TP3.1: Accountablity

Teilprojektleitung
Prof. Dr. Alexander Pretschner
Bearbeiter
Amjad Ibrahim
Bearbeiter
Ehsan Zibaei



Accountability


Ziel des Teilprojekts 31 ist die Entwicklung eines konzeptionellen und technischen Rahmenwerks, mit dem die Verletzung gesetzlicher, selbstauferlegter und vertraglich vereinbarter Pflichten nachgewiesen sowie Verantwortlichkeiten zugeordnet werden können. Die Pflichten beziehen sich zunächst auf Pflichten der Plattform, können ggf. aber auch für Diensten applikationsnäherer Schichten gelten. Diese Pflichten beinhalten insbesondere Datenschutzanforderungen, ggf. aber auch Vertraulichkeits-, Integritäts- und Performanzanforderungen. Beispiele für Datenschutzanforderungen sind durch Nutzer formulierbare Löschanforderungen, die Verfolgbarkeit persönlicher Daten sowie die Einhaltung der vereinbarten Zweckbindung der Datenverwendung. Bei detektierter Nichteinhaltung solcher Anforderungen soll es insbesondere möglich sein, die verantwortliche Partei, also die Plattform oder den auf der Plattform ablaufenden Dienst zu identifizieren. Accountability bezieht sich also sowohl auf die Plattform selbst, als auch die Dienste, die die Plattform nutzen.

Accountability Framework

Herausforderungen



Kausalität
Obwohl in der Literatur mehrere Algorithmen vorgeschlagen werden [3,4,5], gibt es keine frei verfügbaren Implementierungen, um die Effektivität und Performanz der Algorithmen zu vergleichen.
Beweis
  • Um Logs als Basis für eine Kausalitätsanalyse zu verwenden, wird die Sicherheit der Logs vorausgesetzt.
  • Die Granularität und die Genauigkeit der aufgezeichneten Informationen sollte während der Entwurfsphase spezifiziert werden.

Ziele


Konzeptuelles und technisches Framework für Accountability
  • Identifizierung von unerwünschtem Verhalten, welches aus legalen, vertraglichen und selbst auferlegtem Verpflichtungen auf verschidenen Stufen abgeleitet wird.
  • Erkennung, Aufzeichnung und Schlussfolgerung von Verstößen gegen Anforderungen hinsichtlich Sicherheit und Datenschutz.


Ansatz

Beurteilung von generischen, kausalitätsbasierten Mechanismen
  • Implementierung von drei Kausalitätsalgorithmen [3,4,5]
  • Entwicklung eines Prüfstandsframeworks (ACCBench), um diese Algorithmen vergleichen zu können [6]


Sicherstellung der Beweise (noch in Arbeit)
  • Verwendung von kryptographischen Schemata, um Richtigkeit, Vertraulichkeit, Verifizierbarkeit von Beweisen sicherzustellen


Publikationen
Severin Kacianka, Kristian Beckers, Florian Kelbert, Prachi Kumari: „How Accountability is Implemented and Understood in Research Tools – A Systematic Mapping Study.“ PROFES 2017: 199-218
Simon Rehwald, Amjad Ibrahim, Kristian Beckers, Alexander Pretschner: „ACCBench: A Framework for Comparing Causality Algorithms.“
Kristian Beckers, Jörg Landthaler, Florian Matthes, Alexander Pretschner, Bernhard Waltl: „Data Accountability in Socio-Technical Systems.“ Enterprise, Business-Process and Information Systems Modeling – 17th International Conference, BPMDS 2016, 21st International Conference, EMMSAD 2016, Held at CAiSE 2016, Ljubljana, Slovenia, June 13-14, 2016, Proceedings, Springer, 2016,
Amjad Ibrahim and Sebastian Banescu: „StIns4CS: A State Inspection Tool for C#.“ Proceedings of the 2016 ACM Workshop on Software PROtection, ACM, 2016, 61—71
Kristian Beckers, Sebastian Pape: „A Serious Game for Eliciting Social Engineering Security Requirements.“ Proceedings of the International Conference on Requirements Engineering, RE, 2016

Betreute studentische Abschlussarbeiten
Simon Rehwald: Comparing causality-based Accountability Mechanisms, B.Sc. Thesis in Information Systems, Technische Universität München 2016. Supervisors: Dr.-Ing. Kristian Beckers, Prof. Alexander Pretschner.
Christopher Siewert: Visualization of Causality Algorithms, MSc. Thesis in informatics, Technische Universität München 2017. Supervisors: Amjad Ibrahim, Prof. Alexander Pretschner
Guided Research, Christian Wörle, An Accountability Analysis for a semi-autonomous Car Park, Supervisors: Dr.-Ing. Kristian Beckers, Severin Kacianka, Prof. Alexander Pretschner
Master Seminar: Accountability: A Cross-disciplinary View, Supervisors: Amjad Ibrahim, Ehsan Zibaei Prof. Alexander Pretschner, Summer Semester 2017: https://www22.in.tum.de/en/teaching/accountabilityseminar/

References
[1] Weitzner, D., Abelson, H., Berners-Lee, T., Feigenbaum, J., Hendler, J., Sussman, G.: Information accountability, Communications of the ACM 51(6):82-87, 2008
[2] Halpern, J., Pearl, J.: Causes and Explanations: A Structural-Model Approach. Part I: Causes. arXiv:cs/0011012v3 [cs.AI] 7, 2005
[3] Go¨ssler, G., Le Me´tayer, D.: A General Trace-Based Framework of Logical Causality. [Research Report] RR-8378, 2013.
[4] Gregor Gössler and Lacramioara Astefanoaei. 2014. Blaming in component-based real-time systems. In Proceedings of the 14th International Conference on Embedded Software (EMSOFT ’14). ACM, New York, NY, USA, , Article 7 , 10 pages.
[5] U. S. Mian, J. den Hartog, S. Etalle, N. Zannone Auditing with incomplete logs. In Proceedings of the 3rd Hot Issues in Security Principles and Trust (HotSpot 2015), 2015.
[6] Simon Rehwald: Comparing causality-based Accountability Mechanisms, B.Sc. Thesis in Information Systems, Technische Universität München 2016.
[7] University College London (UCL), Electronic Access Control – Specification Guidance Document, http://www.ucl.ac.uk/estates/security/specifications/