Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Der Freiburger Kommunikationsassistent - Sicherheit in multimedialen Kommunikationsnetzen durch nutzerbezogene Dezentralisation -

Günter Müller, Frank Stoll Universität Freiburg, Institut für Informatik und Gesellschaft, Abteilung Telematik

Abstract

In der Informationsgesellschaft von morgen werden verstärkt persönliche, multimediale Kommunikationsdienste mittels Mobilkommunikationssystemen nachgefragt werden. Dies erfordert zunehmend die Speicherung personenbezogener Daten in Teilnehmerprofilen und deren Übertragung über die Mobilfunknetze. Daher wird die Nutzung von Mobilkommunikationssystemen möglicherweise große Auswirkungen auf hochsensible Bereiche wie die Kommunikation von Teilnehmern, deren Bewegungen sowie deren Verhalten haben und das Recht auf informationelle Selbstbestimmung der Teilnehmer gefährden.

In diesem Papier wird gezeigt, daß eine nutzerbezogene Dezentralisation von Daten und bestimmten Netzfunktionen ermöglicht, einen höheren Grad an Persönlichkeitsschutz und informationeller Selbstbestimmung für die Mobilfunkteilnehmer zu erreichen als er derzeit realisiert ist. Hierzu wird eine alternative GSM-Netzinfrastruktur mit dem Freiburger Kommunikationsassistenten (FKA) als wesentlicher Komponente eingeführt. Der FKA ist einem Teilnehmer zugeordnet und steht unter dessen Kontrolle. Er bildet die organisatorische und funktionelle Schnittstelle zwischen dem Teilnehmer und dem Mobilkommunikationssystem. Der FKA speichert insbesondere personenbezogene und vermittlungstechnische Daten, die somit ausschließlich vom Mobilfunkteilnehmer kontrolliert werden. Allein der Mobilfunkteilnehmer entscheidet, inwieweit seine Daten gegenüber dem Mobilfunknetz offengelegt werden. Ein derartiger, dezentraler Gestaltungsansatz läßt sich auch allgemein auf multimediale Kommunikationsinfrastrukturen übertragen.

1 Einleitung

Ausgelöst durch die fortschreitende Deregulierung und Liberalisierung kristallisieren sich zwei maßgebliche Entwicklungslinien innerhalb des Telekommunikationsbereichs heraus: Multimedia und Mobilkommunikation.

Bei Multimedia handelt es sich um die gleichzeitige Übertragung von Sprache, Bildern, Texten und Daten über dieselbe Kommunikationsnetzinfrastruktur. In der Vision von der Informationsgesellschaft von morgen werden diese multimedialen Netzinfrastrukturen als "Nationale Informationsinfrastrukturen" oder "Datenautobahnen" bezeichnet. Vorläufer der Datenautobahnen ist das besonders in den USA - mittlerweile auch in Europa - in einem erheblichen Maße genutzte Internet. In den USA soll das Internet durch ein großflächiges Angebot an neuartigen Diensten, beispielsweise Tele-Shopping und öffentliche Bibliotheksdienste, weiterentwickelt werden. Unter dem Begriff "informationelle Grundversorgung" wird ein kostenloser Zugriff für Bürger auf Informationen, die für das öffentliche Leben wichtig sind, diskutiert. Ferner werden Feldversuche auf der Basis breitbandiger Kommunikationsnetzinfrastrukturen zur Übertragung von interaktivem Fernsehen, beispielsweise in Orlando, Florida, durchgeführt (Wilson 1995).In Europa wird für die Bereitstellung multimedialer Dienste wegen den daraus resultierenden hohen Anforderungen an Übertragungskapazitäten die Schaffung einer breitbandigen Kommunikationsnetzinfrastruktur diskutiert. Die wesentlichen Bausteine sollen dabei das diensteintegrierende digitale Netz ISDN (Integrated Services Digital Network), Breitbandkommunikationsnetze auf der Basis von ATM (Asynchronous Transfer Mode) als Vermittlungstechnik, die Mobil- und Satellitenkommunikation sowie bestehende Kabel-TV-Netze darstellen (Bangemann 1994; Armbrüster 1995 a). In der Informationsgesellschaft von morgen sollen alle Privathaushalte an multimediale Kommunikationsnetzinfrastrukturen angeschlossen sein, um vielfältigste multimediale Dienste nutzen zu können. Diese Dienste lassen unterschiedliche Industriesektoren wie die Unterhaltungs-, die Telekommunikations-, die Computer- und Informationsindustrie sowie den Handel verschmelzen. Die Brandbreite der sich abzeichnenden multimedialen Dienste reicht von Videokonferenzdiensten, der Bildkommunikation, Datenbankdiensten, elektronischer Post, Video-on-Demand, interaktivem Fernsehen, elektronischer Stimmabgabe bis hin zu Tele-Banking und Tele-Shopping. Viele dieser Dienste werden derzeit in Feldversuchen auch im Hinblick auf die zu nutzende Vermittlungs- und Teilnehmeranschlußtechnik erprobt (Gabel 1995 a; Armbrüster 1995 b; Hechler 1995). Bild 1 zeigt exemplarisch den Informationsraum bei Multimedia.

Seitenanfang

Bild 1. Der Informationsraum bei Multimedia.

Noch rasanter als die derzeitigen Multimedia-Visionen hat sich seit Anfang der 90er Jahre die Mobilkommunikation entwickelt. Die zweite Systemgeneration in Form digitaler zellularer Mobilfunknetze auf der Basis des europäischen Standards GSM (Global System for Mobile Communications) (ETSI 1993; Mouly/Pautet 1992) hat eine stetig wachsende Nachfrage nach Mobilkommunikationsdiensten hervorgerufen. Mit verbesserten Mobilfunktechnologien sowie einem weiteren, deutlichen Preisverfall bei Mobilfunkendgeräten und angebotenen Diensten wird sich die Mobilkommunikation zu einem Massenmarkt entwickeln. Für die Europäische Union werden 40 Millionen Mobilfunkteilnehmer im Jahr 2000 und 80 Millionen bis zum Jahr 2010 prognostiziert (EU 145 1994). In einem Massenmarkt werden vermehrt persönliche Kommunikationsdienste nachgefragt werden. Persönlich bedeutet hierbei (Dupuis 1995): zu jeder Zeit, an jedem Ort und abhängig von einer selbstgewählten Rolle als Kommunikationspartner ist ein Teilnehmer in der Lage, mittels eines kleinen, leichten Taschentelefons Gespräche zu empfangen, zu initiieren sowie angebotene Kommunikationsdienste zu nutzen.

Mobilkommunikationsnetze auf der Basis des GSM-Standards als auch auf dessen Weiterentwicklung, dem DCS (Digital Cellular System) 1800 Standard, in Form von Personal Communications Networks (PCNs) (Lobensommer 1994) werden den Anforderungen eines Massenmarktes und persönlicher, multimedialer Kommunikationsdienste nur zum Teil gerecht. Sie erlauben nur geringe Teilnehmer- und Übertragungskapazitäten und können unterschiedlichste Funkräume nur kostenineffizient abdecken (Callendar 1994; Norp/Roovers 1994). Weltweit wird daher an Mobilkommunikationssystemen der nächsten - dritten - Generation geforscht, deren Konzepte auf denen der zweiten Generation wie GSM aufbauen sollen (Dupuis 1995). Projekte umfassen das europäische Universal Mobile Telecommunications System (UMTS) (Rapeli 1995) und das von der ITU (International Telecommunication Union) initiierte Future Public Land Mobile Telecommunication System (FPLMTS) (Callendar 1994). Bild 2 skizziert die Entwicklungsstufen von Mobilkommunikationssystemen.

Bild 2: Entwicklungsstufen von Mobilkommunikationssystemen; in Anlehnung an (Schwarz DaSilva/Fernandes 1995).

Multimedia- und Mobilkommunikationsdienste werden auf längere Sicht hin konvergieren. Hierfür gibt es mehrere Gründe:

  • Ab der dritten Generation werden Mobilfunknetze die gleichen Dienste in der gleichen Qualität wie bei breitbandigen Festnetzen verfügbar machen. Daher können auch multimediale Dienste zukünftig in Mobilfunknetzen genutzt werden (Cheung et al. 1994; Fernandes 1995; Chia 1992).
  • Zukünftig wird der größte Teil des Telekommunikationsverkehrs über mobile Endgeräte abgewickelt werden (Rapeli 1995).
  • Prognosen schätzen den Marktdurchdringungsgrad individueller Mobilkommunikation langfristig auf etwa 80 % der Gesamtbevölkerung in Europa, wohingegen Festnetzanschlüsse durchschnittlich nur etwa 50 % erreichen werden (EU 145 1994).

Darüber hinaus erfordern multimediale Dienste als auch allgemein persönliche Mobilkommunikationsdienste aufgrund ihres individuellen Zuschnitts in einem verstärkten Maß die Übertragung personenbezogener Daten über die Kommunikationsnetze. Daher ist mit einem Anwachsen personenbezogener Verbindungs- und Inhaltsdaten (Nutzdaten), die in Mobilkommunikations- und Multimedianetzen gespeichert und zunehmend zwischen Teilnehmern, Diensteanbietern und Mobilfunknetzbetreibern ausgetauscht werden müssen, zu rechnen (Jabbari et al. 1995). Bei UMTS ist sogar geplant, teilnehmerbezogene Informationen in Benutzerprofilen, sogenannten UMTS User Profiles, netzseitig zu speichern (Eleftheriadis/Theologou 1994). In diesen Benutzerprofilen ist verzeichnet, in welchen Gebieten und unter welchen Bedingungen ein bestimmter Dienst für einen Teilnehmer verfügbar ist. Darüber hinaus werden teilnehmerspezifische Authentifizierungs- und Abrechnungsdaten gespeichert.

Die wachsende Anhäufung personenbezogener Daten bei der Nutzung multimediafähiger Mobilkommunikationssysteme wird daher möglicherweise große Auswirkungen auf hochsensible Bereiche, wie beispielsweise die Kommunikation von Teilnehmern, deren Bewegungen und deren Verhalten, haben. Damit ist der Persönlichkeitsschutz sowie das Recht auf informationelle Selbstbestimmung [1] der Teilnehmer potentiell gefährdet. Dies trifft insbesondere deshalb zu, da bereits der GSM-Standard in bezug auf die Behandlung personenbezogener Daten und das realisierte Sicherheitsniveau erhebliche Defizite aufweist (Stoll 1995; Cooke/Brewster 1992; Rueppel/Massey 1992).

Der Bangemann-Bericht "Europa und die globale Informationsgesellschaft" nennt als einen der wesentlichen Punkte den Schutz der Privatsphäre und stellt fest (Bangemann 1994): "Die Anforderungen an den Datenschutz werden in dem Maße zunehmen, wie das Potential der neuen Technologien (auch grenzüberschreitend), detaillierte Informationen über Privatpersonen aus Daten, Sprache und Bildquellen zu gewinnen und zu manipulieren, genutzt wird." Die schnelle Verabschiedung entsprechender Richtlinienvorschläge zum Datenschutz wird angemahnt, da nur durch die Existenz eines rechtlichen, unionsweiten Konzepts und damit eines glaubhaften Schutzes der Privatsphäre die Teilnehmerakzeptanz und das Vertrauen in die der Informationsgesellschaft zugrundeliegenden Technologien gestärkt werden kann.

Im Februar 1995 wurde bereits ein gemeinsamer Standpunkt zur Rahmenrichtlinie zum Schutz personenbezogener Daten vom Rat der Europäischen Union festgeschrieben (DuD 1995 a). Diese allgemeine Datenschutzrichtlinie wurde Ende Juli 1995 mit geringen Änderungen durch das Europäische Parlament vom Rat der Europäischen Union angenommen (DuD 1995 b). Damit existiert ein Mindestmaß für den Schutz der Privatsphäre in der EU. Auch wird der Transfer personenbezogener Daten in Staaten außerhalb der EU, deren Datenschutz nicht dem EU-Datenschutzstandard genügt, erheblich erschwert. Hier wird allerdings die zunehmende globale Vernetzung eine effiziente Kontrolle verhindern. Spezielle auf die Telekommunikation bezogene Regelungen sind nicht in der Richtlinie enthalten - dafür hat die Europäische Kommission bereits eine sektorielle Richtlinie zum Datenschutz bei ISDN und Mobilkommunikationsnetzen vorgelegt (EU 128 1994). Aber angesichts weiter bestehender Defizite, beispielsweise fehlt in der Richtlinie ein explizites Verbot, personenbezogene Daten zur Erstellung elektronischer Profile zu nutzen, ist ein rechtlicher Regelungsbedarf weiterhin notwendig (DuD 1994). Darüber hinaus muß die Richtlinie an die von der EU-Kommission angestrebte vollständige Liberalisierung der Telekommunikationsinfrastrukturen angepaßt werden, da sie noch von besonderen Rechten für den Betrieb von Telekommunikationssystemen in den EU-Mitgliedsstaaten ausgeht.

Es ist überhaupt sehr fraglich, ob rechtliche Rahmenbedingungen neben dem Datenschutz auch für die Informationssicherheit, den Urheberschutz und das Wettbewerbsrecht, die angesichts fortschreitender Technologien und globaler Kommunikationsinfrastrukturen nicht vollständig überprüfbar sind, den Anforderungen der Informationsgesellschaft von morgen genügen können. Multimediale Technologien und Anwendungen entwickeln sich derart schnell, daß der Benutzer in bezug auf seine Datenschutzrechte noch nicht berücksichtigt wird. Außerdem verlaufen gegenwärtig viele technologische Entwicklungen derart, daß zuerst eine betriebsfähige Systemversion zur (vorläufigen) Standardisierung kommt. Erst danach wird über notwendige Sicherheitsanforderungen und die damit verbundenen Probleme, beispielsweise Integration und Komplexität, nachgedacht. Die Entwicklung der für Multimedia wohl grundlegenden Übertragungstechnik ATM ist dafür ein Beispiel (Rendleman/Sweeny 1995). Ferner ist auch im Zuge der EU-Datenschutzrichtlinien erkennbar, daß deren Verabschiedung teilweise sehr lange braucht, manchmal erheblich länger als die Standardisierung von technischen Systemen.

In diesem Papier wird daher ein technischer Gestaltungsansatz (Müller/Stoll 1995) vorgestellt, der durch eine teilnehmerbezogene Dezentralisierung von Daten und bestimmten Funktionen ermöglicht, einen höheren Grad an Persönlichkeitsschutz und informationeller Selbstbestimmung für die Teilnehmer in Mobilfunknetzen zu erreichen. Dazu wird eine alternative GSM-Mobilfunknetzinfrastruktur eingeführt, deren wesentliche Komponente der Freiburger Kommunikationsassistent (FKA) ist. In Form eines persönlichen digitalen Assistenten ist der FKA einem Mobilfunkteilnehmer zugeordnet und steht unter dessen Kontrolle. Der FKA bildet die organisatorische und funktionelle Schnittstelle zwischen dem Teilnehmer und dem Mobilkommunikationsnetz. Das hier vorgestellte Konzept läßt sich auch allgemein auf multimediale Kommunikationsnetzinfrastrukturen übertragen. Es kann daher Denkanstöße und Ideen liefern, wie sich der Persönlichkeitsschutz und das Recht auf informationelle Selbstbestimmung technisch in Multimedia-Systeme integrieren läßt.

2 Der Freiburger Kommunikationsassistent

Die Idee, die herkömmliche GSM-Netzinfrastruktur zu verändern, wird durch drei Annahmen motiviert (Stoll 1995):

  • Die zunehmende Komplexität und das Anwachsen der Datenvolumen in Mobilfunknetzen wird Netzbetreiber und Diensteanbietern zwingen, datensparsame Netzstrukturen zu nutzen. Dies führt zu einer höheren Dezentralisierung von Daten und Netzfunktionen (Grillo et al. 1993; Norp/Roovers 1994); insbesondere müssen Teilnehmer ihre personenbezogenen Daten verwalten.
  • Eine mögliche Gefährdung des Persönlichkeitsschutzes und des Rechts auf informationelle Selbstbestimmung kommunizierender Teilnehmer ist nicht auszuschließen, da GSM-Mobilfunknetze auf einem zentralistischen Funktionskonzept beruhen. Vordergründig vertrauenswürdige aber für den Teilnehmer fremde Netzdatenbanken - Heimatregister (HLR, Home Location Register), Besucherregister (VLR, Visitor Location Register) und Authentifizierungszentrum (AC, Authentication Centre) speichern beispielsweise Teilnehmer- und Ortskenndaten zur Mobilitätsunterstützung umherwandernder Teilnehmer sowie Parameter zur Teilnehmerauthentifizierung, die gleichsam mit den Teilnehmern über ungeschützte Kommunikationsverbindungen durch das Mobilfunknetz wandern (Molva et al. 1994). Hinzu kommt, daß in den Vermittlungsstellen (Mobile Switching Centres, MSCs) während eines multimedialen Kommunikationsvorgangs eine Vielzahl an Nutz- und Verbindungsdaten (GSM TS 12.05)[2] zu Abrechnungszwecken gesammelt, gespeichert und zu Dienst- und Anrufdatensätzen zusammengestellt wird. Damit ist potentiell die Möglichkeit gegeben, Bewegungs- und Kommunikationsprofile aufzustellen (Bathe-Peters 1993). Die Teilnehmer müssen sich darauf verlassen, daß bestimmte persönliche Daten durch den Netzbetreiber ausgewählt und entsprechend seinem Anforderungsniveau geheimgehalten werden. Dies führt dazu, daß die Privatsphäre des Teilnehmers gegenüber dem Netzbetreiber nicht ausreichend geschützt ist (Rueppel/Massey 1992).
  • Das gegenwärtig realisierte Sicherheitsniveau in GSM (GSM TS 02.09, GSM TS 03.20) erweist sich als ein Resultat des Abwägens zwischen einerseits der Bereitstellung angemessener Sicherheitsmaßnahmen, der damit verbundenen Kosten und Systemkomplexität, und andererseits der angenommenen geringen Auswirkungen auf die Gesellschaft bei einer weitverbreiteten Nutzung von GSM - sofern derartige Sicherheitsmaßnahmen teilweise fehlen (Mouly/Pautet 1992). Letzteres resultierte sicherlich von dem geringeren gesellschaftlichen Bewußtsein der Notwendigkeit eines garantierten Persönlichkeitsschutzes, als GSM Mitte der 80er Jahre spezifiziert wurde. Insgesamt fehlen geeignete Sicherheitsmaßnahmen (Cooke/Brewster 1992; Molva et al. 1994). Heutige Forderungen nach mehrseitiger Sicherheit (Rannenberg 1994) können ebenso nicht erfüllt werden.

Dezentralen, in bezug auf personenbezogene Daten sparsamen Netzkonzepten, verbesserten Sicherheitsstrategien und einem gewachsenen Bedürfnis an Persönlichkeitsschutz kann in einem Ansatz Rechnung getragen werden, bei dem der Teilnehmer personen- und sicherheitsbezogene Daten dezentral unter seiner Kontrolle verantwortet. Ansatzpunkte des hier beschriebenen technischen Gestaltungskonzepts sind dabei die GSM-Netzdatenbanken (Stoll 1994).

In einer alternativen GSM-Netzinfrastruktur werden die Netzdatenbanken durch einen teilnehmerbezogenen, persönlichen digitalen Assistenten, den Freiburger Kommunikationsassistenten (FKA), ersetzt (Bild 3). Der FKA-Ansatz zielt darauf ab,

  • die Menge an personenbezogenen Daten im Mobilfunknetz durch eine nutzerbezogene Dezentralisierung zu reduzieren sowie
  • den Persönlichkeitsschutz und das Recht auf informationelle Selbstbestimmung von Mobilfunkteilehmern zu gewährleisten.

Bild 3: a) Herkömmliche GSM-Netzinfrastruktur.

b) Alternative GSM-Infrastruktur mit nur einer Netzdatenbank und FKA (für Teilnehmer T).

Der FKA übernimmt im wesentlichen die auf den jeweiligen Teilnehmer bezogenen Datenspeicherungsaufgaben der Netzdatenbanken. GSM-Netzfunktionen, beispielsweise die Teilnehmerauthentifizierung, gehen in diesem Fall auf die Vermittlungsstellen über. Aus Gründen der Netzleistungsfähigkeit muß daher eine einzige Netzdatenbank erhalten bleiben. Sie übernimmt spezielle Netzfunktionen und entlastet so das MSC. Diese einzige an einem MSC angeschlossene Netzdatenbank weist allerdings eine erheblich veränderte Datenbasis auf - personenbezogene Daten sind darin nicht mehr enthalten.

Verschiedene Arbeiten haben sich bereits mit dem teilnehmerüberprüfbaren Schutz von Nutz- und Verkehrsdaten in Form sogenannter Funk-Mixe (Pfitzmann 1993), einer Kombination aus Ende-zu-Ende-Verschlüsselung, Verbindungsverschlüsselung, ortsfesten umcodierenden Mixen und der Verteilung gefilterter Verbindungswünsche, und der Dezentralisierung von Aufenthalts- und Erreichbarkeitsinformation in Mobilfunknetzen (Hetschold 1993) beschäftigt. Bei beiden Arbeiten wurde weitgehend die derzeitige GSM-Netzinfrastruktur beibehalten. Die Arbeiten zeigten, daß es möglich ist, Aufenthaltsinformationen eines Teilnehmers lokal zu speichern, indem ein ortsfestes Terminal, vorzugsweise am Wohnort des Teilnehmers, eingeführt wird, und dabei gleichzeitig die GSM-Funktionalität aufrechtzuerhalten. Offene Fragen betreffen die Bereitstellung der Aufenthaltsinformation des Teilnehmers für das Mobilfunknetz und Authentifizierungsverfahren. Diese Probleme werden im FKA-Ansatz besonders berücksichtigt.

Alle diese Ansätze sind aufgrund der notwendigen dienst- und teilnehmerbezogenen dezentralen Sicherheitsmaßnahmen kostspieliger und komplexer im Gegensatz zum gegenwärtigen zentralistischen GSM-Schema - erreichen aber, daß Teilnehmer Mobilfunknetzen mehr Vertrauen schenken.

Der FKA ist als ein persönlicher digitaler Assistent - vergleichbar mit Newton von Apple oder dem Magic Link Personal Intelligent Communicator (Gabel 1995 b) - konzipiert. Er ist einem Teilnehmer als Ergänzung seiner GSM-Freischaltung zugeordnet. Aus Teilnehmersicht ist der FKA vertrauenswürdig und kann nicht durch Dritte manipuliert werden, was durch kryptographische Verfahren, sichere Hard- und Software sowie Plausibilitätskontrollen erreicht wird. Da der FKA Aufgaben übernimmt, die zuvor den Netzdatenbanken HLR, VLR und AC zugeordnet waren, muß er in die GSM zugrundeliegende Struktur eines Intelligenten Netzes eingebunden werden. Um Nutz-, Verkehrs- und Signalisierungsdaten austauschen zu können, muß der FKA des ITU-T Zeichengabesystem Nummer 7, den Anwendungsteil für Mobilfunk MAP (Mobile Application Part) (GSM TS 09.02) und den Kurznachrichtendienst SMS (Short Message Service) (GSM TS 03.40) unterstützen.

Der gegenwärtige Ansatz sieht vor, daß der FKA am Wohnort des Teilnehmers lokalisiert ist und dort an das öffentliche Telefonnetz (Public Switched Telephone Network, PSTN) angeschlossen ist. Es ist ebenso vorstellbar, daß mehrere FKAs aus ökonomischen Gründen an einem Ort konzentriert werden oder daß ein FKA von mehreren Teilnehmern gleichzeitig genutzt wird, beispielsweise innerhalb von Familien ("Familien-FKA"). Mit der Einführung von Universal Personal Telecommunications (UPT) Diensten (Lauer 1994), die Teilnehmern im Festnetz eine diskrete, räumlich begrenzte Mobilität ermöglichen, könnte der FKA beweglich sein und damit an beliebigen Orten lokalisiert werden. Die Wahl einer festen Heimatstation erlaubt, die in Festnetzen existierende traditionelle Ortsbezogenheit des Telefonierens wieder einzuführen, wobei aber gleichzeitig modernes personenbezogenes Telefonieren sowie die Mobilitätsunterstützung der Teilnehmer aufrechterhalten bleiben.

Weiterhin wird auch eine weitgehende Trennung persönlicher Teilnehmerdaten von denjenigen Daten erreicht, die das Kommunikationsnetz für einen normalen Betrieb benötigt. Somit wird verhindert, daß Dritte detaillierte Datenspuren eines Teilnehmers aufzeichnen können. Lediglich der FKA ist Dritten gegenüber explizit bekannt, wobei die Zuordnung FKA zu Teilnehmer für Dritte nicht nachvollziebar sein darf.

Ein ähnliches Trennungsprinzip in Form eines Gebührensplittings findet bereits im herkömmlichen GSM bei der Entgeltabrechnung im Falle eines im Mobilfunknetz endenden Rufes (Mobile Terminated Call, MTC) statt (Mouly/Pautet 1992). Der rufende Teilnehmer zahlt jeweils das Entgelt für die Verbindung zum Heimatbereich des gerufenen (mobilen) Teilnehmers. Der gerufene Teilnehmer seinerseits zahlt nur dann ebenfalls ein Entgelt, sofern er sich außerhalb seines Heimatbereichs befindet. Damit läßt sich zum einen erreichen, daß der rufende Teilnehmer die Gebühren für seinen Anruf unabhängig vom wirklichen Aufenthaltsort des gerufenen Teilnehmers stets im voraus abschätzen kann, zum anderen soll verhindert werden, daß der Anrufer weiß, daß sich der Angerufene außerhalb seines Heimatbereichs aufhält, wenn er den Ruf entgegennimmt. Damit läßt sich der Aufenthaltsort des gerufenen Teilnehmers vor dem Anrufer verbergen.

Der FKA speichert personenbezogene Daten und Verbindungsdaten, die seinem Teilnehmer zugeordnet sind (GSM TS 03.08, GSM TS 12.05) (ETSI 1993). Darunter befinden sich beispielsweise: der öffentliche Teilnehmerschlüssel; eine Diensteselektionsliste für das Erreichbarkeitsmanagement, zu dessen Zweck eingehende Dienste entsprechend dem Teilnehmerwunsch gefiltert und gegebenenfalls blockiert werden; eine Diensteausführungsliste, die anzeigt, welche Dienste die mobile Station des Teilnehmers ausführen kann. Weiterhin speichert der FKA Daten, die seine eigene Funktionalität unterstützen, beispielsweise seinen privaten Schlüssel. Zukünftig, sofern der FKA bei Systemen der dritten Mobilfunknetzgeneration eingesetzt wird, verwaltet er auch das Benutzerprofil seines Teilnehmers. Der FKA sieht für die Entgeltabrechnung einer Dienstenutzung die Funktionalität einer elektronischen Geldbörse vor. Ferner generiert er Schlüsselpaare, private und öffentliche Schlüssel, auf Basis eines RSA-Schemas (Rivest 1978) für seine eigenen und die Zwecke des ihm zugeordneten Teilnehmers. Die Schlüssel werden bei der Datenverschlüsselung und beim asymmetrischen Authentifizierungsverfahren benützt. Die öffentlichen Schlüssel werden bei einer vertrauenswürdigen Schlüsselverwaltung (VSV) registriert - wie später noch weiter ausgeführt wird.

Daten, die ein Teilnehmer für die Diensteabwicklung über das Mobilfunknetz benötigt, werden auf dem Teilnehmeridentifikationsmodul SIM (Subscriber Identity Module) (GSM TS 11.11) gespeichert. Dies sind insbesondere der private Teilnehmerschlüssel, Quittungen für die Entgeltabrechnung sowie Verfahren für die Generierung sitzungsspezifischer Datenschlüssel und Identitäten, die eine anonyme oder pseudonyme Dienstenutzung zulassen. Die oben erwähnte Generierung von Schlüsselpaaren könnte alternativ auch auf dem SIM durchgeführt werden. Dann müßte der private FKA-Schlüssel noch in den sicheren Speicherbereich des FKA übertragen werden.

Der FKA bildet die organisatorische und funktionelle Schnittstelle zwischen dem Teilnehmer, dem er zugeordnet ist, und dem Mobilfunknetz. Vom Teilnehmer initiierte Dienste werden alle zunächst über den FKA geleitet. Sofern eine Dienstesignalisierung für einen Teilnehmer im Mobilfunknetz vorliegt, wendet sich das Netz an den zugeordneten, aus der Rufnummer ersichtlichen FKA. Dieser übermittelt dem Mobilfunknetz den Aufenthaltsort des betreffenden Teilnehmers - sofern der Teilnehmer derzeit diesen Dienst annehmen möchte. Der Gütegrad der Aufenthaltsinformation wurde zuvor durch den Teilnehmer bestimmt und an den FKA übertragen. Damit liegt es an einem Teilnehmer, inwieweit er seine Daten gegenüber dem Mobilfunknetz offenlegen möchte. Somit läßt sich ein gradueller Schutz der Aufenthaltsinformation des Teilnehmers und seiner Bewegungen abhängig vom situativen Kontext erreichen. Selbst wenn der Teilnehmer letztendlich eine Dienstesignalierung durch das Mobilfunknetz nicht akzeptiert, ist er immer noch in der Lage, seinen Aufenthaltsort bis zu dem von ihm spezifizierten Grad geheimzuhalten. Unterschiedliche Dienstesignalisierungen im mobilen Endgerät können dabei den Teilnehmer auf die Dringlichkeit eines Dienstes hinweisen. Ein Teilnehmer nimmt grundsätzlich nur Dienstesignalisierungen an, die zuvor von dem ihm zugeordneten FKA überprüft wurden, ansonsten wäre es aus Netzsicht möglich, mit fingierten Dienstesignalisierungen den momentanen Aufenthaltsort eines Teilnehmers herauszubekommen. Daten für die Entgeltabrechnung laufen grundsätzlich beim FKA auf, Inhaltsdaten werden bis zum Teilnehmer durchgestellt. Die Vertraulichkeit der Kommunikation ließe sich beispielsweise durch eine geeignete Ende-zu-Ende-Verschlüsselungs-vereinbarung zwischen rufendem Teilnehmer und dem FKA des gerufenen Teilnehmers erreichen. Bei Annahme des Kommunikationswunsches durch den gerufenen Teilnehmer wird die Verschlüsselungsvereinbarung weiter zum mobilen Teilnehmer durchgereicht oder ein neuer Schlüssel wird vereinbart.

Es ist in diesem Zusammenhang auch wichtig anzumerken, daß die mobilen Endgeräte von Teilnehmern grundsätzlich lokalisierbar sind, wenn sie senden. Der Einsatz von Spreizbandverfahren in Verbindung mit einer Definition vertrauenswürdiger Kommunikationsbereiche (Thees/Federrath 1995), in denen jede Übertragung durch einen Spreizcode geschützt wird, erscheint geeignet, die Lokalisierung von sendenden Teilnehmern durch Dritte zu verhindern. Ein derartiges Verfahren ließe sich auch in den FKA-Ansatz integrieren.

Die Funktion des FKA und weitere Daten, die hierzu gespeichert werden müssen, sollen kurz in folgenden drei Bereichen erläutert werden: Authentifizierung und Datenverschlüsselung, Ortsregistrierung sowie im Mobilfunknetz endende Kommunikationsdienste.

2.1 Authentifizierung und Datenverschlüsselung

Hier wird vorausgesetzt, daß eine Infrastruktur zur Verwaltung öffentlicher Schlüssel verfügbar ist. Deren Existenz kann mit dem Aufkommen globaler Datenautobahnen und einem damit einhergehenden Anwachsen des telekooperativen, elektronischen Handels mittels multimedialer Dienste motiviert werden (Chokhani 1994). Um die Integrität öffentlicher Schlüssel sowie die Zuordnungsintegrität von Schlüssel zu Teilnehmer sicherzustellen, werden vertrauenswürdige Schlüsselverwaltungen (VSVs) benötigt, die öffentliche Benutzerschlüssel registrieren, verteilen und Zertifikate für die registrierten Schlüssel auf Anfrage ausgeben. Letzteres erfordert auch, daß es mehrere VSVs geben muß, um einem Benutzer zu ermöglichen, eine oder mehrere ihm vertrauenswürdig erscheinende VSVs auszuwählen. Mit der Einführung einer VSV-Infrastruktur erscheint es sinnvoll, asymmetrische Authentifizierungsverfahren bei Mobilkommunikationssystemen einzusetzen. Dezentralisierte VSVs wie auch die verteilte Registrierung öffentlicher (Teilnehmer-)Schlüssel unterstützen die Anwendung asymmetrischer Authentifizierungsverfahren in Mobilfunknetzen, insbesondere wenn sich Teilnehmer außerhalb ihres Heimatbereichs aufhalten.

Das FKA-Konzept nutzt ein asymmetrisches Authentifizierungsverfahren, um zu verhindern, daß teilnehmerbezogene, private Schlüssel in Komponenten des Mobilfunknetzes gespeichert werden müssen. Der Authentifizierung des FKA und des ihm zugeordneten Teilnehmers gegenüber dem Mobilfunknetz liegt die Nutzung eines RSA-Verfahrens zugrunde. Die hierzu notwendigen Schlüsselpaare werden vom FKA generiert. Der private Schlüssel des Teilnehmers (priKMS)[3] muß dabei in einer sicheren Art und Weise auf das SIM des zugehörigen Teilnehmers übertragen werden. Die öffentlichen Schlüssel von FKA (puKFKA) und Teilnehmer (puKMS) müssen bei einer oder mehreren VSVs registriert werden. Alternativ wäre es möglich, Schlüsselpaare auf dem SIM zu generieren, und, sofern das SIM sich im FKA befindet, den privaten FKA-Schlüssel von dort in einen gesicherten FKA-Speicherbereich zu übertragen.

Sobald ein Dienstwunsch für einen Teilnehmer vorliegt, erhält der zugeordnete FKA eine Dienstesignalisierung. Da die Entgeltabrechnung vom FKA übernommen werden soll, authentifiziert sich der FKA mittels eines Challenge-Response-Verfahrens gegenüber dem Mobilfunknetz (Bild 4).

Dies wird genauso durchgeführt wie im gegenwärtigen GSM (GSM TS 03.20) (ETSI 1993), das heißt für eine vom Netz übertragene Zufallszahl z wird eine Signatur Sig z durch die Mobilstation berechnet. Das Mobilfunknetz kann gegebenenfalls das Zertifikat einer VSV für den öffentlichen FKA-Schlüssel verlangen. Der FKA berechnet einen spezifischen Datenschlüssel kd für die aufzubauende Kommunikationsverbindung und wählt eine eigene temporäre Identität (Temporary Stationary Subscriber Identity, TSSI) aus. Die Signatur wird im Klartext, der Datenschlüssel, der öffentliche Teilnehmerschlüssel und die temporäre Identität werden mit dem öffentlichen Netzschlüssel verschlüsselt an das Mobilfunknetz übertragen. [4] Um einen häufigen Gebrauch öffentlicher Schlüssel zu vermeiden, werden anschließend alle Kommunikationsvorgänge zwischen FKA und Mobilfunknetz, so die Bereitstellung des Teilnehmeraufenthaltsorts, Entgeltabrechnungsdaten und temporäre FKA-Identitäten, mit dem sitzungsspezifischen Datenschlüssel verschlüsselt. Der dazu verwendete Verschlüsselungsalgorithmus wird zwischen Netz und FKA verhandelt. In einer entsprechenden Weise findet dieses Authentifizierungsverfahren auch zwischen dem Mobilfunknetz und der Mobilstation des Teilnehmers statt.

Bild 4: Asymmetrische Authentifizierung und Datenverschlüsselung (Synopse der Aktionen zwischen Mobilfunknetz und FKA).

Der Vorteil der asymmetrischen Authentifizierung ist, daß keine teilnehmerbezogenen Schlüssel und andere im voraus berechneten Authentifizierungsparameter im Mobilfunknetz gespeichert werden müssen. Dies vereinfacht gleichfalls die Generierung der sicherheitsrelevanten teilnehmerbezogenen Schlüssel, da diese anschließend nicht gleichzeitig an unterschiedlichen Stellen vorgehalten werden müssen - wie gegenwärtig bei GSM der persönliche Teilnehmerschlüssel ki auf dem SIM und im AC. Das RSA-Verfahren ist jedoch aufwendiger und komplexer. Zu untersuchen ist noch, inwieweit die vorgegebenen Berechnungszeiten für eine RSA-Entschlüsselung eingehalten werden können, was letztendlich von den verwendeten Schlüssellängen und damit vom garantierten Sicherheitsmaß abhängt. Hier fällt auch der Schlüsseldynamik eine wesentliche Bedeutung zu. Wegen der Zeitbedingungen muß eine Kommunikationsverbindung unter Vorbehalt aufgebaut und sofort abgebrochen werden, sobald sich die Authentifizierung Beteiligter als falsch herausstellt.

2.2 Aufenthaltsregistrierung

Damit nicht mehr vollständige Bewegungsprofile von Teilnehmern erstellt werden können, speichert der FKA die Aufenthaltsinformation des ihm zugeordneten Teilnehmers. Dies wirft die Frage auf, wie der Teilnehmer seinen eigenen Aufenthaltsort bestimmt. Er muß die globale Funkzellenkennung (cell global identity, CGI) in Erfahrung bringen, die sich aus der Aufenthaltsgebietskennung (location area identity, LAI) und der Zellenkennung (cell identity, CI) zusammensetzt.

Diese Daten - in Bild 5 mit LOC-Info (Location Information) bezeichnet - werden gegenwärtig über einen Verteilkanal, den Broadcast Control Channel (BCCH), zum Zweck der Funkzellenauswahl übertragen und vom mobilen Endgerät des Teilnehmers passiv empfangen. Der Teilnehmer kann damit eine Nachricht (Short Message, SM) zusammenstellen, die seinen Aufenthaltsort (Location, LOC) enthält. Die Güte dieser Ortsinformation hängt jedoch davon ab, inwieweit ein Teilnehmner seinen exakten Aufenthaltsort für spätere Dienstesignalisierungen offenbaren möchte. Die Ortsinformation kann dabei auf der Basis des Funkabdeckungsgebiets einer einzelnen Zelle, einer Basisstation oder eines MSC in Abhängigkeit eines Zeitraums, des Ortes oder der jeweiligen Teilnehmerrolle bestimmt werden. Damit läßt sich ein gradueller, situativer Schutz des Aufenthaltsortes und der Bewegung des Teilnehmers erreichen. Selbst wenn der FKA dem Mobilfunknetz den Aufenthaltsort seines Teilnehmers mitgeteilt hat und dieser Teilnehmer letztendlich den signalisierten Dienst nicht entgegennehmen möchte, bleibt der exakte Aufenthaltsort des Teilnehmers dem Mobilfunknetz gegenüber verborgen - vorausgesetzt der Unschärfegrad der Ortsinformation war groß genug.

Die Aufenthaltsinformation des Teilnehmers wird mittels eines paketvermittelnden Dienstes an den FKA übertragen (Bild 5). Hierbei entstehen nur streckenweise Kommunikationsverbindungen. Durch ein Abhören bestimmter Übertragungsstrecken kann nicht auf die Zuordnung Teilnehmer zu FKA geschlossen werden. Der für GSM spezifizierte Kurznachrichtendienst SMS (short message service) (GSM TS 03.40) erscheint hier als ein geeigneter Übertragungsdienst (Hetschold 1993). Es können maximal 160 Zeichen in einer einzelnen Kurznachricht nach dem store-and-forward Prinzip übertragen werden. Der FKA muß hierzu die Funktionalität eines SMS Service Centers erhalten, um in der Lage zu sein, Kurznachrichten speichern, weiterleiten, entsprechende Fehlerreports verarbeiten und gegebenenfalls die Mobilstation auf fehlerhafte Übertragungen hinweisen zu können.

Sofern ein Teilnehmer seine Aufenthaltsinformation im FKA aktualisieren möchte, sendet er eine Kurznachricht an den FKA, die den in einer bestimmten Unschärfe spezifizierten Aufenthaltsort enthält. Der Nachrichteninhalt wird dabei mit dem öffentlichen Schlüssel des FKA (puKFKA) verschlüsselt und enthält eine Teilnehmersignatur. Die Mobilstation muß nicht authentifiziert werden. Das Mobilfunknetz wickelt die Entgeltabrechnung über den FKA ab, sofern nicht eine pauschale Tarifierung wie gegenwärtig in GSM vorgesehen gewählt wird. Der FKA muß sich authentifizieren, bevor er die Nachricht vom Netz zugestellt bekommt. Er kann anhand der Teilnehmersignatur (priKMS[idMS,idFKA, LOC]), die die Teilnehmer- und FKA-Identität [5] sowie den Aufenthaltsort enthält, überprüfen, ob sein Teilnehmer die Kurznachricht gesendet hat. Optional kann ein Zertifikat (priKVSV[idMS,puKMS]) für den öffentlichen Teilnehmerschlüssel mitübertragen werden. Dadurch wird ausgeschlossen, daß der FKA für fremde, vorsätzlich an ihn gesendete Nachrichten ein Entgelt entrichten muß.

Bild 5: Ortsregistrierung (schematisch): Feststellung des Aufenthaltsortes und Übertragung der Information an den FKA.

Es gilt hier noch zu untersuchen, ob der Durchsatz an Kurznachrichten mit der Häufigkeit an Aufenthaltsregistrierungen durch die Teilnehmer in Einklang zu bringen ist, da Kurznachrichten relativ lange Laufzeiten haben können. Durch diesen Ansatz wird auch ein enormer Bedarf an Signalisierungskapazitäten sowohl in der Mobilstation wie auch im Mobilfunknetz generiert. Dies muß durch eine geeignete technische Systemgestaltung bewältigt werden. Offen ist auch noch die Behandlung von Fehlerreports und entsprechender Recovery-Prozeduren. Weiterhin sollte die Möglichkeit, Kurznachrichten sendende Teilnehmer lokalisieren zu können, verhindert werden.

Wegen der genannten Gründe erscheint es aber sinnvoll, zukünftig einen allgemeinen mobilen Datendienst anstelle des GSM-Kurznachrichtendienstes für die Übertragung von Teilnehmerortsinformationen in Betracht zu ziehen.

2.3 Ankommende Dienste im Mobilfunknetz

Sobald eine Dienstesignalisierung für einen Teilnehmer im Mobilfunknetz vorliegt, wird der zugeordnete FKA informiert (Bild 6). Der FKA prüft, ob sein Teilnehmer zu diesem Zeitpunkt, für diesen Dienst überhaupt erreichbar ist, und authentifiziert sich gegenüber dem Netz für eine spätere Nutzungsentgeltabrechnung, wenn der Teilnehmer den Dienst annimmt. Sofern der Teilnehmer erreichbar ist, überträgt der FKA die Aufenthaltsinformation (LOCMS) sowie eine spezielle Nachricht zum Mobilfunknetz. Sie enthält die mit

Bild 6: Verbindungsherstellung (schematisch): LOCMS enthält die Aufenthaltsinformation in der vom Teilnehmer spezifizierten Güte.

dem öffentlichen Teilnehmerschlüssel (puKMS) verschlüsselte eigene Signatur, optional ein VSV-Zertifikat und eine spezielle Dienstesignalisierung (ServInd). Das Mobilfunknetz verteilt die Nachricht anschließend im spezifizierten Aufenthaltsgebiet. [6] Der betreffende Teilnehmer kann die Diensteanzeige mit seinem privaten Schlüssel entschlüsseln. Er erkennt, daß die Dienstesignalisierung von seinem FKA bearbeitet wurde, und kann selbst entscheiden, ob er den Dienst übernehmen möchte. Sofern er dies möchte, schaltet das Mobilfunknetz einen Nutzdatenkanal, auf dem nur die Inhaltsdaten übertragen werden, mittels der korrekten Wegeinformation vom FKA zum Teilnehmer durch. [7] Die Daten zur Entgeltabrechnung laufen beim FKA auf. Sinnvoll erscheint bei dieser Trennung, daß dem FKA durch das Netz eine Sitzungsidentifikationsnummer mitgeteilt wird, die dann auch an die mobile Teilnehmerstation weitergereicht wird. Nach der Beendigung des Dienstes kann damit ein Datensatz von der Mobilstation für den FKA zusammengestellt werden, der den Startzeitpunkt und das Ende des von der mobilen Station genutzten Dienstes enthält. Damit lassen sich Nutzungsentgeltabrechnungen, die der FKA für seinen Teilnehmer gegenüber dem Mobilfunknetz zu leisten hat, verifizieren.

Problematisch ist hier der Datenüberhang im Mobilfunknetz, der durch die Verteilung der Diensteanzeigen in zum Teil großräumigen Gebieten und vor allem für viele Teilnehmer generiert wird. Außerdem wird die Belastung des mobilen Endgeräts größer, da sie ständig den für die Diensteanzeigen bestimmten Verteilkanal abhören, eingehende Datensignale überprüfen und Quittierungen für Entgelte übertragen muß.

3 Zusammenfassung

Der FKA-Ansatz vermittelt die Idee, wie durch eine nutzerbezogene Dezentralisierung personenbezogener Daten in Mobilkommunikationsnetzen ein verbesserter Persönlichkeitsschutz und das Recht auf informationelle Selbstbestimmung technisch realisiert werden können. Teilnehmerbezogene Daten werden unter der Kontrolle des Teilnehmers außerhalb des Mobilfunknetzes angesiedelt. Dieser allein kann damit entscheiden, inwieweit er seine Daten gegenüber dem Mobilfunknetz offenlegt. Damit ist ein abgestufter, situationsabhängiger Persönlichkeitsschutz realisierbar. Der Ansatz läßt sich relativ problemlos in bestehende Mobilfunknetz-Infrastrukturen integrieren, da er im wesentlichen Datenspeicherfunktionen der GSM-Netzdatenbanken an anderer Stelle allokiert, dabei aber lediglich fortgeschrittene Vermittlungs- und Verteilfunktionen benötigt. Gerade diese werden aber durch die Entwicklung mobiler Breitbandkommunikationssysteme (Fernandes 1995) zukünftig verfügbar sein. Damit wäre eine schrittweise Umgestaltung herkömmlicher GSM-Infrastrukturen in Richtung eines FKA-basierten Ansatzes möglich.

Darüber hinaus lassen sich Kriterien mehrseitiger Sicherheit wie anonyme und pseudonyme Kommunikation in diesem Ansatz realisieren. Das Kommunikationsnetz kann lediglich detaillierte Daten über den FKA sammeln, nicht jedoch über den zugehörigen Teilnehmer - sofern man natürlich die Möglichkeit zur Peilung, der ein sendender Teilnehmer unterliegt, vermindern kann. Die Trennung der teilnehmerbezogenen Datensphäre von derjenigen des Netzbetreibers bzw. Diensteanbieters ist wegweisend für die Gestaltung multimedialer Kommunikationsnetzinfrastrukturen, die derzeit noch stark zentral organisiert sind, und wird zunehmend wichtiger bei der Nutzung multimedialer Dienste.

Wichtige Bausteine, die zur Sicherheit in multimedialen Kommunikationsnetzen beitragen, sind: eine nutzerbezogene Datendezentralisation durch persönliche digitale Kommunikationsassistenten, die Einführung dezentraler Entgeltabrechnungsverfahren, insbesondere mittels elektronischen Geldes, asymmetrische Authentifizierungsverfahren und damit einhergehend der Aufbau von Infrastrukturen für die Verwaltung öffentlicher Schlüssel sowie die Nutzung von Ende-zu-Ende-Verschlüsselung.

Literatur

Armbrüster, H. (1995 a): Video- und Multimedia-Kommunikation über öffentliche Netze (Teil 1). ntz Nachrichtentechnische Zeitschrift, Bd. 48 (1995) Heft 4, S. 10-17

Armbrüster, H. (1995 b): Video- und Multimedia-Kommunikation über öffentliche Netze (Teil 2). ntz Nachrichtentechnische Zeitschrift, Bd. 48 (1995) Heft 5, S. 16-23

Bangemann, M. (1994): Europa und die globale Informationsgesellschaft. ntz Nachrichtentechnische Zeitschrift, Bd. 47 (1994) Heft 11, S. 806-813, und Heft 12, S. 884-890; Bd. 48 (1995) Heft 1, S. 38-41; englische Version via WWW: http://www.ispo.cec.be/infosoc/backg/bangemann.html

Bathe-Peters, B. (1993): Datenschutzprobleme und Lösungsansätze im Mobilfunk. In: Vorträge der ITG-Fachtagung Mobile Kommunikation vom 27. bis 29. September 1993 in Neu-Ulm, ITG-Fachbericht 124, Berlin, Offenbach: vde-verlag, 1993, S. 377-386

Callendar, M. H. (1994): Future Public Land Mobile Telecommunication Systems. IEEE Personal Communications, Vol. 1, No. 4, Fourth Quarter 1994, pp. 18-22

Cheung, J. C. S. et al. (1994): Network Planning for Third-Generation Mobile Radio Systems. IEEE Communications Magazine, Vol. 32, No. 11, November 1994, pp. 54-59

Chia, S. (1992): The Universal Mobile Telecommunication System. IEEE Communications Magazine, Vol. 30, No. 12, December 1992, pp. 54-62

Chokhani, S. (1994): Toward a National Public Key Infrastructure. IEEE Communications Magazine, Vol. 32, No. 9, September 1994, pp. 70-74

Cooke, J. C./Brewster, R. L. (1992): Cryptographic Security Techniques for Digital Mobile Telephones. IEE 2nd. International Conference on Private Switching Systems and Networks, London, UK, June 23-25, 1992, pp. 123-130

Dupuis, Ph. (1995): A European view on the Transition Path Toward Advanced Mobile Systems. IEEE Personal Communications, Vol. 2, No. 1, February 1995, pp. 60-63

DuD (1995 a): Datenschutzrichtlinie der EU. Gemeinsamer Standpunkt des Rates der Europäischen Union vom 20. 2. 1995 im Hinblick auf den Erlaß der Richtlinie zum Schutz natürlicher Personen bei der Verabeitung Personenbezogener Daten und zum freien Datenverkehr. Datenschutz und Datensicherheit (DuD) 4/95, April 1995, S. 215-223

DuD (1995 b): Datenschutzrichtlinie der EU - endgültig! Datenschutz und Datensicherheit (DuD) 8/95, August 1995, S. 483

DuD (1994): Beschluß der Konferenz der Datenschutzbeauftragten des Bundes und der Länder auf ihrer 48. Sitzung (26./27. September 1994). Datenschutz und Datensicherheit (DuD) 12/94, Dezember 1994, S. 697-698

Eleftheriadis, G. P./Theologou, M. E. (1994): User Profile Identification in Future Mobile Telecommunications Systems. IEEE Network, Vol. 8, No. 5, September/ October 1994, pp. 33-39

ETSI (1993): ETSI-GSM Technical Specifications Phase 1, Release List 1/1992 and Phase 2 Release List, ETSI Publication Office, Sophia Antipolis, Update July 1993

EU 128 (1994): Modified Proposal for a Directive of the European Parliament and the Council concerning the Protection of Personal Data and Privacy in the Context of Digital Telecommunications Networks, in particular the Integrated Services Digital Network (ISDN) and Digital Mobile Networks. Commission of the European Communities, Provisional Text COM (94) 128 final, April 1994

EU 145 (1994): Grünbuch über ein gemeinsames Konzept für Mobilkommunikation und Personal Communications in der Europäischen Union. Kommission der Europäischen Gemeinschaften, KOM (94) 145 endg., April 1994

Fernandes, L. (1995): Developing a System Concept and Technologies for Mobile Broadband Communications. IEEE Personal Communications, Vol. 2, No. 1, February 1995, pp. 54-60

Gabel, Jürgen (1995 a): Sieben Versuche mit interaktiven Videodiensten. ntz Nachrichtentechnische Zeitschrift, Bd. 48 (1995) Heft 4, S. 43-45

Gabel, Jürgen (1995 b): Telekom-Dienst PersonaLink in den USA gestartet. ntz Nachrichtentechnische Zeitschrift, Bd. 48 (1995) Heft 3, S. 26-29

Grillo, D. et al. (1993): Towards third generation mobile systems: a European possible transition path. Computer Networks and ISDN Systems, Vol. 25, No. 8, March 1993, pp. 947-961

Hechler, M. (1995): Digital-Video - Dienste, Technologien und Architekturen. ntz Nachrichtentechnische Zeitschrift, Bd. 48 (1995), Heft 3, S. 18-25

Hetschold, Th. (1993): Aufbewahrbarkeit von Erreichbarkeits- und Schlüsselinformationen im Gewahrsam des Endbenutzers unter Einhaltung der GSM-Funktionalität eines Funknetzes. GMD Studien Nr. 222, Sankt Augustin 1993

Jabbari, B. et al. (1995): Network Issues for Wireless Communications. IEEE Communications Magazine, Vol. 33, No. 1, January 1995, pp. 88-98

Lauer, G. S. (1994): IN Architectures for Implementing Universal Personal Telecommunications. IEEE Network, Vol. 8, No. 2, March/April 1994, pp. 6-16

Lobensommer, H. (1994): PCN/DCS 1800 - europäisches Mobilfunksystem für alle. ntz Nachrichtentechnische Zeitschrift, Bd. 47 (1994) Heft 8, S. 550-557

Molva, R. et al. (1994). Authentication of Mobile Users. IEEE Network, Vol. 8, No. 2, March/April 1994, pp. 26-34

Mouly, M./Pautet, M.-B. (1992): The GSM System for Mobile Communications. Published by the authors, ISBN 2-9507190-0-7, Palaiseau, France, 1992

Müller, G./Stoll, F. (1995): The Freiburg Communications Assistant Enabling Decentralization and Privacy in Mobile Communications Systems. In: Speaker's Papers, 7th World Telecommunication Forum, Technology Summit, ITU Telecom 95, Geneva, 3-11 October 1995, International Telecommunication Union, October 1995, pp. 245-249

Norp, T./Roovers, A. J. M. (1994): UMTS Integrated with B-ISDN. IEEE Communications Magazine, Vol. 32, No. 11, November 1994, pp. 60-65

Pfitzmann, A. (1993): Technischer Datenschutz in öffentlichen Funknetzen. Datenschutz und Datensicherheit (DuD) 8/93, August 1993, S. 451-463

Rannenberg, K. (1994): Recent Development in Information Technology Security Evaluation - The Need for Evaluation Criteria for Multilateral Security. In: Sizer, R./Yngström, L./Kaspersen, H./Fischer-Hübner, S. (eds.): Security and Control of Information Technology in Society, Proceedings of the IFIP TC9/WG 9.6 Working Conference, August 12-17, 1993, St. Petersburg, Russia, Amsterdam: North-Holland, 1994, pp. 113-128

Rapeli, J. (1995): UMTS: Target, System Concept, and Standardization in a Global Framework. IEEE Personal Communications, Vol. 2, No. 1, February 1995, pp. 20-28

Rendleman, J./Sweeny, T. (1995): Forum turns to ATM security before technology takes off. Communications Week International, 7 August 1995, pp. 38-39

Rivest, R. L. et al. (1978): A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, Vol. 21, No. 2, February 1978, pp. 120-126

Rueppel, R. A./Massey, J. L. (1992): Feind hört mit. In: ascom Mobile Telekommunikation, Sonderdruck der Technischen Rundschau anläßlich des 4. Berner Technologie- Forums der Stiftung Hasler-Werke und Ascom-Konzernforschung, Bern: Hallwag AG, 1992, S. 16-19

Schwarz DaSilva, J./Fernandes, B. E. (1995): The European Research Program for Advanced Mobile Systems. IEEE Personal Communications, Vol. 2, No. 1, February 1995, pp. 14-19

Stoll, F. (1995): The Need for Decentralization and Privacy in Mobile Communications Networks. Computers & Security, Vol. 14, No. ??, 1995 (to be published); first presented at 10th IFIP SEC'94 Conference, Curacao, Netherlands Antilles, May 23-37, 1994

Stoll, F. (1994): Sicherheit in Mobilfunknetzen. Datenschutz-Berater, Heft Nr. 9, September 1994, S. 11-15

Thees, J./Federrath, H. (1995): Methoden zum Schutz von Verkehrsdaten in Funknetzen. In: Brüggemann H. H./Gerhardt-Häckl, W. (Hrsg.): Verläßliche IT-Systeme, Proceedings der GI-Fachtagung VIS'95, Rostock, April 1995, Braunschweig/Wiesbaden; Vieweg, S. 181-192

Wilson, R. (1995): Reading Interactive TV's future. OEM Magazine, Juni 1995, pp. 34-42/ 81

1 BVerfGE 65, 1 ff.

2 GSM TS xx.yy: GSM Technical Specification <Serie>. <laufende Nummer> (ETSI 1993; Mouly/Pautet 1992).

3 puKX/priKX: öffentlicher/privater Schlüssel von X.

4 puKX/priKX(N) bedeutet: die Nachricht N wird mit dem öffentlichen/privaten Schlüssel von X verschlüsselt.

5 Die Identitäten müssen nicht die richtigen Identitäten sein. Sie können anonym oder pseudonym sein.

6 Die Verteilung von Dienstesignalisierungen durch das Mobilfunknetz kann auch mit der Verteilung von Aufenthaltsinformationen (siehe Kapitel 2.2) für die mobilen Teilnehmer gekoppelt werden und umgekehrt. Die Reservierung eines festen Broadcast-Kanals erscheint hierfür am sinnvollsten zu sein.

7 Die Kommunikationsverbindung zwischen FKA und Teilnehmer läßt sich dann durch den Einsatz eines Spreizbandverfahrens schützen, um selbst bei einer bestehenden Verbindung noch den Aufenthaltsort des Teilnehmers zu schützen.

Zuletzt geändert:
am 08.02.97

mail to webmaster