Projekte

Womit ich mich befasse:

Aktuelle Forschung:

In meiner Forschung befasse ich mich zurzeit hauptsächlich mit dem Themengebiet „Self-Sovereign Identity“ (SSI). Damit wird es Nutzern in Zukunft möglich sein, selbstbestimmt über die Preisgabe ihrer personenbezogenen Daten zu bestimmen. Die Daten liegen dabei nicht mehr – wie heute – bei zentralen Identitätsprovidern sondern sind lokal in Wallets gespeichert. Mit SSI wird starke Authentifizierung im Web möglich sein, bei gleichzeitig hohem Datenschutz für die Nutzer. Die Europäische Union hat 2024 die eIDAS 2.0-Verordnung verabschiedet, mit der die rechtlichen Rahmenbedingungen für SSI geebnet sind. Ich erforsche dabei die Nutzung von SSI in etablierten Protokollen der Informationstechnik: angefangen von der Umsetzung in Kerberos (und damit der Möglichkeit SSI-Authentifizierung in Windows-Netzwerken durchzuführen) über die Umsetzung im Extensible Authentication Protocol (und damit der Möglichkeit der SSI-Authentifizierung in professionellen (W)LAN-Umgebungen bis hin zur Nutzung von SSI für die Ausübung der Datenschutz-Betroffenenrechte. 

 

Projekte zur E-Mail-Sicherheit:

In den letzten Jahren habe ich mich intensiv mit dem Thema „E-Mail-Verschlüsselung“ beschäftigt. Die Vorgaben der Datenschutz-Aufsichtsbehörden in Bezug auf Ende-zu-Ende-Verschlüsselung sind wenig zielführend. Für Verantwortliche würde die Umsetzung Zeit und Geld kosten – ohne, dass damit den Betroffenen geholfen wäre. Kaum jemand nutzt S/MIME oder PGP. 

Ich trete für eine allgemeine Verbesserung des Sicherheits-Niveaus in der E-Mail-Kommunikation ein: die Mail-Server sollen nach dem Stand der Technik konfiguriert werden (nur die neuesten TLS-Versionen, DANE, SPF/DKIM/DMARC). Damit wäre allen geholfen: E-Mails können sicher und datenschutzgerecht versendet werden, ohne dass die Nutzer hierfür aktiv werden müssen. Leider zeigt sich, dass die Mail-Provider die technischen Maßnahmen häufig nicht ordentlich umsetzen und damit die Sicherheit nicht gewährleistet ist. In einer Studie haben wir ermittelt, dass nur 1 % der Mail-Server deutscher Gesundheitseinrichtungen so konfiguriert sind, dass Ärzte Gesundheitsdaten per E-Mail mit anderen Ärzten bzw. mit ihren Patienten austauschen dürften. Zusammen mit Kollegen habe ich unterschiedliche Verfahren entwickelt, die für mehr Transparenz in der E-Mail-Kommunikation sorgen. Unter https://www.mail-sicherheit.jetzt berichten wir regelmäßig über unsere Fortschritte in diesem Bereich. 

 

Website-Prüfung für den LfDI Baden-Württemberg:

Für den LfDI Baden-Württemberg habe ich eine Prüfplattform entwickelt, mit der wir von 2016-2018 in regelmäßigen Abständen die Umsetzung von HTTPS auf rund 40.000 Websites von Unternehmen in Baden-Württemberg geprüft haben. In dieser Zeit hat sich die Verbreitung von HTTPS von rund 5 % auf 22 % erhöht. Für diesen Anstieg war nach unserer Analyse maßgeblich die Initiative „Let’s Encrypt“ verantwortlich. Die Veröffentlichungen hierzu finden sich unter „Ausgewählte Publikationen“. 

Ausgewählte Publikationen:

Self-Sovereign Identity:

  • „Specifying SSI over EAP: Towards an Even Better Eduroam in the Future“, International Conference on Advanced Information Networking and Applications, 2024. 
  • „KerberSSIze Us: Providing Sovereignty to the People“, International Symposium on Stablilizing, Safety, and Security of Distributed Systems, 2023.  

E-Mail-Sicherheit:

  • „Why Johnny was allowed to send this email: How to better provide transparency in email security towards the recipient“, International Conference on e-Business Engineering, 2023. 
  • „MTA extension for user-friendly enforcement of mandatory TLS encryption“, International Conference on Advanced Information Networking and Applications, 2023. 
  • „An email a day could give your health data away“, International Workshop on Data Privacy Management, 2022.
  • „E-Mail-Sicherheit auf dem Prüfstand: Forderungen der Aufsichtsbehörden vs. Absicherung in der Realität“, Datenschutz und Datensicherheit, 2021. 
  • „Endlich eine Entscheidung zur E-Mail-Verschlüsselung: Eine technische Sicht auf das Urteil des VG Mainz“, Datenschutz-Berater, 2021.  

Privacy by Design:

  • „Privacy Challenges in the Quantified Self Movement – An EU Perspective“, Privacy Enhancing Technologies, 2016. 
  • „UnLINKED: Private Proximity-based Off-line OSN Interactions“, Workshop on Privacy in the Electronic Society, 2015. 
  • „Efficient smart metering based on homomorphic encryption“, Elsevier Computer Communications, 2015.  
  • „A privacy-preserving Concept for Smart Grids“, Sicherheit in Vernetzten Systemen, 2010.

Aus der Aufsichtsbehörde:

  • „Die Datenschutz-Folgenabschätzung in der Praxis“, Datenschutz und Datensicherheit, 2020. 
  • „Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO“, Datenschutz und Datensicherheit, 2019. 
  • „The General Data Protection Regulation: From a Data Protection Authority’s (Technical) Point of View, IEEE Security and Privacy, 2019. 
  • „HTTPS im Lichte der DSGVO“, Datenschutz und Datensicherheit, 2018. 
  • „Wie sicher ist der Zugriff auf Websites im Internet?“, Datenschutz und Datensicherheit, 2017. 

Über die Aufsichtsbehörde:

  • „Wie beliebt sind die deutschen Datenschutz-Aufsichtsbehörden?“, Datenschutz und Datensicherheit, 2024. 
  • „Stand der Technik bei Videokonferenzen – und die Interpretation der Aufsichtsbehörden: Naming and Shaming im Datenschutz“, Datenschutz und Datensicherheit, 2020.

Lehrbuch zum technischen Datenschutz:

  • „Datenschutz: Einführung in Technischen Datenschutz, Datenschutzrecht und angewandte Kryptographie, Springer, 2. Auflage, 2023. 

Gesetzes-Kommentare:

  • „Datensicherheit“, Rechtshandbuch Datenschutz im Internet, C.H.Beck, 2024. 
  • „Datensicherheit“, juris Praxis-Kommentar: Elektronischer Rechtsverkehr, 2020.