PRIVACY 1 HSLU

Die Identität einer anonymen Instanz ist nicht bestimmbar, wenn sie

• den anderen Instanzen nicht bekannt ist (Nichtbekanntsein)

• den anderen Instanzen gegenüber nicht in Erscheinung tritt (Nichtgenanntsein)

• den anderen Instanzen gegenüber ohne Namen agiert (Namenslosigkeit)

Identifikator eines Subjekts das ungleich dem realen Namen ist. Verwendung einer Zuordnungsvorschrift.

• deterministisch → schlüsselabhängig Einweg- oder Hashfunktion auf invarianten Daten

• willkürlich → nach festem Einweg-Algorithmus vom Benutzer aus mit einem Geheimnis

• zufällig → frei gewählt oder nach einem Zufallsverfahren

• Identifikation (Tracking & Tracing)
• Authentifikation (couterfeit detection, access control)

• Tags enthalten sensible Daten und sind fast nicht wahrnehmbar

• Selbst wenn Dateninhalt verschlüsselt sind kann die physische Anwesenheit verfolgt werden

• Lesegeräte sind billig und können von allen gekauft werden

• Mit aktueller Technologie keine Kryptographie auf Tags möglich

• Erkennen von Tag-Präsenz

• Bestimmung der Herkunft einer Person → Tracking

• Hotlisting → Gegner weiss, nach was ersuchen will, Beschreibung von Tags

• Hinweis → Recht er erfahren ob RFID enthalten und zu wissen wann, wo und warum er gelesen wird.

• Auswahl → Recht RFID zu entfernen oder zu deaktivieren oder Produkte ohne zu kaufen

• Transparenz → Recht auf die im Daten gespeicherten Daten zuzugreifen

• Passive Authentifikation mit von Signatur von Land → nur Daten authentifiziert und nicht Pass selbst

• Basis Access Control & Secure Messaging mit Key und MAC aus Passnummer, Geburtsdatum und Ablaufdatum

• Aktive Authentifikation (optional) mit Publik Key signierten Daten und Secret Key im Chip

• Versteckted Scanning und Tracking

• Klonen und Skimming sowie lauschen bei Lesegeräten

• Schwache Kryptographie und Fehler in dieser

Seit 1981 bekanntes Konzept der umcodierenden Mixe welche Nachrichten über mehrere Zwischensysteme zum eigentlichen Empfänger schickten. Damit wird erreicht, dass:

• Der Empfänger dem Sender anonym bleibt, oder

• der Sender dem Empfänger anonym bliebt, oder

• Sender und Empfänger voreinander anonym bleiben

1. Nachrichten werden mit dem Public-Key des Empfänger verschlüsselt

2. Verschlüsselte Nachrichten werden mit dem PK des Mix verschlüsselt

• Verzögerung der Nachrichten durch Sammelfunktion des Mixer

• Rückschlüsse anhand Nachrichtengrösse (Auffüllen)

• Ersetzt IP-Adresse durch praktisch anonyme IP-Adresse → verbindet zu Tor-Netzwerk und Anfragen werden anschliessend über mindestens drei Relays gleitet

• Isoliert Cookie und löscht automatisch den Verlauf

• reduziert Browser-Fingerabdruck (z.b. Unterdrückung von Hz der Bildschirm)

• Zensurresistenter Internetzugriff in dem bekannte Websites über Tor erreichbar sind

• Kommunikation über Rendevouz-Punkt → Kommunikationspartner sind unbekannt

• Bridges verbinden gesperrte Nutzer mit Tor-Netzwerk

• lesen persönliche Daten mit (z.B Login Daten per SSL verschlüsselt)

• fügen zusätzliche Inhalte in nicht SSL Websites (z.B. Trackinginformationen)

• fälschen SSL-Zertifikate um Traffic lesen zu können

• versuchen Tor Hidden Services zu lokalisieren und Nutzer zu deanonymisieren → NSA & GCHQ bertreiben passive Exit-Nodes welche Verkehr abhören

Verfahren zum Erzeugen strukturell ähnliche, unechte Version von Unternehmensdaten

• Maskierung darf nicht umkehrbar sein

• Ergebnis muss repräsentativ für die Quelldaten sein (z.B. valide Kreditkartennummer oder PLZ)

• Referentielle Integrität muss bewahrt bleiben

• Nicht-sensitive Daten müsse maskiert werden falls sie benutzt werden können um die Maskierung aufzuheben

• Maskierung muss wiederholbar sein

• Ersetzen → ersetzen der Daten durch zufällige Daten (zufällige aber realistische Daten)

• Shuffling → Shuffle Values in Attributes, Originalwerte zufällig neu zuordnen

• Zahlen- und Terminabweichung → zufällige Datum-Werte in definiertem Bereich die von Referenzwert abhängen

• Verschlüsselung → Format Preserving Encryption (z.B. Luhn-Algorithmus)

• Es ist die entsprechende Zustimmung (consent) einzuholen

• Die Daten sind anonymisiert und können keiner Personen zugewiesen werden

Methode um Patientendaten zu anonymisieren. Somit können Patientendaten ohne deren Zustimmung anonymisiert weiterverwendet werden.

• Safe Harbor → removal of a list of identifiers

• Expert Determination → certify the re-identification risk to be sufficently low

• Perturbativer Ansatz

  • Versucht den Datenschutz möglich hoch zu halten → verfälscht die Daten

  • Fügt Noise hinzu, tauscht Datensätze, rundet, aggregiert

• Nichtperturbativer Ansatz

  • Versucht die Daten möglichst wahrheitsgetreu zu behalten → verfälscht die Daten nicht

  • Generalisiert und unterdrückt

• Identifikatoren → erlauben direkte (Re-)Identifikation von Personen

• Quasi-Identifikator → Untermenge von Attributen die charakteristisch für Person sind

• Sensitive Attribute → Attribute die nicht mit einer Person verknüpfbar sein sollten

• k-Datensätze bilden eine Äquivalenzklasse (bzgl. Quasi-Identifikatoren)

• Schützt mit Konfidenz von 1/k vor korrekter Verknüpfung von einer Person

  → Tabelle ist k-anonym, wenn jedes Tupel von mindestens k-1 Tupeln nicht unterscheidbar ist

Generalisierung

• Attribut hat einen Wertebereich, welche die Menge aller Werte anzeigt die möglich sind → ground domains

• Berechnung von optimaler k-Anonymität Tabelle ist NP-Problem

Unterdrückung

• Daten aus Tabelle entfernen um Freigabe zu erreichen

• Meistens auf Datensatzebene (Tupel) angewandt

1. Spalte mit den meisten unterschiedlichen Werte finden

2. Generalisieren und versuchen die Anzahl geforderte Zeilen pro Wert zu erreichen

3. Restart (bei einzelnen Zeilen die noch behandelt werden müssten kann auch unterdrückt werden)

• Homogenität → den sensitiven Werten einer Äquivalenzklasse mangelt es an Vielfalt (Tendenzen lassen sich feststellen)

• Hintergrundwissen → der Angreifer verfügt Wissen über die in der Person enthaltenen Personen

• Mehrfache Veröffentlichung

  • Unsorted Matching-Angriff → in der Praxis wird Reihenfolge der Datensätze oft beibehalten

  • Komplementärveröffentlichung → Verknüpfung über eindeutige sensitive Attribute

Wenn ein Block von nicht sensitiven Daten alle zum gleichen sensitiven Wert führen, kann mit relativ wenig Wissen über eine Person das sensitive Attribut bestimmt werden. (2-divers = mindestens zwei verschiedene sensitive Attrbute pro Äquivalenzklasse)

Im Bild link z.B. kann gesagt werden, dass eine Männliche Person im Alter von 26 Jahren eine Grippe haben muss. Im rechten Bild wurde der Block vergrössert und diese Person könnte auch Eine Erkältung haben.

Systeme in dem die unveränderten Daten gespeichert sind. An dieses kann anschliessend Anfragen gestellt werden. Das System gibt nun möglichst genaue Antwort ohne die Datensätze welche verwendet wurden zu identifizieren. Dabei wird Rauschen hinzugefügt und einzelne Attribute verändert. Ein Angreifer kann nicht unterscheiden ob die angefragten Daten so in der Datenbank sind oder erfunden wurden.

Vorteile:

• Starke Datenschutzgarantie → selbst bei sehr hohem Hintergrundwissen

• berücksichtigt spätere Aktualisierung von Daten

Nachteile:

• Sinnvolle Bestimmung von Parametern erfordert Expertenwissen sowie gute Statistikkenntnisse

• Potentieller enormer Verlust von Informationen

Rekation auf Datenskandale der Nixon Regierung

• Verbot mit Erlaubnisvorbehalt (schriftliche Zustimmung)

• definiert Ausnahmen (statistische Zwecke, Verwaltungsaufgaben, Nachforschungen von Regierung)

• ermöglicht es nur US-Bürger gegen Datenmissbrauch vorzugehen

• begrenzter Umfang von Rechtsbefehlen und Konsequenzen

• Fehlen von unabhängig Überwachung- und Datenschutzbehörden

Bestimmungen für die Harmonisierung des Datenschutz im privaten sowie öffentlichen Bereich ohne Rechtsbindung

• Data Subject → Individuum über das Daten gesammelt werden

• Data Collector → der eigentliche Sammler der Daten

• Data Controller → Instanz verantwortlich für die Entscheidung über den Inhalt und Verarbeitung der gesammelten Daten. Dabei ist nicht entscheidend ob die Daten von dieser Instanz oder einer dazugehörigen Unterinstanz gesammelt, verarbeitet oder gespeichert werden.

• Data Processor → verarbeitet Daten

• Data Recipient

• Keine Datensammlung auf Vorrat

• Gesammelte Daten sollten für den Sammlungsgrund relevant sein sowie korrekt, komplett, und aktuell

• Der Grund für die Datensammlung darf sich nach der Sammlung nicht mehr ändern

• Persönliche Daten dürfen nicht veröffentlicht oder anderweitig gebraucht werden als bei der Sammlung angegeben

• Persönliche Daten müssen mit angemessenen vor Verlust, autorisiertem Zugriff oder Veränderung sowie Veröffentlichung geschützt sein.

• Ein Datacontroller soll für Verstösse gegenüber den Vorschriften haftbar gemacht werden können

• Generelle Offenheit über Entwicklung, Praktiken und Richtlinien zu personenbezogenen Daten

• Ein Individuum muss über folgende Rechte verfügen:

  • die über ihn vorliegenden Daten vom Controller erhalten zu können

  • Daten über es löschen zu lassen

Kernstück der EU-Gesetzgebung zum Schutz personenbezogener Daten mit zwei Zielen:

1. Grundrecht auf Datenschutz

2. freier Austausch personenbezogener Daten zwischen den Mitgliedsstaaten

• Daten über natürliche und juristische Personen im öffentlichen und privaten Bereich

• Basierend auf OECD-Richtlinien

• Eidgenössischer Datenschutzbeauftragter (Privatwirtschaft) und kantonale Datenschutzbeauftragte für öffentlichen Sektor