Siegel
Dieser Artikel ist eine Idee von lynX und damit keine offizielle Aussage. Du kannst sie kopieren, verbessern, erweitern oder umsetzen. Vielleicht wurde sie auch schon umgesetzt. Wenn du meinst etwas beitragen zu können, sei kein Ninja. |
Zum Thema Transparenz in der Datenverarbeitung der Regierung wäre die Konzeption eines Siegels interessant, mit dem der Bürger die Möglichkeit hat zu überprüfen, ob Computersysteme in Regierung, Polizei, Meldebehörde usw. zuverlässig konfiguriert und sicher sind, insbesondere im Umgang mit den Daten des Bürgers.
Es geht also darum, dass die Softwarelösungen, um solche Probleme zu bewältigen, nicht nur selbstverständlich mittels open source realisiert sein sollten, sondern zu jeder Aufgabenstellung es eine vollständig einsehbare Konfiguration des Datenverarbeitungssystems gibt, von der Anwendungsebene über Betriebssystemaustattung bis hin zu den Designlayouts der Hardware.
Die Frage ist dabei, ob man solch ein Siegel kryptographisch realisieren kann, denn einfach zu behaupten, etwas sei wie es sein soll, kann ja jeder. Das Siegel würde ein Verfahren darstellen, welches z.B. einen fälschungssicheren Hash errechnen kann von jedem in Betrieb befindlichen System.
In der Praxis würde ein Bürger über eine Schnittstelle eine Challenge an das Gerät übergeben können, welches das Gerät nur korrekt beantworten kann, wenn es bytegenau die korrekte Konfiguration hat. Damit kann der Bürger den PC in der Meldebehörde genausogut wie eine Überwachungskamera in der U-Bahn auf gesetzeskonforme Konfiguration testen.
Nur so kann man z.B. gewährleisten, dass Daten, die temporär dem Staat zur Verfügung gestellt wurden, anschließend auch wieder gelöscht/gewiped werden (Beispiel Nacktscanner). Die unkontrollierte Proliferation von Daten wäre damit technologisch gestoppt.
Schade, dass wir als Partei typischerweise überfordert sind, uns solch ein Siegel auszudenken (Wie löst man das Problem der Fälschungssicherheit? Wie überprüft man die Korrektheit von Hardware?), aber immerhin können wir die Forschung unterstützen, so etwas zu erfinden.
Alternativ müsste so ein Siegel auch physisch realisierbar sein: Ein informatisches System wird nach definierten Vorgaben erstellt und unter deren Erfüllung versiegelt. Anschließend kann man es zum Einsatz bringen über wohldefinierte Schnittstellen. Eine typische Aufgabe wäre z.B. Daten zu erfassen und nach gesetzlichen Vorgaben garantiert wieder zu löschen. Exekutive könnte das Siegel nur unter Vorbehalt der Judikative brechen und im Notfall auf die Daten zugreifen.
Eines ist sicher, solange so ein Siegel nicht existiert und mathematisch oder physisch abgesichert ist, dass es sicher ist, darf man eigentlich zu keinem Zeitpunkt in der Informationsverarbeitung behaupten, irgendein Computersystem sei sicher.