verschiedene Endger¨atetypen und Positionierungsverfahren zum Einsatz kommen, die interaktive Dialoge mit der Zielperson schwer machen. Ein Beispiel sind netz-basierte und endger¨atunterst¨utzte Verfahren, bei denen das Endger¨at relativ wenig Funktio-nalit¨at bieten muss.

Soziale Vertr ¨aglichkeit

Sollten LBCSs wirklich ein Teil des t¨aglichen Lebens vieler Menschen werden, so m¨ussen ihre sozialen Implikationen fundiert analysiert werden. M¨ogliche negative Auswirkungen m¨ussen durch ein geeignetes Design so weit wie m¨oglich reduziert werden. Dies stellt aller-dings eine Aufgabe dar, die alleine mit den bekannten Methoden der Softwaretechnik nicht gel¨ost werden kann. Gefordert ist vielmehr die interdisziplin¨are Zusammenarbeit verschie-dener Fachbereiche wie der Informatik, der Soziologie und der Sozialpsychologie. Dass sozialen Aspekten bei der Nutzung ubiquit¨arer Dienste in letzter Zeit immer mehr Bedeu-tung zukommt, sieht man zum Beispiel an Arbeiten wie [73] und [77], in denen Mecha-nismen zur sozialen Vertr¨aglichkeit datenschutzkritischer Anwendungen behandelt werden.

Zwei Konzepte scheinen besonders wichtig, vergleiche [136]: Reziprozit¨at und glaubhafte Abstreitbarkeit bzw. Mehrdeutigkeit.

Reziprozit ¨at Dies ist ein wohlbekanntes Prinzip zur Ausbalancierung des Austausches datenschutzkritischer Informationen zwischen zwei Parteien. Das Prinzip besagt, dass die Menge von Informationen, die eine Person A einer anderen Person B preisgibt, in etwa der Menge entsprechen sollte, die B an A ¨ubertr¨agt. Nach [81], wo die Anwendung des Prinzips auf kontextsensitive Dienste diskutiert wird, soll damit erreicht werden, negative soziale Situationen zu vermeiden, in denen bestimmte Personen mehr ¨uber andere wissen, als sie selbst bereit sind preiszugeben. Diese negativen Situationen werden in dem Artikel mit ¨okonomischen Ineffizienzen verglichen, die in einer Marktwirtschaft entstehen, sobald ein bestimmtes Wissen ungleich verteilt ist, also so genanntes Insider-Wissen bei Kauf-und Verkaufsentscheidungen herangezogen wird. Angewendet auf kontextsensitive Dienste sollen Personen, die eigene Kontextinformationen an andere weitergeben, gleichzeitig eine entsprechende Menge an Informationen ¨uber den anderen erhalten.

Diese und ¨ahnliche Arbeiten sehen Reziprozit¨at in Bezug auf reine Informationsfl¨usse vor, was im Vergleich zu unidirektionalen Fl¨ussen bereits Vorteile bietet. Ein m¨ogliches Risiko entsteht jedoch, wenn das gegenseitige Interesse an den ausgetauschten Informationen nicht ausbalanciert ist. Man nehme zum Beispiel an, zwei Personen A und B seien Mitglieder desselben sozialen Netzes und B w¨urde gern auf den Aufenthaltsort von A mittels eines LBCS zugreifen. Unter der Voraussetzung von klassischer Reziprozit¨at beschließt A, sich von B orten zu lassen, falls der Informationsfluss ausgeglichen ist. Wann immer also B die Position von Aerh¨alt, mussB den eigenen Aufenthaltsort ebenfalls preisgeben. Diese Konstellation k¨onnte jedoch f¨urAimmer noch nachteilig sein, fallsAkein großes Interesse daran hat, ¨uber die aktuelle Position von B regelm¨aßig in Kenntnis gesetzt zu werden. Es k¨onnte zum Beispiel sein, dass es B relativ gleichg¨ultig ist, ob A den Aufenthaltsort von B mehrmals am Tag erf¨ahrt, solange nur B regelm¨aßig Kenntnis ¨uber die Position von A erh¨alt. Gleichzeitig k¨onnte sichAkontrolliert f¨uhlen.

Zusammenfassend wird also vorgeschlagen, die Anforderung der Reziprozit¨at so zu er-weitern, dass nicht nur symmetrische Informationsfl¨usse entstehen, sondern gleichzeitig ein gegenseitiges Interesse an der ausgetauschten Information vorliegen soll.

Mehrdeutigkeit Der Begriff glaubhafte Abstreitbarkeit (plausible deniability) bezeich-net in der Politik eine Doktrin, die in den USA in den 1950er-Jahren entwickelt wurde und die das Ziel hatte, geheime Aktionen der damals neu gegr¨undeten Central Intelligence Agency (CIA) so gut wie m¨oglich zu verschleiern. Glaubhafte Abstreitbarkeit bezeichnet auch ein grundlegendes Datenschutzkonzept in ubiquit¨aren Umgebungen, vergleiche [102].

Hier soll eine Person A, die auf die Daten einer anderen Person B zugreifen oder mit B kommunizieren m¨ochte, nicht feststellen k¨onnen, ob eine erfolgte Zur¨uckweisung von B beabsichtigt war. Ein offensichtliches Beispiel ergibt sich aus dem t¨aglichen Umgang mit Mobiltelefonen. M¨ochte man – zum Beispiel zur Vermeidung eines unangenehmen Anrufs – zeitweise nicht erreichbar sein, so bietet es sich an, das Mobilger¨at abzuschalten. Aus der Sicht des vergeblich Anrufenden l¨asst sich dann nicht eindeutig sagen, ob das tempor¨are Nichterreichen auf absichtliches Abschalten zur¨uckzuf¨uhren ist oder ob eventuelle techni-sche Schwierigkeiten, wie fehlender Funkkontakt, daf¨ur verantwortlich sind.

In diesem Kontext ist der Begriff der Mehrdeutigkeit (Ambiguity) dem der glaubhaf-ten Abstreitbarkeit sehr ¨ahnlich, er versteht sich aber etwas allgemeiner. Mehrdeutigkeit beschr¨ankt sich n¨amlich nicht nur auf die Mediation expliziter Zugriffsverweigerung. Sie

ist deshalb auch gut geeignet f¨ur die weiter unten vorgeschlagene implizite Autorisierung.

Mehrdeutigkeit wird zum Beispiel von [30] als Mittel zur Privacy-Verbesserung bei pers¨on-lichen Kommunikationssystemen (Personal Communication Services, PCSs) wie Push-to-Talk diskutiert. Wird dem Anrufenden ein erfolgloser Kommunikationsversuch so vermit-telt, dass die Ursache des Fehlschlagens auf verschiedene Arten interpretiert werden kann, so lassen sich m¨ogliche, im Nachhinein entstehende soziale Schwierigkeiten zwischen An-rufendem und Angerufenem verhindern. Die Autoren, die sich bei ihren Aussagen auf um-fangreiche soziologische Studien st¨utzen, bezeichnen den dabei ablaufenden sozialen Pro-zess auch als

”Face Work“. Durch Mehrdeutigkeit soll der erfolglose Anrufer sein Gesicht wahren k¨onnen.

Außer m¨oglichen technischen Fehlfunktionen, wie bei der glaubhaften Abstreitbarkeit, werden noch Alternativen untersucht, die Raum zur mehrdeutigen Interpretation bieten.

Eine Variante sind m¨ogliche ¨okonomische Einschr¨ankungen des Angerufenen, welche ihn daran hindern k¨onnten, einen bestimmten Anruf anzunehmen. Wird unter diesem Gesichts-punkt ein Anruf abgelehnt, so muss sich der Anrufende nicht zur¨uckgewiesen f¨uhlen. Inter-essant ist dabei die Aussage, dass alternative Deutungsm¨oglichkeiten f¨ur einen abgelehnten Anruf nicht extrem glaubhaft sein m¨ussen, um ihren Zweck zu erf¨ullen (wie es die glaub-hafte Abstreitbarkeit fordert). Alleine schon durch die Tatsache, dass das Fehlschlagen nicht unbedingt auf absichtliches Zur¨uckweisen zur¨uckzuf¨uhren ist, l¨asst die beiden Beteiligten ihr Gesicht voreinander wahren. Eine Schlussfolgerung aus [30] ist, dass entsprechende Systeme bereits so entworfen sein sollten, dass m¨oglichst viele M¨oglichkeiten zur mehrdeu-tigen Auslegung von fehlgeschlagenen Kommunikationsversuchen bestehen.

Bezogen auf LBCSs bedeutet Mehrdeutigkeit also, dass vergebliche Ortungsversuche aus der Sicht des ortenden Nutzers auf verschiedene Arten ausgelegt werden k¨onnen. Das m¨ogliche Gef¨uhl einer expliziten Zur¨uckweisung wird somit zumindest gebremst. Die zu ortende Zielperson kann so wiederum freier und unter geringerem sozialen Druck dar¨uber entscheiden, wer auf ihre Ortsinformationen Zugriff erh¨alt. Die Erforschung neuer, geeigne-ter Mechanismen zur Ungeeigne-terst¨utzung von Mehrdeutigkeit ist ein offenes und ¨uberaus wich-tiges Thema speziell bei den LBCSs, aber auch bei kontextsensitiven Diensten allgemein.

Der zum einen durchwegs erfreuliche Trend, dass die von LBCSs verwendeten Rechner-systeme und -infrastrukturen immer zuverl¨assiger werden, versch¨arft die Dringlichkeit der Bereitstellung neuer Mechanismen zur Mehrdeutigkeit dabei nur noch weiter. Eine nahezu perfekte Zuverl¨assigkeit birgt n¨amlich das Risiko, dass m¨ogliche technische Ursachen f¨ur gescheiterte Nutzerzugriffe nicht mehr akzeptiert werden.