International Data Spaces
International Data Spaces

MY DATA Control Technologies

Allgemeine Informationen zu MY DATA Control Technologies

MY DATA Control Technologies ist eine technische Umsetzung von Datensouveränität, welche einen wesentlichen Baustein zur informationellen Selbstbestimmung darstellt. Die Software basiert auf dem von Fraunhofer entwickelten IND²UCE-Framework für Datennutzungskontrolle. MY DATA Control Technologies setzt Datensouveränität durch einen Eingriff in sicherheitsrelevante Datenflüsse im Connector um. Dadurch wird eine feingranulare Maskierung und Filterung von Datenflüssen im Connector ermöglicht. Im Vergleich zu klassischen Zugriffskontrollsystemen kann MY DATA Control Technologies partielle Filterung und Maskierung der Daten, kontext- und situationsbedingte Restriktionen sowie Einschränkungen beim Verwendungszweck erzwingen. Die Einhaltung der Datensouveränität durch Veränderung von Datenflüssen wird dabei durch ein Regelwerk gesteuert.

Kernfunktionen von MY DATA Control Technologies

MY DATA Control Technologies besteht aus drei Kernfunktionen:

MY DATA Control Enforcement: Für die Durchsetzung von Nutzungsrestriktionen bietet MY DATA Control Technologies Kontrollpunkte an, welche einfach in Zielsysteme (bspw. Konnektor) integriert werden können. Konnektoren sind bereits vorbereitet und können durch MY DATA Control Technologies einfach erweitert werden. Diese Konnektoren können, gesteuert durch die Nutzungsrestriktionen, Daten filtern und maskieren. Die Einhaltung der Nutzungsrestriktionen wird bei jeder Datenverarbeitung im Konnektor überprüft und durchgesetzt.
Zusätzlich bietet MY DATA Control Technologies die Möglichkeit, Aktionen mittels weiterer (externer) Komponenten auszuführen, wie beispielsweise eine Benachrichtigung per E-Mail. Die Funktionalität der Kontrollpunkte und Aktionsausführungen kann durch Plug-ins erweitert werden.

MY DATA Control Policies: Zur Laufzeit können neue Nutzungsrestriktionen zur Datennutzung verfasst werden. Dabei können unter anderem zeit- und häufigkeitsbasierte Nutzungen (»Daten dürfen innerhalb eines Tages nur 5 Mal im Konnektor verarbeitet werden«), situationsbasierte Nutzungen (»Sensible Daten dürfen nur während der Arbeitszeit abgerufen werden«) und maskierte Nutzungen (»Für den Dienstleister werden personenbezogene Daten maskiert«) eingestellt werden. Die MY DATA Policies unterstützen alle in International Data Spaces definierbaren Nutzungsrestriktionen und können in einem Policy-Editor erstellt werden.

MY DATA Control Management: MY DATA Control Technologies vereint die Verwaltung der Datensouveränitätsanforderungen und technischen Komponenten in einer zentralen Verwaltungsoberfläche. In International Data Spaces erfolgt die Verwaltung der Policies über den Konnektor.

Der modulare und komponentenbasierte Aufbau von MY DATA Control Technologies erlaubt eine zukünftige Erweiterung der Funktionalität (u.a. Datenmodifikation, Aktionsausführung und Informationsbeschaffung). MY DATA Control Technologies bietet hierfür ein eigenes Software Development Kit, was eine Anbindung und Interaktion mit anderen Systemen (z.B. DAPS, Verzeichnisdienst, E-Mail) ermöglicht.

MY DATA ODRL PAP

Ein Policy-Editor zur Erstellung von Nutzungsrestriktionen, bzw. in der XACML-Terminologie ein Policy Administration Point (PAP), unterstützt Datenurheber und Datenanbieter bei der Spezifikation ihrer Bedingungen und Auflagen für die Nutzung von Daten. Policy-Editoren bestehen in der Regel aus einer grafischen Benutzeroberfläche und bieten dem Benutzer je nach Wissens- und Kenntnisstand unterschiedliche Hilfestellungen. Das International Data Spaces Lab bietet einen ODRL Policy-Editor, um verschiedene Nutzungsrestriktionen innerhalb der International Data Spaces auszudrücken.

MY DATA ORDL PAP Screenshot

Unterschied zu anderen Usage Control Technologien des IDS

Im Vergleich zu anderen im IDS verfügbaren Usage Control Technologien hat MY DATA Control Technologies verschiedene Vorteile. Grundsätzlich ist es universell einsetzbar und ist an keine spezifische Technologie gebunden. Die MY DATA Control Technologies Komponenten können technologieunabhängig über REST angesprochen werden. Zudem können die Komponenten auf allen Betriebsebenen verbaut werden: Beispielsweise im Betriebssystem, Konnektor, App und Message Broker. Auf diese Weise können Daten über den gesamten Weg geschützt werden. MY DATA Control Technologies hat sich bereits in der Praxis bewiesen und hat einen TRL von 8+. Die Policies von MY DATA Control Technologies können sich im Gegensatz zu denen der anderen Technologien auch auf den Inhalt von Nachrichten beziehen und diesen bei Bedarf auch modifizieren. Wir sind außerdem vollständig kompatibel zu allen im IDS bekannten ODRL Policies. Der von uns entwickelte ODRL Policy-Editor ermöglicht darüber hinaus die einfache Spezifikation von Policies im IDS. Die Entscheidungskomponente kann externe Systeme zur Entscheidungsfindung heranziehen. In diesem Punkt, wie auch in vielen anderen, ist das Framework einfach erweiterbar und kann sich dadurch optimal in bestehende Zielsysteme integrieren.

Integration in den IDS

Die Integration von MY DATA Control Technologies geschieht mit Hilfe des Interceptor Entwurfsmusters (Interception Pattern) oder explizitem Aufruf. Verwendet man beispielsweise Apache Camel zur Implementierung eines Konnektors, kann dies mit einem sogenannten Camel Interceptor umgesetzt werden. Konkret bedeutet das, dass bei einer Datenübertagung zwischen zwei Komponenten der Datenfluss unterbrochen und mittels MY DATA Control Technologies kontrolliert wird. Dies bedeutet die Überprüfung der Einhaltung und Durchsetzung der spezifizierten Nutzungsrestriktionen und ggf. Einleitung weiterer Maßnahmen (Monitoring, Benachrichtigung, Modifikation). Neben dem Camel Interceptor existiert zudem eine Usage Control App, die nicht nur die Datenübertragungen des Camel Interceptors verarbeitet, sondern auch manuell in eine Route zur Datenverarbeitung eingebaut werden kann. Beide Komponenten stehen Ihnen für eine einfache Integration direkt zur Verfügung.

Interceptor Pattern

Lizenz

MY DATA Control Technologies ist für eine nicht-kommerzielle Nutzung frei zu verwenden (bspw. Forschung). Bei einer kommerziellen Verwendung bietet das Fraunhofer IESE ein volumenbasiertes Lizenzmodell an. Für ein konkretes Angebot und weitere Dienstleistungen (bspw. Integration von MY DATA Control Technologies in einen Konnektor, Integration in Apps oder Ihre Software) stehen die Kollegen vom Fraunhofer IESE zur Verfügung (siehe Kontakt).

Weiterführende Informationen zu MY DATA Control Technologies

Weitere Informationen zu MY DATA Control Technologies finden Sie auf MY DATA Control Technologies Homepage:

Developer finden weitere Informationen hier:

MY DATA Control Technologies basiert auf den Forschungsergebnissen des Forschungsbereichs Datennutzungskontrolle, dass unter dem Akronym IND²UCE zu finden ist: