Kollaboratives Editieren, d.h. die gemeinsame Arbeit mehrerer Beteiligter an einem Dokument, per Internet wird immer mehr zu einer technischen und organisatorischen Grundlage der Arbeitswelt in der digitalen Gesellschaft. Ein wesentliches Hemmnis ist bisher der Schutz der Vertraulichkeit, der mit vorhandenen Mitteln nur schwer gesichert werden kann. Insbesondere ist die wünschenswerte Verschlüsselung des Dokuments bisher technisch nicht befriedigend umgesetzt, da existierende Ansätze wesentliche Vorteile des Office in der Cloud zunichtemachen. Das Projekt soll einen Meilenstein bei der Entwicklung technisch einfacher, für die breite Verbreitung tauglicher Technologien für verschlüsseltes kollaboratives Arbeiten setzen.
Im Web 2.0 wurde es möglich, viele Vorgänge, die bislang lokal auf einem PC durchgeführt wurden („Desktop-Anwendungen“), zentral als Web-Anwendung anzubieten („Software-as-a-Service“). So können heute mit Google Docs oder mit Microsoft Office Online Textdokumente, Präsentationen und Tabellenkalkulationen online erstellt werden. Büro-Anwendungen in Web-Anwendungen auszulagern bringt zweifellos Vorteile mit sich:
- Die Anwendungen sind von jedem Internet-Anschluss aus nutzbar (Verfügbarkeit)
- Der Service-Anbieter sichert die Dokumente gegen Datenverlust (Zuverlässigkeit)
- Viele Dienste sind kostenlos für Endkunden (Reduzierte Kosten)
- Der Service-Anbieter hält die Anwendungen auf dem aktuellen Stand (Wenig Wartung beim Nutzer nötig)
- Andere Nutzer können Zugriff auf Dokumente bekommen (Kollaboration)
- Die Dienste ermöglichen gleichzeitiges Bearbeiten der Dokumente (synchrone Kollaboration)
Doch die Nutzung solcher Dienste hat zur Folge, dass immer mehr personenbezogene und sonstige schutzbedürftige Daten unverschlüsselt auf Servern im Internet gespeichert und dort dem Zugriff von Firmen („Big Data“), Geheimdiensten und Cyberkriminellen ausgesetzt sein könnten. Der einzelne Nutzer hat keine Chance, seine Daten selbst zu schützen.
Der Nutzer ist also gezwungen, seinem Anbieter zu vertrauen, dass dieser die Daten nicht öffentlich macht und seine Infrastruktur gegen Angriffe von außen sichert. Während Endnutzer meist frei entscheiden können, ob ein Service-Anbieter vertrauenswürdig ist, müssen Unternehmen beim Auslagern ihrer Daten in die Cloud auch rechtliche Rahmenbedingungen einhalten.
Die naheliegende Lösung für diese Probleme ist die Nutzung einer Verschlüsselung. Ohne den geheimen Schlüssel kann der Service-Anbieter die Dokumente nun nicht mehr lesen und muss nun auch nicht mehr vertrauenswürdig sein. Leider verhindert die Verschlüsselung nun aber auch die Nutzung der Web-Anwendungen, da diese das Dokument nun nicht mehr darstellen und ändern können. Darüber hinaus lassen sich die Dokumente auch nicht mehr effizient kollaborativ editieren, da nicht sichergestellt ist, dass das notwendige kryptografische Schlüsselmaterial auf dem Endgerät des Nutzers vorhanden ist.
Ziele
Ziel dieses Projekts SyncEnc ist es, auf Basis von XML Encryption eine Webanwendung zu entwickeln, die ein synchrones, gleichzeitiges Arbeiten auf verschlüsselten Dokumenten ermöglicht. Da heute alle Office-Datenformate (Microsoft Office und Open Office) XML als Grundlage haben, sind alle diese Dokumenttypen nutzbar. Auf dem Webserver werden dabei immer nur verschlüsselte Daten gespeichert, Ent- und Verschlüsselung erfolgen ausschließlich im Webbrowser des Nutzers.
Zum gemeinsamen Arbeiten an einem verschlüsselten Dokument benötigen alle Nutzer die gleichen (symmetrischen) Schlüssel. Diese dürfen nicht statisch sein, um Änderungen in der Zusammensetzung der Gruppe abzubilden. Es soll daher ein sicheres Schlüsselmanagement entwickelt werden, das den jeweiligen Nutzern eines verschlüsselten Dokuments nach erfolgreicher (starker) Authentifizierung die notwendigen Schlüssel sicher übermittelt.
Rechtliche Aspekte
Die Vertraulichkeit von Informationen ist aufgrund ihrer hohen Bedeutung für Rechtsgüter der Betroffenen in vielfacher Hinsicht rechtlich determiniert. Eine Vielzahl verschiedener Normen aus ganz unterschiedlichen Bereichen stellt Anforderungen an den Schutz der Vertraulichkeit, wobei die Anforderungen jedoch stark divergieren. In vielen Fällen ist heute noch weitgehend unklar, welche Anforderungen sich aus dem Vertraulichkeitsschutz ergeben und vor allem, durch welche Technologien die Anforderungen bei kollaborativem Arbeiten erfüllt werden können.
Wegen der fehlenden technischen Verfügbarkeit der Verschlüsselung wird die Frage, ob und in welchen Fällen eine Verschlüsselung rechtlich geboten ist oder zur Zulässigkeit der Datenverarbeitung im Internet führt, bisher kaum beachtet. Vielmehr konzentriert sich die Aufmerksamkeit auf die Authentisierung und ggf. den Schutz des Kommunikationsnetzes.
Im Projekt SyncEnc wird daher eine rechtssichere Lösung für kollaboratives Arbeiten entwickelt, indem die beiden rechtlichen Voraussetzungen hierfür erarbeitet werden. Ziel der rechtlichen Projektteile ist es zum einen, den rechtlichen Rahmen für vertrauliches kollaboratives Editieren zu beschreiben, und zum anderen, die Vereinbarkeit der im Projekt erarbeiteten Lösung mit den rechtlichen Anforderungen zu sichern.