Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 18. Mai 2017, Ausgabe Nr. 20

Donnerstag, 18. Mai 2017, Ausgabe Nr. 20

Datenschutz

Techniken für „eingebauten“ Datenschutz

Von Christiane Schulzki-Haddouti | 16. Januar 2015 | Ausgabe 03

Entwickler und Techniker müssen nach der kommenden EU-Datenschutz-Grundverordnung ihre Systeme nach dem „Stand der Technik“ sicher machen. Diverse Techniken stehen dafür zur Verfügung, sind allerdings bisher kaum bekannt – das moniert ein jetzt veröffentlichter Bericht der europäischen IT-Sicherheitsbehörde Enisa.

Google und Facebook verlangen von ihren Nutzern ihre echten Namen zu verwenden, Pseudonyme sind nicht erlaubt. Amazon Deutschland speichert seit 1998 alle Einkäufe seiner Kunden für sein Empfehlungssystem, ohne dass dies zwingend notwendig wäre. Der HbbTV-Standard für smartes Fernsehen erlaubt die Übertragung der Nutzerdaten an den Gerätehersteller und die Fernsehsender, ohne dass die Daten anonymisiert werden. Der Standard für die Ladesäulen von Elektroautos verlangt eine Kennung, womit die Energiebetreiber erfahren, wer wo getankt hat.

Das sind nur ein paar wenige Beispiele für eine datenhungrige Technik. „Derzeit findet durchgängig eine totale Rechtsverletzung statt“, stellt Rigo Wenning vom World Wide Web Consortium W3C fest. „Ein Abstellen würde einen Halt der Wirtschaft bedeuten. Wir kommen da nur raus, wenn wir einen Prozess für technische Neuerungen in Gang setzen.“

Die kommende EU-Datenschutz-Grundverordnung verlangt in Artikel 23 deshalb „Privacy by Design“, auf gut Deutsch „Datenschutz durch Technik“. „Privacy by Design“ bedeutet, dass Datenschutzprinzipien bereits bei der Entwicklung eines Produkts oder eines Systems berücksichtigt werden und über die Technikgestaltung umgesetzt werden. Datenschutz soll praktisch präventiv verwirklicht werden.

„Dabei sollen die Anbieter den Stand der Technik berücksichtigen“, erklärt der grüne Europa-Parlamentsabgeordnete Jan Philipp Albrecht, der federführend für den Parlamentsentwurf verantwortlich war. Für die Umsetzung gibt es auch einen Anreiz: Öffentliche Ausschreibungen werden eine Umsetzung nach „Stand der Technik“ verlangen. Sanktionen gibt es ebenfalls, falls Prinzipien wie die der Datensparsamkeit nicht genügend berücksichtigt werden. Bislang versuchte man meist nur im Nachhinein bestehende Produkte datenschutzgerecht zu machen – über freiwillige Einwilligungserklärungen der Nutzer oder eine spezifische gesetzliche Erlaubnis. Nicht nur für Nutzer, sondern auch für die Datenschutzaufsichtsbehörden führte das zu unbefriedigenden Ergebnissen.

Die Idee des „Datenschutzes durch Technik“ machte bereits Ende der 90er-Jahre der frühere schleswig-holsteinische Landesdatenschützer Helmut Bäumler in Deutschland bekannt. Seit 2005 wurde das Konzept auch auf europäischer Ebene immer intensiver diskutiert, bis die EU-Kommission es 2012 in ihrem Entwurf für die Grundverordnung verankerte.

Nur in der Praxis ist die Idee noch nicht wirklich angekommen, weil es neben fehlenden Anreizen und Sanktionen auch eine Kommunikationslücke zwischen Forschung und Unternehmenspraxis gibt. Viele Techniker und Entwickler kennen die Datenschutzkonzepte laut der europäischen Sicherheitsbehörde Enisa schlicht nicht. Sie müssen sich aber laut der neuen Verordnung am „Stand der Technik“ orientieren, wobei Audits und Gütesiegel Orientierung bieten sollen.

Die derzeit verfügbaren, teilweise seit Jahrzehnten entwickelten Privacy-Techniken beschreibt nun der am Dienstag veröffentlichte Enisa-Bericht „Privacy and Data Protection by Design – from policy to engineering“. Mit diesen Techniken sollen die Datenschutzziele der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit (der Eingriffsmöglichkeit durch den Benutzer) erreicht werden.

Nutzer müssen sich in der Regel gegenüber IT-Systemen ausweisen. Bei der heute üblichen Internetauthentifizierung mit Nutzername und Passwort über eine gesicherte Verbindung sind die partizipierenden Server allerdings auch einem beobachtenden Dritten bekannt, was Phishing-Attacken ermöglicht. Privacy-freundliche Authentifizierungsprotokolle wie das Just-Fast-Keying-Protokoll können aber verhindern, dass die Identität eines Nutzers ungewollt preisgegeben wird, manipuliert oder ausgespäht wird.

Eine anonyme Nutzung von IT-Diensten und sozialen Netzwerken ist heute so gut wie nicht möglich, weil die Betreiber im Notfall wissen möchten, wer was getan hat. Das relativ neue Konzept der „attributbasierten Berechtigungsnachweise“ löst den Widerspruch zwischen Vertrauenswürdigkeit und Anonymität auf – beides wird gleichermaßen möglich: Abgefragt wird keine Einzelperson, sondern bestimmte Eigenschaften oder Pseudonyme. So kann etwa über eine Smartcard-Anwendung festgestellt werden, ob jemand älter als 18 Jahre alt ist oder ob er eingeschriebener Student ist.

Ein erstes Pilotprojekt wurde jetzt im EU-Projekt ABC4Trust mit einem Schulkommunikationssystem in Schweden umgesetzt. Weil für verschiedene Zeit- und Kommunikationsräume verschiedene Pseudonyme verwendet werden können, können hier keine Persönlichkeitsprofile erstellt werden. Der Betreiber kann aber in bestimmten Fällen die Aufdeckung der konkreten Person durch einen dazu berechtigten Inspektor vorsehen. Diese Inspektionsmöglichkeit kann er nach Bedarf an- und ausschalten, worüber er allerdings die Nutzer im Vorfeld informieren muss. Damit ist erstmals auch eine Technik gegeben, mit der Nutzer auch in sozialen Netzwerken anonym agieren können, ohne dass der Betreiber seine Steuerungsmöglichkeiten aufgibt.

Die Snowden-Enthüllungen haben gezeigt, dass die private Kommunikation im Netz massenhaft abgehört werden kann. Dabei könnte sie mit ein paar Handgriffen wirksam abgesichert werden: Verschlüsselungsprotokolle (TLS und SSH) können die Kommunikation zwischen dem Rechnerprogramm wie dem Browser und dem Server im Internet gegen Angreifer schützen. Die Inhalte von Internettelefonie, E-Mail, Instant Messaging oder Kommunikation in sozialen Netzwerken können Ende-zu-Ende verschlüsselt werden, was bedeutet, dass die kryptografischen Schlüssel in den Händen der Nutzer verbleiben. Üblich ist heute aber, dass diese vom Diensteanbieter verwaltet werden. Dabei gibt es mit Textsecure für mobilen Chat, Pretty Good Privacy (PGP) und seinen Varianten für E-Mail und Dateien sowie CryptoPhone und Rede Phone für die Telefonie längst ausgereifte Verschlüsselungstechniken.

Bei der Ende-zu-Ende-Verschlüsselung werden Metadaten, die mitteilen, wer mit wem wann wie lange von wo aus kommuniziert, allerdings nicht geschützt. Verschiedene Techniken wie Vir- tual Private Networks (VPNs) können die Identität des Nutzers und die Art der Kommunikation verschleiern. Allerdings leiden diese Techniken unter längeren Verbindungszeiten und darunter, dass Angreifer über einen längeren Beobachtungszeitpunkt durchaus typische Nutzermuster ausmachen können.

Die jetzt in Mode kommenden Big-Data-Analysen lassen befürchten, dass Nutzer noch gläserner werden. In den letzten vierzig Jahren wurden aber verschiedene Techniken entwickelt, mit denen eine De-Anonymisierung von statistischen Daten anhand bestimmter Eigenschaften oder über eine Verbindung zu einer bestimmten, befragten Person verhindert werden kann. Dazu gehört etwa die Unterdrückung einzelner Werte bestimmter Attribute, die Verschleierung durch Rauschdaten, der Tausch von Attributen oder eine Mikro-Aggregation bestimmter Datengruppen. Mit dem „Privacy Preserving Data Mining“ (PPDM) werden mit kryptografischen Techniken Originaldaten so verändert, dass die charakteristische Werteverteilung erhalten bleibt, aber Rückschlüsse auf bestimmte Personen unmöglich werden.

INTERVIEW ZUM THEMA

VDI-Default

„Verbesserungspotenzial gibt es fast immer“

Der integrierte Datenschutz, „Privacy by Design“, spielt in der Praxis kaum eine Rolle – ob bei smartem TV oder beim Tanken von Elektrofahrzeugen. Marit Hansen, stellvertretende Landesbeauftragte für Datenschutz in Schleswig-Holstein, ist überzeugt: „Entwickler und Techniker kümmern sich nicht darum, ob es eine Rechtsgrundlage für die Datenverarbeitung gibt.“

 

stellenangebote

mehr