[ Privacy by Design und IT-Sicherheit ] B S O I r e f o h n u a r F www.iosb.fraunhofer.de ISSN 1616-8240

Liebe Freunde des Fraunhofer IOSB, Editorial schon der Titel dieser Ausgabe umfasst mit den Begriffen Privacy by Design und IT- Sicherheit zwei Begriffe, die momentan in aller Munde sind, aber keinesfalls eindeutig verstanden werden. Für uns bedeuten sie, dass wir unsere Systeme technisch derart ge- stalten, dass der Schutz sensibler Daten bereits beim Entwurf einer Technologie beachtet wird. Dies umfasst im Falle von Privacy by Design die Gewährleistung des Datenschutzes betroffener Personen, im Falle von IT-Sicherheit die Vertraulichkeit, Integrität und die Verfügbarkeit von Informationen und Systemen, welche im digitalen Zeitalter ein hohes Gut darstellen. Damit steht diese Ausgabe unter einem Motto, das brennender fast nicht sein könnte. Folgt man den Medien, scheint es fast so, als wäre jetzt die absolut letzte Chance, das Thema Datenschutz und IT-Sicherheit zu bearbeiten und die eigene Firma in ihrer Existenz zu schützen. So waren Anfang Mai die Zeitungen voller Warnungen vor der Europäischen Datenschutzgrundverordnung (DSGVO) und der damit einhergehenden Abmahnwelle. Die Furcht vor hohen Bußgeldern – die DSGVO sieht Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes einer Firma als Obergrenze für vorsätzliche oder grob fahr- lässige Verstöße gegen den Datenschutz vor – wurde durch entsprechende Beiträge der Medien geschürt. Fast täglich wird in den Medien darüber berichtet, dass Hacker Angriffe auf Daten von Firmen und auch von Staaten verüben. So beziffert das IT-Sicherheitsunter- nehmen Symantec für Deutschland den direkten finanziellen Schaden durch Internet- kriminalität auf 16,4 Milliarden Euro. Obwohl wir es als Forscher schätzen, wenn die Sensibilität für dieses wichtige Thema steigt, sehen wir in der vorherrschenden Kommunikation wenig konstruktive Diskussionsansätze, wie das Problem tatsächlich zu lösen ist. Auch wenn man heute vermutlich nicht mehr mit Gewissheit sagen kann, von wem der Ausspruch »Sicherheit ist kein Zustand, sondern ein Prozess« eigentlich stammt, stimmt er mehr denn je. Mit kurzfristigen Einzelaktionen können die Herausforderungen IT-Sicherheit und Datenschutz nicht bewältigt werden. Es braucht methodische Arbeit, um das eigene Schutzniveau dauerhaft und nachhaltig zu erhöhen. Da Datenschutz und IT-Sicherheit klassische Querschnittsthemen sind und der Bedarf daran in nahezu allen Domänen – vom Auskunftssystem bis hin zur kritischen Infrastruktur – zu finden ist, hoffen wir, dass in unserer Themenauswahl auch für Sie etwas dabei ist und wünschen Ihnen eine anregende Lektüre. Karlsruhe, im Dezember 2018 Prof. Dr.-Ing. habil. Jürgen Beyerer Institutsleiter Dr. rer. nat. Elisabeth Peinsipp-Byma Abteilungsleiterin Interaktive Analyse und Diagnose (IAD) Prof. Dr.-Ing. habil. Jürgen Beyerer Dr. Elisabeth Peinsipp-Byma Dr.-Ing. Thomas Usländer Dr.-Ing. Thomas Usländer Abteilungsleiter Informations- management und Leittechnik (ILT) vis IT 3 Privacy by Design und IT-Sicherheit

IT-SICHERHEIT: EINE KOMPLEXE Gastbeitrag UND LANGFRISTIGE HERAUS- FORDERUNG Mit der fortschreitenden Digitalisierung aller Industriezweige gewinnt auch das Thema IT-Sicherheit verstärkt an Bedeutung. Der in diesem Zuge vielfach gehegte Wunsch nach vollständig sicheren IT-Systemen ist zwar nachvollziehbar – in der Praxis mit komplexen IT-Landschaften und unter Einbeziehung des Faktors Mensch jedoch fernab jeglicher Realität. Folglich ist IT-Sicherheit in der Praxis primär eine (Risiko-)Managementaufgabe, die u. a. die Identifikation und Bewertung von Risiken und darauf aufbauend die Ergreifung von (ökonomisch sinnvollen) Schutzmaßnahmen umfasst. Aus technischer Sicht sehen wir uns hier mit vielfältigen Herausforderungen konfrontiert. Vor allem der aktuell vorherrschende Drang, reflexartig vormals isolierte eingebettete Systeme mit dem Internet zu verbinden (Stichwort Internet of Things, kurz IoT), erhöht deren Angriffsfläche signifikant und sollte bezüglich der Sinnhaftigkeit in vielen Fällen zumindest kritisch hinterfragt werden. Ohne Frage bietet die Digitalisierung einma- lige Chancen und sollte angesichts rasanter technologischer Entwicklungen keinesfalls verschlafen werden. Wer von den Vorteilen der Digitalisierung profitieren möchte, muss jedoch als Grundvoraussetzung bereit sein, die damit einhergehenden IT-Sicherheits- risiken zu erkennen und geeignete Schutz- maßnahmen zu ergreifen. Aus Sicht der Forschung existieren hier bereits zahlreiche Lösungen. Am Kompe- tenzzentrum IT-Sicherheit des FZI machen wir jedoch immer wieder die Erfahrung, dass insbesondere KMU angesichts der hohen Komplexität der Thematik bei der Umsetzung in die Praxis Unterstützung benötigen. Insbesondere der Blockchain- Hype zeigt zudem, dass viele Unternehmen bei der technologischen Bewertung von komplexen Lösungen im Bereich der IT- Sicherheit an ihre Grenzen stoßen. Auch für die Zukunft zeichnen sich für das Thema IT-Sicherheit spannende Entwick- lungen ab: So bietet z. B. das Thema KI das Potenzial, Angriffe und Schwachstellen zunehmend automatisiert zu erkennen, erfordert aber zugleich die Entwicklung neuer Methoden zur Absicherung solcher selbstlernenden Systeme vor Manipulation. 5 vis IT Privacy by Design und IT-Sicherheit PD Dr.-Ing. Ingmar Baumgart Leiter Kompetenzzentrum IT-Sicherheit Forschungszentrum Informatik FZI T K A T N O K 76131 Karlsruhe Telefon +49 721 9654-355 baumgart@fzi.de www.fzi.de

Abbildung 2: Die grundlegende Idee des CyberProtect-Lösungsansatzes. CMS zu stören. Hacker können Adversarial Examples verwenden, um unbemerkt vom CMS Prozessdaten zu manipulieren (Abb. 1). Durch die Manipulation der Prozessdaten können Produktionssysteme gestört oder beschädigt werden, z. B. kann ein manipu- liertes Heißluftmodul zu einem Brand in der Fabrik führen. Die Literatur beschreibt Adversarial Examples als manipulierte Eingaben mit der Fähigkeit, ein DNN zu täuschen, sodass das DNN die Eingabe falsch kategorisiert. Dabei sind Adversarial Examples nahezu identisch im Vergleich zu nicht manipulierten Eingaben. DNN werden unter anderem in autonomen Fahrzeugen zur Auswertung von Kamerabil- dern eingesetzt. In diesem Zusammenhang sind Adversarial Examples beispielsweise manipulierte Bilder, die dazu führen, dass ein DNN ein Stoppschild fälschlicherweise als Vorfahrtsschild erkennt. Dies kann zu Sach- und Personenschäden führen. Sicherheitsforscher am Fraunhofer IOSB-INA in Lemgo haben einen Lösungsansatz ent- wickelt, um CMS vor Angriffen mit Adver- sarial Examples zu schützen. Die Software- lösung CyberProtect berechnet Adversarial Examples und verwendet diese, um DNN- basierte CMS abzusichern (Abb. 2). Für die Berechnung von Adversarial Examples wird ein trainiertes DNN benötigt. Zunächst wird ein DNN mit zuvor aufgezeichneten Prozessdaten eines CPPS trainiert. Die Pro- zessdaten beinhalten sowohl fehlerhafte als auch nicht fehlerhafte Produktionsdurch- läufe. Anschließend werden Adversarial Examples berechnet, indem mithilfe des trainierten DNN spezielle Prozessdatenwerte ausgewählt und manipuliert werden. Das DNN wird nun mit den Prozessdaten und den berechneten Adversarial Examples neu trainiert. Dadurch bildet das DNN nicht nur den physikalischen Prozess ab, sondern auch Prozessdaten, die zu einer falschen Erkennung durch das CMS führen können. Das Ergebnis ist ein DNN, das vor Manipu- lation durch Adversarial Examples geschützt ist. Der Einsatz von CyberProtect hat zwei Vorteile: ƒ DNN in CMS können bezüglich ihrer Fähigkeit zur Fehlererkennung bewertet werden, indem sie durch Adversarial Examples getestet werden. ƒ DNN können vor Manipulation durch Adversarial Examples geschützt und CMS somit verbessert werden. Zukünftige Arbeiten befassen sich mit einem generalisierten Lösungsansatz, um DNN nicht nur gegen bekannte, sondern auch gegen unbekannte Adversarial Examples zu schützen. Literatur: [1] F. Specht; J. Otto; O. Niggemann; B. Hammer: Generation of Adversarial Examples to Prevent Misclassification of Deep Neural Network based Condition Monitoring Systems for Cyber-Physical Production Systems. In Proc. of 16th IEEE Inter- national Conference on Industrial Informatics (INDIN), 2018. [2] J. Otto; B. Vogel-Heuser; O. Niggemann: Automatic parameter estimation for reusable software components of modular and reconfi- gurable cyber-physical production systems in the domain of discrete manufacturing. IEEE Transac- tions on Industrial Informatics, 14(1):275–282, 2018. [3] C. Szegedy; W. Zaremba; I. Sutskever; J. Bruna; D. Erhan; I. Goodfellow; R. Fergus: Intriguing properties of neural networks. In Proc. of the 2nd International Conference on Learning Represen- tations (ICLR), Banff, Canada, 2014. [4] I. Goodfellow; J. Shlens; C. Szegedy: Explaining and harnessing adversarial examples. In Proc. of the 3rd International Conference on Learning Representations (ICLR), San Diego, USA, 2015. [5] J. Otto; B. Vogel-Heuser; O. Niggemann: Online parameter estimation for cyber-physical production systems based on mixed integer nonlinear programming, process mining and black-box optimization techniques. at - Auto- matisierungstechnik 66.4 (2018): 331-343. vis IT 7 Privacy by Design und IT-Sicherheit

Kommunikationskanal verschiedene Einga- ben an das Device under Test (DUT). Dessen Ausgaben werden wiederum vom Test- Device ausgewertet (Monitoring). Entspre- chen die Ausgaben des Device under Test nicht den erwarteten Werten, liegt wahr- scheinlich eine Schwachstelle vor. Bei Auto- matisierungskomponenten können diese zu vergleichenden Ausgaben vielfältig sein. Hierunter fallen beispielsweise elektrische oder magnetische Ausgaben, aber auch Ausgaben über Lichtsignale oder Ethernet. Besonders effizient ist automatisiertes Security-Testing, bei welchem der Entwick- ler selbst kaum eingreifen muss. Im Bereich der Office-IT existieren hierfür bereits ent- sprechende Werkzeuge und Frameworks. Aufgrund der Vielzahl an Schnittstellen und Standards bei industriellen Komponenten gestaltet sich dies für Automatisierungs- komponenten schwieriger. Am Fraunhofer IOSB wurde daher das Security-Testing-Framework ISuTest entwor- fen und in einem Prototyp umgesetzt [1]. ISuTest ermöglicht automatisiertes Security- Testing von Automatisierungskomponenten und bezieht dabei verschiedene Schnitt- stellen der Automatisierungskomponenten in die Untersuchungen ein. Ein Beispielaufbau von ISuTest ist in Abbil- dung 2 dargestellt. Auf der linken Seite ist eine Testumgebung mit verschiedenen Automatisierungskomponenten und zu- sätzlicher Infrastruktur, beispielsweise für die Stromversorgung und die Kommunikation mit dem Test-Device, aufgebaut. Über die Tastatur und den Bildschirm kann ein Ausgabekanäle erweitert. So ist es möglich herauszufinden, wie sich Angriffe auf die Webanwendung auf andere Schnittstellen auswirken. Durch diese Integration konnten bereits einige neue Schwachstellen auf realen Automatisierungskomponenten gefunden werden. Dabei war es insbesondere möglich, durch einen Angriff auf die Webanwendung andere Schnittstellen der Automatisierungs- komponenten zu treffen. Entwickler neue Security-Tests definieren, ausführen lassen und die Ergebnisse auswer- ten. ISuTest wurde durch zwei Erweiterungen in seinem Funktionsangebot ergänzt. Zum einen wurde eine Fuzzing-Komponente eingebunden [2]. Diese variiert gewisse Eingaben an das Device under Test unter Verwendung verschiedener Heuristiken. Diese Eingaben können weitere Schwach- stellen aufdecken. WEBSERVER-SECURITY Zusätzlich zu der Erweiterung um eine Fuzzing-Komponente wurden verschiedene bestehende Verwundbarkeitsscanner für traditionelle Webanwendungen in ISuTest integriert. Diese Verwundbarkeitsscanner führen Security-Tests gegen Webanwen- dungen aus, unabhängig davon, ob diese auf einem klassischen Webserver oder auf einer Automatisierungskomponente laufen. Durch die Integration der Verwundbarkeits- scanner in ISuTest werden diese Verwund- barkeitsscanner um das Monitoring anderer Literatur: [1] Steffen Pfrang, David Meier, and Valentin Kautz: Towards a Modular Security Testing Framework for Industrial Automation and Control Systems: ISuTest. In: Proceedings of the 22nd IEEE International Conference on Emerging Technologies and Factory Automation, ETFA 2017. Limassol, Cyprus, 2017. [2] Steffen Pfrang et al.: Advancing Protocol Fuzzing for Industrial Automation and Control Systems. In: Proceedings of the 4th International Conference on Information Systems Security and Privacy - Volume 1: ForSE, INSTICC. SciTePress, 2018, pp. 570–580. vis IT 9 Privacy by Design und IT-Sicherheit Abbildung 1: Genereller Ablauf eines Security- Tests.

nische Mechanismen wie etwa Nutzungs- kontrolle durchgesetzt werden muss. Der Datenbereitsteller – also das Unternehmen – legt in der Datenbeschreibung selbst fest, zu welchen Bedingungen und Zwecken ein bereitgestellter Datensatz genutzt werden darf. Die Daten werden nur dann ausge- tauscht, wenn sie von vertrauenswürdigen Partnern mittels Konnektoren angefragt werden, die über hinreichende Mechanismen zur Gewährleistung von Datensicherheit und Datensouveränität verfügen. Um diese Überprüfung zu ermöglichen, bietet der Industrial Data Space Zertifizierungskriterien sowie eine Authentifizierungs- und Attes- tierungsinfrastruktur an. Teilnehmende Organisationen können somit die Vertrauens- würdigkeit ihrer Konnektoren zertifizieren lassen und zu jeder Zeit überprüfbar machen. Im Ergebnis können Partner einer Wert- schöpfungskette in gegenseitigem Einver- ständnis gemeinsam auf bestimmte Daten zugreifen, um jeweils oder gemeinsam damit etwas Neues anzufangen, neue Geschäfts- modelle zu entwickeln, ihre eigenen Prozesse effizienter zu gestalten oder anderweitig zusätzliche Wertschöpfungsprozesse zu initiieren. Das Fraunhofer IOSB trägt zur Sicherheits- architektur des Industrial Data Space bei, insbesondere bei den Themen Data-Pro- venance-Tracking, Nutzungskontrolle und Attestierung von Komponenten. Data-Pro- venance-Tracking verfolgt die Flüsse von Daten über Systemgrenzen hinweg und macht sie nachvollziehbar. Hierdurch können Nutzungskontrolltechnologien unterstützt werden, welche die Nutzung von Daten in Übereinstimmung mit vereinbarten Richt- linien technisch durchsetzen. Nutzungskon- trolle erlaubt es einem Datenbereitsteller, vorab Richtlinien für die Nutzung seiner Daten zu spezifizieren, für deren Einhaltung der Datennutzer über entsprechende tech- nische Mechanismen verfügen muss. Beispiele für solche Richtlinien sind: »Daten dürfen nur für 24 Stunden gespeichert werden« oder »Daten dürfen nur in ano- nymisierter Form weitergegeben werden«. Entsprechende Mechanismen stellt der Industrial Data Space im sogenannten Trusted-Connector bereit (https://industrial- data-space.github.io/trusted-connector- documentation/docs/dev_core/). Damit der Datenbereitsteller sich auf die Wirksamkeit der Mechanismen verlassen kann, wird die Integrität eines Trusted- Connectors attestiert, sodass mögliche Manipulationen erkannt werden können. Durch dieses Zusammenwirken von Sicher- heitsmechanismen behält der Datenbereit- steller die Souveränität über seine Daten auch noch nach dem Austausch, da er sich auf die Einhaltung der geforderten Richt- linien verlassen kann. Architektur des Industrial Data Space. 11 vis IT Privacy by Design und IT-Sicherheit

T ENERGIE- UND WASSERVERSORGUNG Plattform aufgebaut, die eine umfassende Nachbildung der Automatisierung der Leit- sowie der Feldebene in der elektrischen Ener- gieversorgung erlaubt. Ziel der Plattform ist es, eine realitätsnahe Schulungsumgebung zu schaffen, um komplexe Zusammenhänge und das Zusammenspiel energietechnischer Prozesse mit den IKT-Komponenten von Fern- wirk- und Leitsystemarchitekturen logisch und nachvollziehbar darstellen zu können. Der aktuelle Aufbau bildet einen Ausschnitt eines vollautomatisierten Umspannwerks mit unterschiedlichen Betriebsmitteln und Automatisierungskomponenten ab. Die in- stallierten Komponenten sind an ein zentra- les SCADA-System gekoppelt, sodass eine reale Umgebung für die installierte Fern- wirktechnik gegeben ist. Für die Kommuni- kation der Komponenten wurden Protokolle verwendet, die den aktuellen Stand der Technik darstellen, aber die Möglichkeit bieten, zukünftige Entwicklungen zu inte- grieren. Die Datenbasis für das SCADA- System bildet eine hoch performante Echt- zeitumgebung zur Netzberechnung, die es ermöglicht, komplexe elektrische Systeme zu simulieren. Über einen Power-Hardware- in-the-Loop (kurz PHIL) Versuchsstand können Betriebsmittel sowohl in das energe- tische Teilsystem als auch in die Simulation und das SCADA-System integriert werden. Somit ist es möglich, IT-Angriffe auf unter- schiedlichste Betriebsmittel und komplette Versorgungsstrukturen während des Betriebs zu untersuchen. Neben dem stationären Laboraufbau wurde am Standort Görlitz ein mobiler Demon- strator entwickelt. Der Aufbau bildet ein eigenständiges Szenario aus der Feldebene des Energiesektors ab und zeichnet sich durch eine kompakte, transportable Bauweise aus. Er besitzt neben aktuellen Automatisie- rungskomponenten der Energieversorgung ƒ Aktuelle Gesetzeslage ƒ Angriffsbeispiele und Angriffsablauf ƒ IT-Sicherheitsmanagement ƒ Security Awareness ƒ Mitarbeitersensibilisierung ƒ Standardisierungen (ISO 2700x, BSI IT- Grundschutz, VDE 3473) ƒ IT-Sicherheitsmanagement-Tools ƒ Vorbereitung und Ablauf von Zertifizie- rungen ƒ Vergleich von IT-Sicherheitsmanagement- werkzeugen Mobiler Demonstrator des Lernlabors. ƒ Praktische Angriffs- und Fallbeispiele auch die Möglichkeit, Datenströme unter- schiedlicher Protokolle zu monitoren und zu visualisieren. Damit können systematisch Angriffsszenarien entwickelt und praktisch erprobt werden. Auch die drei wesentlichen Schutzziele der Informationssicherheit (Integrität, Sicherheit und Vertraulichkeit) können in unterschiedlichen Ausprägungen berücksichtigt werden. Mithilfe integrier- ter Sicherheitskomponenten (verschiedene Firewalls) können abschließend die passen- den Verteidigungsstrategien entwickelt werden. Der mobile Demonstrator dient in der Anwendung zum einen als flexibles Schulungsinstrument (z. B. für In-House- Schulungen), aber auch als Highlight- Exponat für diverse Veranstaltungen und Messen. SCHULUNGEN Das umfassende Cybersicherheits-Know- how sowohl auf Ebene der technischen Automatisierungs- und Systemtechnologie als auch im Bereich der IKT wird in einem umfangreichen Schulungsangebot der Fraunhofer Academy auf dem Bildungs- markt angeboten. Zu den vielfältigen, auf die Kundenbedürfnisse zugeschnittenen Inhalte gehören unter anderem: Darüber hinaus sind In-House-Schulungen sowie Kooperationen mit externen Schu- lungsanbietern möglich. Zusätzlich ergeben sich unabhängige und individuell zuge- schnittene FuE-Dienstleistungen rund um das Thema IT-Sicherheit für Firmen, kommu- nale und öffentliche Einrichtungen und im Umfeld der Energie- und Wasserversorgung. Diese umfassen: ƒ Konzepte und Analysen von energie- technischen Infrastrukturen ƒ Risikobewertung im Rahmen von Infor- mations-Sicherheits-Management- System (ISMS) ƒ Erarbeitung von Konzepten für die Ausgestaltung von ISMS bei Energiever- sorgern. QR-Code zu den Schulungen. 13 vis IT Privacy by Design und IT-Sicherheit

kunft in einem maschinenlesbaren Format (JSON) zu exportieren, findet sich ebenfalls dort. Die Statusleiste bietet kontextsensitive Zusatzinformationen und dient der farblich codierten Darstellung des gewährleisteten Datenschutzniveaus. NÄCHSTE SCHRITTE Das Fraunhofer IOSB stellt mit Privacy Insight eine Lösung vor, die es Unternehmen er- laubt, ihre Auskunftsverfahren weit über das übliche Maß hinaus zu automatisieren. Damit werden nicht nur Mitarbeiter in der Kundenbetreuung entlastet, sondern man grenzt sich durch den hohen Komfort und das Datenschutzniveau von seinen Mitbe- werbern ab. Nach der Entwicklung eines Prototyps sind wir nun auf der Suche nach interessierten Partnern, die als erstes Privacy Insight für ihr Unternehmen testen wollen. Literatur: Christoph Bier; Kay Kühne and Jürgen Beyerer: Privacy Insight: The Next Generation Privacy Dashboard in: S. Schiffner; J. Serna; D. Ikonomou; K. Rannenberg (Editors): Privacy Technologies and Policy 4th Annual Privacy Forum, APF 2016, Frankfurt/Main, Germany, September 7-8, 2016, Proceedings. 15 vis IT Privacy by Design und IT-Sicherheit Abbildung 2: Auskunft über die Datenverarbeitung in der Abteilung Kundenbetreuung. rechten Rand alle Senken dargestellt. Die verantwortliche Stelle wird als ein Knoten in der Fenstermitte repräsentiert. FUNKTIONSWEISE Links neben den Quellen und rechts neben den Senken befinden sich jeweils Icons für alle erhobenen beziehungsweise übermittel- ten personenbezogenen Daten. Die Icons sind abhängig von der Datenkategorie ge- staltet. Dies soll das Wiederfinden bestimm- ter personenbezogener Daten erleichtern. Bei der Auswahl eines Datums wird der Fluss dieses Datums hervorgehoben. Wird die Detailsicht für ein Datum geöffnet, ergibt sich dort die Möglichkeit das Datum einzusehen, zu exportieren, zu berichtigen, zu sperren oder zu löschen. der Hierarchie, beispielsweise eine Sicht auf die einzelnen Abteilungen und die Informa- tionsflüsse zwischen ihnen. Von besonderem Interesse für den Betroffenen sind Informa- tionsflüsse zu Auftragsdatenverarbeitern, also externen Firmen, die die eigenen Daten im Auftrag verarbeiten. Diese Flüsse werden im Provenance-Graphen gesondert hervor- gehoben. Für jeden Knoten ist es möglich, ein Kontext- menü aufzurufen, um die in den entspre- chenden Bereichen verarbeiteten oder gespeicherten Daten, gemeinsam mit dem jeweiligen Zweck der Verwendung, einzu- sehen (Abbildung 2). Kleine Icons machen deutlich, was mit den Daten im jeweiligen Knoten geschieht. Wie oben erwähnt sind in der Informations- flussvisualisierung zu Beginn nur die Erhe- bung und Übermittlung personenbezogener Daten dargestellt. Durch Anwählen des Knotens öffnet sich die nächste Ebene in Die Navigationsleiste bietet Interaktionsmög- lichkeiten, die sich nicht direkt auf einzelne Elemente des Informationsflusses beziehen. Die Möglichkeit im Rahmen des Rechts auf Datenübertragbarkeit, die gesamte Aus-