Informationelle Privatheit aus der
Perspektive der Informatik
technische Lösungen für ein sozio-technisches Problem
martin.degeling@ruhr-uni-bochum.de
Passau 07.01.2014
Folien: bit.ly/KvkVas
- Privatheit und IT
- Klassische Ansätze aus der Informatik
- Privatheitsschutz als Element
der Softwareentwicklung
das privacy as confidentiality paradigm
Privacy-by-design und Datenschutz-Schutzziele
Reduktion der ontological friction
Das Problem
- Informations- und Kommunikations-
technologien haben einen negativen
Effekt informationelle Privatheit. - Sie schränken die Möglichkeiten ein genaue
Kenntnis darüber zu haben wer, was, wann
über einen wei&ß.
siehe u.a. Rössler, B.: Der Wert des Privaten. Suhrkamp, Frankfurt (2001).
"Unter den Bedingungen der modernen Datenverarbeitung wird der
Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung,
Verwendung und Weitergabe seiner persönlichen Daten von dem
allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit
Art. 1 Abs. 1 GG umfa&ßt. Das Grundrecht gewährleistet insoweit die
Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und
Verwendung seiner persönlichen Daten zu bestimmen."
BVerfGE 65, 1 - Volkszählungsurteil\B9
Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung,
Verwendung und Weitergabe seiner persönlichen Daten von dem
allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit
Art. 1 Abs. 1 GG umfa&ßt. Das Grundrecht gewährleistet insoweit die
Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und
Verwendung seiner persönlichen Daten zu bestimmen."
BVerfGE 65, 1 - Volkszählungsurteil\B9
Quelle: BVerfG 65,1 (1983). Online verfügbar Zuletzt abgerufen am 03.01.2013
Das Verfassungsgerichtsurteil zum
Recht auf informationellen Selbstbestimmung
Recht auf informationellen Selbstbestimmung
personenbezogene Daten
(Name, Alter, Krankheiten..)
(Name, Alter, Krankheiten..)
Person
personenbeziehbare Daten
(Autokennzeichen, Handynummer...)
(Autokennzeichen, Handynummer...)
Durch die Speicherung von Informationen über
eine Person entsteht ein "Datenschattens" dessen Einheiten
beliebig kopiert und verändert werden können.
Beispiel:
persönliche und personenbezogene Daten die Facebook speichert
ID
Kontrollverlust
Personen
Firmen
Behörden
....
Firmen
Behörden
....
Siehe u.a.: Floridi, L.: The Ontological Interpretation of Informational Privacy.
Ethics and Information Technology. 185-200 (2006).. Online verfügbar
Ethics and Information Technology. 185-200 (2006).. Online verfügbar
geringe
ontologicalfriction
Schadensszenarien
Heimlich Speicherung (Überwachung)
-> Onlineshopping auf fremde Rechnung
-> demokratiegefährend
Zweckentfremdung von Daten -> Bewegungsprofile aus Fahrkartendaten
Unerlaubter Zugriff durch Dritte -> Arbeitgeber/in auf Krankenakten
Identiätsdiebstahl-> Onlineshopping auf fremde Rechnung
12/2013: 4,6 Mio. Snapchat: Handynummern veröffentlicht
11/2013: 40 Mio. Target: Kreditkartendaten in den USA gestohlen
10/2013: 150 Mio. Adobe: E-Mail-Adressen + gehashte Passwörter
6-12/2013: NSA Skandal
Quellen u.a. https://www.datenschutz.de/news/
11/2013: 40 Mio. Target: Kreditkartendaten in den USA gestohlen
10/2013: 150 Mio. Adobe: E-Mail-Adressen + gehashte Passwörter
6-12/2013: NSA Skandal
Quellen u.a. https://www.datenschutz.de/news/
Die Top Antworten aus der Informatik
V e r s c h l ü s s e l n
8 0
Verschlüsselung!
aka confidentiality
IT Sicherheit
Schutz von Vertraulichkeit, Integrität und Verfügbarkeit
Alice
Bob
Oscar
absoluts vs. relative Vertraulichkeit
Wer ist Oskar?
und welche Ressourcen stehen ihm zur Verfügung
Beliebige Dritte Einzelperson
Dienstleister
(der ggf. in die Übermittlung involviert ist)
Staatlicher Akteur
mehr Ressourcen, mehr Know-How
Transport Verschlüsselung
Verschlüsselt die Verbindung zwischen Browser
und Server und verhindert z.B. das abhören von Passwörtern
durch den Netzanbieter
Ende-Zu-Ende Verschlüsselung
z.B. bei E-Mails
verhindert der Zugriff auf den Inhalt von Nachrichten.
Im Unterschied zur Transport-Verschlüsselung
ist eine Nachricht auch für die Server die die Nachricht weiterleiten nicht einsehbar.
Unterstützt au&ßerdem die Verifizierung vom Absender_in durch Signaturen. (Authenticity-of-Origin)
Off-The-Record-Messaging (OTR)
Ende-Zu-Ende inkl. Zurückweisbarkeit
- Perfect Foward Secrecy
- Abstreitbarkeit der Urheberschaft
Hintergrundquelle zu OTR: https://otr.cypherpunks.ca/otr-wpes.pdf
Eine Liste mit Programmen die OTR Unterstützen findet sich bei Wikipedia.
Beides zuletzt abgerufen am 10.01.2014
Eine Liste mit Programmen die OTR Unterstützen findet sich bei Wikipedia.
Beides zuletzt abgerufen am 10.01.2014
Das unverschlüsselte Übermitteln von Daten
bedroht die informationelle Privatheit.
bedroht die informationelle Privatheit.
Jede Information die - auch nur für einen Moment -
nicht absolut privat (nachweisbar sicher verschlüsselt)
war muss als öffentlich angesehen werden muss.
nicht absolut privat (nachweisbar sicher verschlüsselt)
war muss als öffentlich angesehen werden muss.
Verschlüsselung zum Schutz von Privatheit impliziert
//Schwierig einzuhalten
Die Top Antworten aus der Informatik
V e r s c h l ü s s e l n
8 0
A n o n y m i s i e r e n
7 5
Bild- und Textquelle: Pfitzmann, A., Hansen, M.: A terminology for talking about privacy by data minimization:
Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management. (2010).
Online verfügbar. Zuletzt abgerufen am 03.01.2014
Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management. (2010).
Online verfügbar. Zuletzt abgerufen am 03.01.2014
"Die Anonymität einer Person meint, dass
diese in einer Gruppe (anonymity set) nicht
identifiziert werden kann."\B9
diese in einer Gruppe (anonymity set) nicht
identifiziert werden kann."\B9
Technische Anonymität
das ist nicht anonym
Quelle: "Student Charged For Bomb Threats At Harvard" Benjamin Swasey, wbur. Veröffentlicht am 17.12.2013
Online verfügbar: wbur.org. Zuletzt abgerufen am 03.01.2014
Online verfügbar: wbur.org. Zuletzt abgerufen am 03.01.2014
17.12.2013
Ein Student sendet anonyme
Bombemdrohnung an die
seine Uni um eine Klausur zu
verhindern.
Wenig später wird er als einer
der wenigen TOR-Nutzer_innen
identifiziert und befragt.
Er gibt zu der Urheber zu sein.
Fehler:
Ein Student sendet anonyme
Bombemdrohnung an die
seine Uni um eine Klausur zu
verhindern.
Wenig später wird er als einer
der wenigen TOR-Nutzer_innen
identifiziert und befragt.
Er gibt zu der Urheber zu sein.
Fehler:
- zu kleines anonymity set
- Zusatzwissen
Der Verschlüsselungsdienst TOR als Beispiel
für Anonymität im Interet
Quelle: The Tor Project. https://www.torproject.org zuletzt abgerufen am 03.01.2014
TOR 1: Anomyität auf Netzwerkebene
Problem: Die Dienste die über das Netzwerk bereit gestellt werden können
den_die Nutzer_in noch identifzieren (z.B. durch Cookies)
TOR 2: Anonymität auf Browserebene
Tor Netzwerk-Service
+
Ein Browser mit speziellen Einstellungen
Problem: Dienste die eine Personalisierung erfordern sind weiterhin nicht
anonym nutzbar (z.B. Facebook)
Quelle: Tor Browser Bundle https://www.torproject.org/download/download-easy.html.en zuletzt abgerufen am 03.01.2014
TOR 3: Anomyität auf Dienstebene
Bei speziellen Hidden Services können User und Anbieter sich gegenseitig nicht
identifizieren.
Quelle: Tor: Hidden Services. Online verfügbar. Zuletzt abgerufen am 03.01.2014
Privacy Preserving Data Mining
Anonymität in Statistiken
Die Rohdaten von Statistiken werden z.B von
Statistikämtern oder Forschungsinstitutionen
veröffentlicht.
Statistische Auswertungen von Daten werden
in Unternehmen immer beliebter (Big Data)
Problem: Anonymität in Statistiken ist schwer
herzustellen
Statistikämtern oder Forschungsinstitutionen
veröffentlicht.
Statistische Auswertungen von Daten werden
in Unternehmen immer beliebter (Big Data)
Problem: Anonymität in Statistiken ist schwer
herzustellen
Warum?
quasi-identifier
Quelle: Sweeney, L.: k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness
and Knowledge-based Systems. 10, 557-570 (2002). Online verfügbar.
Bildquelle: Buchmann, E.: Datenschutz und Privatheit in vernetzten Informationssysteme, (2011)
and Knowledge-based Systems. 10, 557-570 (2002). Online verfügbar.
Bildquelle: Buchmann, E.: Datenschutz und Privatheit in vernetzten Informationssysteme, (2011)
Zwischen 63% und 87% der amerikanischen Bevölkerung sind eindeutig
anhand der Attribute {Geburtsdatum, PLZ, Geschlecht} identifizierbar
anhand der Attribute {Geburtsdatum, PLZ, Geschlecht} identifizierbar
Quelle: Barbaro, M., Zeller, T.J.: A Face Is Exposed for AOL Searcher No. 4417749.
The New York Times 9.8.2006. Online Verfügbar. Zuletzt abgerufen am 03.01.2014
Screenshot: search-logs.com
The New York Times 9.8.2006. Online Verfügbar. Zuletzt abgerufen am 03.01.2014
Screenshot: search-logs.com
4417749 = Thelma Arnold
k-Anonymität
Eine Tabelle T ist k-anonym genau dann, wenn jede
Sequenz von Werten mindestens k mal vorkommt.
Verfahren: Generalisierungen (z.B. Geburtsjahr statt -datum)
Sequenz von Werten mindestens k mal vorkommt.
Verfahren: Generalisierungen (z.B. Geburtsjahr statt -datum)
Ein Tabelle ist l-divers, wenn er mindestens l
Werte für ein sensibles Attribut beinhaltet.
Verfahren: sensible Daten mit unsensiblen bündeln, Fehler hinzufügen
Werte für ein sensibles Attribut beinhaltet.
Verfahren: sensible Daten mit unsensiblen bündeln, Fehler hinzufügen
l-Diversität
Eine Anoymisierte
Tabelle mit k=2 und
entropy-2.8-diversity
Tabelle mit k=2 und
entropy-2.8-diversity
Beispiel aus: Buchmann (2011)
Verfahren zur Erhöhung der Anomyität in Datensätzen
Privatheit ist nicht absolut und kann z.B. in sozialen Online Netzwerken als
etwas verhandelbares gesehen werden, dessen teilweise Aufgabe auch
Vorteile mit sich bringt
Verschlüsselung kann nicht die Auswertung von Meta-Daten verhindern.
Anoymisierung ist sehr schwer herzustellen und verhindert nicht,
dass Informationen aus Statistiken gewonnen werden, die Einfluss
auf die Privatheit haben.
//Informationen entstehen durch Relation von anderen Informationen
etwas verhandelbares gesehen werden, dessen teilweise Aufgabe auch
Vorteile mit sich bringt
Verschlüsselung kann nicht die Auswertung von Meta-Daten verhindern.
Anoymisierung ist sehr schwer herzustellen und verhindert nicht,
dass Informationen aus Statistiken gewonnen werden, die Einfluss
auf die Privatheit haben.
//Informationen entstehen durch Relation von anderen Informationen
Probleme des Privacy as confidentiality paradigms
Weiterführender Artikel: Gürses, S., Preneel, B., Berendt, B.: PETs under Surveillance: A Critical review of the potentials
and limitations of the privacy as confidentiality paradigm. Presented at the 2nd Hot Topics in Privacy Enhancing
Technologies (HotPETs 2009). Online verfügbar. Zuletzt abgerufen am 03.01.2014.
and limitations of the privacy as confidentiality paradigm. Presented at the 2nd Hot Topics in Privacy Enhancing
Technologies (HotPETs 2009). Online verfügbar. Zuletzt abgerufen am 03.01.2014.
Beispiel für die Aussagekraft von Meta-Daten
Quelle: Zeit.de. Zuletzt abgerufen am 03.01.2014
Beispiel: Informationen aus Relationen
Bei signitature strikes werden
Drohnenangriffe gegen Personen
geflogen deren patter of life
auf eine_n Terrorist_in hinweist.
Dieses pattern bezieht sich unter
anderem auf Kommunikations-
partner_innen (z.B. Mobilfunkdaten)
und registrierte Aufenthaltsorte
Drohnenangriffe gegen Personen
geflogen deren patter of life
auf eine_n Terrorist_in hinweist.
Dieses pattern bezieht sich unter
anderem auf Kommunikations-
partner_innen (z.B. Mobilfunkdaten)
und registrierte Aufenthaltsorte
Engel, R., Windrum, R..: EXCLUSIVE: CIA didn't always know who it was killing in drone strikes, classified documents show.
NBC News 05.06.2013. Zuletzt abgerufen am 03.01.2014. Weitere Infos. z.B. hier
NBC News 05.06.2013. Zuletzt abgerufen am 03.01.2014. Weitere Infos. z.B. hier
Begrenzter Nutzen in der Anwendung
Die technik-zentriert Ansätze haben meist ein reduziertes Verständnis
von Privatheit auf personenbezogene Daten vernachlässigen die Aussage-
kraft von Metadaten oder Statistiken als personenbeziehbare Daten.
Paternalismus
Als Reaktionen schränken sie häufig Nutzungsmöglichkeiten ein,
indem Sie auf bestimmte Funktionen verzichten um die Privatheit der
Nutzer_innen zu schützen.
Die technik-zentriert Ansätze haben meist ein reduziertes Verständnis
von Privatheit auf personenbezogene Daten vernachlässigen die Aussage-
kraft von Metadaten oder Statistiken als personenbeziehbare Daten.
Paternalismus
Als Reaktionen schränken sie häufig Nutzungsmöglichkeiten ein,
indem Sie auf bestimmte Funktionen verzichten um die Privatheit der
Nutzer_innen zu schützen.
Fazit Verschlüsselung und Anonymisierung
Privatheitsschutz als Element
der Software(entwicklung)
Privacy By Design
liegt die Erkenntnis zu Grunde, dass
Privatheit kein zu lösendes IT Problem ist,
sonder im Rahmen sozio-technischer Entwicklungen
auch gestaltet wird.
'Talking [... ]this weekend, the 25-year-old chief executive of the world's most popular
social network said that privacy was no longer a "social norm".'
social network said that privacy was no longer a "social norm".'
The Guardian zitiert Mark Zuckerberg
Quelle: Johnson, B..: Privacy no longer a social norm, says Facebook founder, 11 Januar 2010.
Online erschienen. Zuletzt abgerufen am 03.01.2014.
Online erschienen. Zuletzt abgerufen am 03.01.2014.
Die Gestaltungsmacht von Facebook
Die Standard-Privatssphären Einstellungen bei Facebook (2005)
Quelle: Matt McKeon The Evolution of Privacy on Facebook. Stand: Mai 2010. Online verfügbar. Zuletzt abgerufen am 03.01.2014
Die Standard-Privatssphären Einstellungen bei Facebook (2006)
Quelle: Matt McKeon The Evolution of Privacy on Facebook. Stand: Mai 2010. Online verfügbar. Zuletzt abgerufen am 03.01.2014
Die Standard-Privatssphären Einstellungen bei Facebook (2007)
Quelle: Matt McKeon The Evolution of Privacy on Facebook. Stand: Mai 2010. Online verfügbar. Zuletzt abgerufen am 03.01.2014
Die Standard-Privatssphären Einstellungen bei Facebook (2009)
Quelle: Matt McKeon The Evolution of Privacy on Facebook. Stand: Mai 2010. Online verfügbar. Zuletzt abgerufen am 03.01.2014
Die Standard-Privatssphären Einstellungen bei Facebook (2010)
Quelle: Matt McKeon The Evolution of Privacy on Facebook. Stand: Mai 2010. Online verfügbar. Zuletzt abgerufen am 03.01.2014
Quelle: Stutzman, F., Gross, R., Acquisti, A.: Silent Listeners: The Evolution of Privacy and Disclosure on Facebook. Journal of Privacy
and Confidentiality. 4, (2013).. Online verfügbar. Zuletzt abgerufen am 03.01.2014.
and Confidentiality. 4, (2013).. Online verfügbar. Zuletzt abgerufen am 03.01.2014.
Die Entwicklung der Privatssphären Einstellungen der Nutzer_innen (2005-2011)
Statt Software als neutrales Werkzeug zu sehen sollte
sie als Element sozio-technischer Systeme wahr-
genommen und die Interessen unterschiedlicher
Akteure sichtbar gemacht und mit einbezogen werden.
sie als Element sozio-technischer Systeme wahr-
genommen und die Interessen unterschiedlicher
Akteure sichtbar gemacht und mit einbezogen werden.
Siehe u.a. Rost, M.: Zur Soziologie des Datenschutzes. Datenschutz und Datensicherheit. 37, 85-91 (2013). Online verfügbar.
Vorgehen: Prozessmodellierung
Die Prozessorientierte Sicht auf sozio-
technische Systeme beinhaltet Akteure
mit Interesse an der einer technischen
Entwicklung, der Aktitvitäten und die
zur Verfügung stehenden Ressourcen.
z.B.: Beauftragendes und auftragnehmendes
Unternehmen, Entwickler_innen,
Administrator_innen, Nutzer_innen
Betroffene Dritte, gesetzliche Rahmen-
bedigungen, technische Vorrausetzungen...
technische Systeme beinhaltet Akteure
mit Interesse an der einer technischen
Entwicklung, der Aktitvitäten und die
zur Verfügung stehenden Ressourcen.
z.B.: Beauftragendes und auftragnehmendes
Unternehmen, Entwickler_innen,
Administrator_innen, Nutzer_innen
Betroffene Dritte, gesetzliche Rahmen-
bedigungen, technische Vorrausetzungen...
Herrmann, T., Hoffmann, M., Loser, K.-U.: Sozio-orientierte und semi-strukturierte Modellierung mit SeeMe.
Proceedings der Fachtagung MobIS\B498. Informationssystem Architekturen. pp. 15-22 (1998). Online verfügbar.
Proceedings der Fachtagung MobIS\B498. Informationssystem Architekturen. pp. 15-22 (1998). Online verfügbar.
Privatheitsschutz als
Anforderung an Software
- Proaktiv, nicht reaktiv
- Datenschutz als Standardeinstellung (privacy by default)
- Der Datenschutz ist in das Design eingebettet
- Volle Funktionalität - eine Positivsumme, keine Nullsumme
- Durchgängige Sicherheit - Schutz während des gesamten 'Lebens'-zyklus
- Sichtbarkeit und Transparenz - Für Offenheit sorgen
- Respektiere die Privatsphäre der Nutzer/innen
Die 7 Prinzipien des Privacy by Design
Quelle:. Cavoukian, A.: Privacy by Design - The 7 Foundational Principles. (2009). Online verfügbar. Zuletzt aufgerufen am 03.01.02014
Datenminimierung bei der Anmeldung und automatisierte Löschung
von verschickten Bildern.
Beispiel: Snapchat
Beispiel: Mobile Messanger
Whistle.im
KonTalk
TextSecure
implementieren Verschlüsselung by default ohne zusätzliche
Konfiguration durch die User
Datenschutz-Schutzziele
Integrität
Nicht-Verkettbarkeit
Verfügbarkeit
Vertraulichkeit
Transparenz
Intervenierbarkeit
Rost, Martin, 2012: Schutzziele, in: Schmidt, Weichert (Hrsg.), 2012: Datenschutz; Berlin, Bundeszentrale für Politische Bildung.
Datenschutz-Schutzziele widersprechen sich teilweise
verhindern der unerlaubten Zweitverwertung
(Zweckbindung)
(Zweckbindung)
Transparenz für Nutzer_innen
welche Informationen wo und
wozu verarbeitet werden
welche Informationen wo und
wozu verarbeitet werden
Nicht-Verkettbarkeit vs. Transparenz
- physikalisch getrennte Datenhaltung
für unterschiedliche Aufgaben
- verschiedene Accounts für verschiedene
Webdienste
für unterschiedliche Aufgaben
- verschiedene Accounts für verschiedene
Webdienste
- privacy Dashboards/zentrale
Datenübersichten
Datenübersichten
Dezentrale Datenspeicherung
Google Dashboard
Facebook SSO
Facebook SSO
Zusammenfassung (1/2)
Entwicklungen der Informations- und Telekommunikationstechnologien
erleichtern das sammeln, auswerten, kopieren aber auch preisgeben und
teilen von personenbezogenen Daten - sie reduzieren die ontological friction.
Als Reaktion entstehen privacy enhancing technologies deren Ziel es ist, aus
einem Verständnis von privacy as confidentiality, die Preisgabe von
(personenbezongene) Informationen durch Verschlüsselung zu verhindern
oder den Personenbezug durch Anonymisierung zu entfernen.
Dem zugrunde liegt ein eher absolutes Verständnis von informationeller
Privatheit.
erleichtern das sammeln, auswerten, kopieren aber auch preisgeben und
teilen von personenbezogenen Daten - sie reduzieren die ontological friction.
Als Reaktion entstehen privacy enhancing technologies deren Ziel es ist, aus
einem Verständnis von privacy as confidentiality, die Preisgabe von
(personenbezongene) Informationen durch Verschlüsselung zu verhindern
oder den Personenbezug durch Anonymisierung zu entfernen.
Dem zugrunde liegt ein eher absolutes Verständnis von informationeller
Privatheit.
Zusammenfassung (2/2)
Diese technik-zentriert Ansätze vernachlässigen die Aussage-
kraft von Metadaten oder Statistiken als personenbeziehbare Daten.
Sie werden kritisiert, weil Sie die Sicht der Nutzer_innen sowie den
Nutzungskontext zu wenig berücksichtigen.
Aktuelle Ansätze wie privacy-by-design und die Datenschutz-Schutzziele
versuchen Software Entwicklung und deren Einsatz als sozio-technischen
Systeme zu betrachten. Privatheitsschutz soll nicht nur technisch beweisbar
sein sondern durch die Software unterstützt und auch in den Prozessen
umgesetzt werden.
kraft von Metadaten oder Statistiken als personenbeziehbare Daten.
Sie werden kritisiert, weil Sie die Sicht der Nutzer_innen sowie den
Nutzungskontext zu wenig berücksichtigen.
Aktuelle Ansätze wie privacy-by-design und die Datenschutz-Schutzziele
versuchen Software Entwicklung und deren Einsatz als sozio-technischen
Systeme zu betrachten. Privatheitsschutz soll nicht nur technisch beweisbar
sein sondern durch die Software unterstützt und auch in den Prozessen
umgesetzt werden.
jetzt oder an martin.degeling@rub.de
Link zu den Folien
Fragen?