The information processed in a user model is often assigned unequivocally to a specific user and is therefore personal data. Personal data is subject to special regulations and its processing must fulfill requirements such as controllability, confidentiality, and integrity. The restriction of data collection to the minimum required from the perspective of data protection is in contrast to the tendency of adaptive systems to derive optimum adaption from a maximum of available assumptions about the user. In general, the necessary compromise can only be reached by involving the user who is able to weigh the extent to which the information processed in a user model is worth being protected against the benefit of this information to the adaptive system. For this reason, the user is included in the definition of the security requirements in this thesis.
The complex problem security in user modeling can be broken down into the three components: confidentiality, integrity, and availability of processed information. As availability involves no specific requirements with regard to user modeling it is not discussed in depth in this thesis.
The integrity of user modeling information is discussed with regard to internal integrity of data within the user modeling system and the specific representation techniques as well as with regard to external integrity of the user modeling system from the perspective of the user and the adaptive system.
Confidentiality of processed information is guaranteed in several respects. A role-based access control model enables the user to control the shared maintenance of a user model through different adaptive application systems by filtering the permitted information flow. The description of access rights based on roles makes it possible for the user to provide adaptive application systems with information in accordance with its intended role (e.g. information filtering). This method also enables users to assume different roles when presenting themselves to application systems.
Confidentiality of user model information is a requirement that comes into play when different adaptive application systems jointly access parts of the user model. Furthermore, the secrecy of processed information can also be required. This is achieved by processing user model information anonymously or pseudonymously. User model information is thus no longer personal data, though it remains usable for adaptive application systems. In addition to a discussion of different types of anonymity and pseudonymity, this thesis presents an implementation which enables the user to determine how reliable the disclosure avoidance process must be.
For maintaining secrecy and authenticity of the user model contents exchanged during their transportation through an electronic network, the transportation mechanism has been extended to include methods for encryption and for the verification of the authenticity of the messages exchanged.
The methods presented here for increasing security in user modeling systems are used as a basis for the formulation and automatic enforcement of concrete policies on the use of user information through adaptive application systems. They are intended to enable users to make individual adaptations to given policies or to define their own policies. This also enables users to weigh their individual privacy requirements against the added value of the adaptive system.
Die in einem Benutzermodell verarbeitete Information ist oft eindeutig einem Benutzer zugeordnet - somit personenbezogen. Personenbezogene Information unterliegt besonderen Bestimmungen und deren Verarbeitung muß Bedingungen wie Kontrollierbarkeit, Vertraulichkeit und Integrität erfüllen. Die aus Sicht des Datenschutzes geforderte Datensparsamkeit ist gegenläufig zu der Tendenz adaptiver Systeme, aus möglichst vielen verfügbaren Annahmen über den Benutzer optimale Adaptionen abzuleiten. Der notwendige Kompromiß ist im allgemeinen nur durch die Einbeziehung des jeweiligen Benutzers zu finden, der die Schutzwürdigkeit und den Umfang der in einem Benutzermodell verarbeiteten Information zum Nutzen des adaptiven Systems in Relation setzen kann. Deshalb wird der Benutzer im Rahmen dieser Arbeit in die Definition der Sicherheitsanforderungen miteinbezogen.
Der Komplex Sicherheit in Benutzermodellierung wird dabei in die drei Komponenten Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Information zerlegt, wovon Verfügbarkeit aus Sicht der Benutzermodellierung keine spezifischen Anforderungen stellt und deshalb ausgegrenzt wird.
Die Integrität der Benutzermodellierungsinformation wird sowohl als interne Integrität der Daten innerhalb des Benutzermodellierungssystems und der spezifischen Repräsentationstechniken diskutiert sowie auch als externe Integrität aus Sicht des Benutzers und des adaptiven Systems auf das Benutzermodellierungssystem.
Die Vertraulichkeit der verarbeiteten Information wird in mehrfacher Hinsicht gewährleistet. Durch ein rollenbasiertes Zugriffskontrollmodell hat der Benutzer die Möglichkeit, durch Filterung des Informationsflusses die gemeinschaftliche Pflege eines Benutzermodells durch verschiedene adaptive Anwendungen zu steuern. Die Beschreibung der Zugriffsrechte durch Rollen erlaubt dem Benutzer, adaptiven Anwendungen Information gemäß der ihnen zugedachten Rolle (z.B. Informationsfilterung) zur Verfügung zu stellen. Ebenfalls erlaubt es diese Methode dem Benutzer, sich gegenüber adaptiven Anwendungen in verschiedenen Rollen zu präsentieren.
Die Vertraulichkeit der Benutzermodellinformation wird definiert durch den gemeinschaftlichen Zugang verschiedener adaptiver Anwendungen zu Teilen des Benutzermodells. Darüberhinaus kann auch die Geheimhaltung der verarbeiteten Information gefordert werden. Diese wird erreicht, indem die Benutzermodellinformation anonym oder pseudonym verarbeitet wird. Dadurch verliert die Benutzermodellinformation den Personenbezug, bleibt aber trotzdem für adaptive Anwendungen nutzbar. Neben der Diskussion verschiedener Arten von Anonymität und Pseudonymität wird eine Implementation vorgestellt, die es dem Benutzer erlaubt, die Zuverlässigkeit des Anonymisierungsprozesses (unter Randbedingungen) zu gewährleisten.
Zur Wahrung der Geheimhaltung und der Authentizität der ausgetauschten Benutzermodellinhalte beim Transport durch ein elektronisches Netzwerk ist der dafür verwendete Transportmechanismus um Methoden zur Verschlüsselung und zur überprüfung der Authentizität der ausgetauschten Nachrichten erweitert worden.
Die vorgestellten Methoden zur Erhöhung der Sicherheit in benutzermodellierenden Systemen dienen als Basis zur Formulierung und Durchsetzung konkreter Praktiken zur Verwendung von Informationen über den Benutzer durch adaptive Anwendungen. Sie sollen dem Benutzer erlauben, individuelle Anpassungen an vorgegebenen Praktiken durchzuführen oder selbst Praktiken zu definieren, wodurch der Benutzer die Möglichekeit erhält, seine individuellen Privatheitsanforderungen gegenüber dem Mehrwert des adaptiven Systems abzuwägen.