Techniktalk: Deine Daten? Du entscheidest!

Warum gibt es bei den Digitalen Dörfern einen zentralen Zugang?

Wie kann die Digitale-Dörfer-Plattform von Software-Anbietern erweitert werden?

Warum nutzen wir OAuth2?

In unserem Techniktalk erklärt unser Software-Architekt Dr. Johannes Schneider am Beispiel einer kurzen Geschichte was mit den Daten passiert und wie wir vertrauensvoll damit umgehen.

Es ist das Jahr 2022 und Anna loggt sich gerade in die Digitale-Dörfer-Plattform ein. Sie hat gestern ihre Einkäufe bei den umliegenden Erzeugern getätigt und checkt gerade noch mal, ob sie auch nichts vergessen hat. Erfreulicherweise stellt sie fest, dass schon die ersten Pakete zu ihr unterwegs sind. Anna liebt Bestellungen über die BestellBar, da sie so lokale Produkte einfach und schnell bekommen kann. Dies ist für sie mittlerweile so normal wie Bestellungen bei großen Online-Anbietern. Doch heute möchte sie gerne einmal etwas Neues ausprobieren. LocalCar (Name frei erfunden), ein Car-Sharing-Anbieter aus der näheren Umgebung, hat mittlerweile eine eigene App, die an die Digitale-Dörfer-Plattform angebunden ist. Anna braucht am Wochenende ein Auto, um mit ihrer Oma einen Ausflug zu machen, und Mike, ihr Freund, hat ihr den Anbieter empfohlen. LocalCar sei mit ihrem Digitale-Dörfer-Zugang ganz einfach zu benutzen. Die App ist schnell installiert, und tatsächlich: Der Login-Bildschirm kommt ihr bekannt vor. Er sieht genauso aus wie bei der BestellBar. Ein kleines bisschen verunsichert loggt sie sich mit ihren bekannten Zugangsdaten ein, genauso, wie sie es bei der BestellBar auch macht. Anna ist etwas vorsichtiger geworden, schließlich gab es in der Vergangenheit immer wieder Meldungen, dass mit gestohlenen Daten Unfug getrieben wird. Bekommt LocalCar jetzt alle meine Daten? Wissen die dann, was ich alles bestellt habe? Kennen die meine Kontakte, vielleicht sogar den Inhalt meiner Funks im DorfFunk? Naja, wenn Mike das schon gemacht hat – er ist in Sachen Datenschutz noch vorsichtiger als sie… Anna riskiert den Klick auf „Anmelden“. Dass Ihre Bedenken unbegründet waren, sieht sie am nun folgenden Bildschirm: „LocalCar möchte auf folgende Daten zugreifen: Ihre E-Mail-Adresse, Ihre Anschrift“. Von Bestellungen, Kontakten und Funks steht da nichts. Aha, sie kann also selbst entscheiden, ob sie LocalCar den Zugriff auf die geforderten Informationen erlaubt. In diesem Fall stimmt sie zu – denn natürlich braucht ein Car-Sharing-Anbieter ihre Adresse – zu Rechnungszwecken und sicher auch, um ihr Car-Stationen in ihrer Nähe zu zeigen.

Heute gibt es noch keine aktiven Drittanbieter wie LocalCar, die eigene Dienste und Apps für die Digitale Dörfer Plattform anbieten. Aber schon jetzt ist dies technisch möglich. Deshalb haben wir die Plattform gerade auf die technologische Basis gestellt, die das beschriebene Szenario ermöglicht. Das Stichwort heißt OAuth2 – ein Standard, der die Authentifizierung und Autorisierung an eine zentrale Stelle auslagert und sie nicht nur für die Basis-Applikationen der Digitale Dörfer Plattform, wie LieferBar, BestellBar, DorfNews und DorfFunk, sondern auch für Drittanbieter zur Verfügung stellt. Dies ermöglicht nicht nur einen zentralen Login für alle Dienste, sondern schafft auch Transparenz darüber, welche Daten von welchem Dienst angefordert werden. Damit bleiben Anna und Mike souverän und entscheiden, wem sie welche Informationen freigeben. Und sie müssen sich nur ein Passwort für alle Dienste der Region merken.

Info-Kasten OAuth (Quelle: wikipedia):

OAuth ist ein offenes Protokoll, das eine standardisierte, sichere API-Autorisierung für Desktop-, Web- und Mobile-Anwendungen erlaubt. Ein Endbenutzer (Resource Owner) kann mit Hilfe dieses Protokolls einer Anwendung (Client) den Zugriff auf seine Daten erlauben (Autorisierung), die von einer anderen Anwendung (Resource Server) verwaltet werden, ohne alle Details seiner Zugangsberechtigung zur anderen Anwendung (Authentifizierung) preiszugeben. Der Endbenutzer kann so Dritte damit beauftragen und dazu autorisieren, sich von ihnen den Gebrauchswert von Anwendungen erhöhen zu lassen. Typischerweise wird dabei die Übermittlung von Passwörtern an Dritte vermieden.