• Keine Ergebnisse gefunden

Datenschutzfreundliche Gestaltung von Location Based Services

N/A
N/A
Info
Herunterladen
Protected

Academic year: 2022

Aktie "Datenschutzfreundliche Gestaltung von Location Based Services"

Copied!
28
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Jetzt herunterladen ( 28 Seite )

Volltext

(1)

Datenschutzfreundliche Gestaltung von Location Based Services

Saarbrücken, 6. Mai 2004

(2)

Gliederung

1.  Überblick

2.  Methoden und Verfahren unterhalb der Anwendungsschicht

3.  Gestaltungsmöglichkeiten auf der Anwendungsschicht 1.  Methoden zur Pseudonymisierung

2.  Methoden zur Positionsverschleierung

(3)

Möglichkeiten der datenschutzfreundlichen Gestaltung

•  obere Schichten bauen auf dem Datenschutzniveau der Tieferen auf

•  zusätzliche Gestaltungsmöglichkeiten:

–  organisatorische Anordnung der Beteiligten (Datenverteilung) –  nationale Gesetzgebung

(4)

Gliederung

1.  Überblick

2.  Methoden und Verfahren unterhalb der Anwendungsschicht

3.  Gestaltungsmöglichkeiten auf der Anwendungsschicht 1.  Methoden zur Pseudonymisierung

2.  Methoden zur Positionsverschleierung

(5)

Schutz vor Endgerätepeilung (Bandspreizverfahren)

•  Angreifer kann durch Peilung den Aufent- haltsort des Nutzers bestimmen

–  Antennen – Arrays

–  spezielle Antennen zur Peilung

•  Spreizung des Nutzsignals mithilfe einer Spreizsequenz

–  gespreiztes Nutzsignal überlagert sich mit Hintergrundrauschen

–  Endgerät kann nicht mehr gepeilt werden

(6)

MAC-Adresswechsel in IEEE 802.11b WLAN‘s (1)

•  Problemstellung:

–  in jeder Kommunikationssituation identifiziert sich der WLAN- Client auf der MAC-Schicht mit einem Gerätepseudonym

–  WLAN-Client ist durch benachbarte Access-Points verfolgbar Gefahr der Bewegungsprofilerstellung beim Netzbetreiber

 nicht vertrauenswürdige Access-Point-Betreiber

 hohe Dichte an Access-Points in Stadtbereichen

 sehr genaue Ortungsmöglichkeiten in WLAN‘s

(7)

MAC-Adresswechsel in IEEE 802.11b WLAN‘s (2)

•  Lösungsmöglichkeit:

 kontrolliertes und permanentes Wechseln der MAC-Adresse

•  mögliche Wechselzeitpunkte:

-  in zufälligen Zeitabständen

-  bei großen Signalstärkeänderungen -  wenn keine Kommunikation stattfindet

-  gleitender Übergang  der Client hält zu einem Zeitpunkt mehrere MAC-Adressen gleichzeitig

•  Nachteile:

-  Angebot von serverähnlichen Diensten nicht möglich

(8)

Einsatz datenschutzfreundlicher Ortungsverfahren

terminalbasierte Ortung

GPS Positionssender Benutzereingabe

Outdoor-Verfahren

Cricket WLAN

Fingerprinting Indoor-Verfahren

(9)

Gliederung

1.  Überblick

2.  Methoden und Verfahren unterhalb der Anwendungsschicht

3.  Gestaltungsmöglichkeiten auf der Anwendungsschicht 1.  Methoden zur Pseudonymisierung

2.  Methoden zur Positionsverschleierung

(10)

Bausteine zur Förderung des Datenschutz

(11)

Anonymisierung (1)

•  Pseudonymisierung des identifizierenden Merkmals innerhalb einer Anfrage

•  Pseudonymvarianten:

–  (Merkmal wird nicht versendet) –  Transaktionspseudonyme

–  Rollen-Beziehungspseudonyme

–  Beziehungspseudonyme und Weitere

Transaktionspseudonym

(12)

Anonymisierung (2)

•  Annahmen:

–  Positionsangaben sind hoch präzise (< 1 Meter) –  sehr hohe Dienstnutzungsfrequenz

–  LBS-Dienstanbieter verzeichnet alle pseudonymisierten Dienst- anfragen in einer Datenbank

•  Angriffsmöglichkeiten bei Verwendung von Transaktionspseudo- nymen:

–  Verknüpfung der einzelnen pseudonymisierten Dienstanfragen über Bewegungsverhalten möglich  pseudonymisiertes

Bewegungsprofil

–  Bestimmung von häufig besuchten Aufenthaltsorten (Wohnung, Arbeitsplatz, Lieblings-Cafe etc.)  sog. „Home-Angriff“

–  nachschlagen der Identität in einem Register (Telefonbuch)

(13)

Anonymisierung (3)

•  Home-Angriff:

•  Anhaltsgrößen für Home-Bereiche:

–  hohe Verweildauern an einem Ort

–  Verlust des Positionsbestimmungssignals (GPS) kann als ein Betreten von Gebäuden gedeutet werden, ist allerdings

mehrdeutig (hohe Bebauung, Batterieausfall)

möglicher Home-Bereich

(14)

Anonymisierung (4)

•  Vorteile:

–  einfache Implementierung

–  keine spezielle Hardware notwendig

•  Voraussetzungen:

–  geringe Dienstabrufhäufigkeit oder –  niedrige Positionsauflösung

•  Anwendungsgebiete:

–  Abfrage von nächstgelegenen Hotels –  Suche nach Geldausgabeautomaten

(15)

Mix-Zonen (1)

•  Annahme und Zielsetzung:

–  Unterschiedliche LBS-Dienstanbieter legen ihre gewonnenen pseudonymisierten Nutzerprofile zusammen

–  Verkettbarkeit der einzelnen pseudonymisierten Profile soll verhindert werden

Zielsetzung

(16)

Mix-Zonen (2)

•  Funktionsweise:

•  Definitionen:

–  Applikationszone: geografischer Bereich in dem Personen LBS-Dienste in Anspruch nehmen

–  Mix-Zone: Bereich in dem ein Teilnehmer keinen LBS-Dienst abonniert haben darf

[Beresford, Stajano]

(17)

Gliederung

1.  Überblick

2.  Methoden und Verfahren unterhalb der Anwendungsschicht

3.  Gestaltungsmöglichkeiten auf der Anwendungsschicht 1.  Methoden zur Pseudonymisierung

2.  Methoden zur Positionsverschleierung

(18)

Räumliche Positionsverzerrung, Überblick (1)

•  Ziel:

–  Schaffung einer Anonymitätsgruppe durch Anpassung der Positionsgenauigkeit

•  Funktion:

–  Grundgedanke:

•  Abschneiden der letzten Stellen der Positionsinformation

•  Hinzufügen eines Fehlers

(19)

Räumliche Positionsverzerrung, dezentral (2)

•  dezentrale Variante:

–  Dimensionierung von U wird ausschließlich auf dem Endgerät festgelegt

–  Möglichkeiten der Dimensionierung:

•  Benutzer legt selbst eine maximale Ortungsgenauigkeit fest

 mathematische Verschlechterung

•  Unschärfe wird durch das Ortungsverfahren bestimmt

•  Vorteile:

–  Verfälschung der Ortung geschieht nur auf dem Endgerät

•  Nachteile:

–  Bildung einer Anonymitätsgruppe nicht gewährleistet –  eventuell unnötiger Verlust an Positionsgenauigkeit

(20)

Räumliche Positionsverzerrung, zentral (3)

•  zentrale Variante:

–  Dimensionierung erfolgt bei einer TTP –  Algorithmus bestimmt unter Berück-

sichtigung weiterer Dienstnutzer die minimale Verfälschung der Ortung

–  Anonymitätsgrad wird über kmin festge- legt

•  Vorteile:

–  die TTP stellt sicher, dass man sich in einer k-Anonymitäts- gruppe befindet

–  es wird keine Ortungsgenauigkeit „verschwendet“

•  Nachteil:

–  die Positionsinformationen müssen einem Dritten (TTP) anvertraut werden

[Schilit, Hong, Gruteser]

(21)

Räumliche Positionsverzerrung, zentral (4)

•  Beispiel anhand hierarchischer Positionsangaben:

–  Aufbau einer Positionsangabe:

»  Raum 0.18: 0011 || 1000 || 1000 –  angepasste Positionsangabe:

»  Flur 1: xxxx || 1000 || 1000

•  Anwendung: vor allem in Gebäuden

Multihop

Sensornetzwerk

(22)

Verzerrung der Zeitangaben (1)

•  Ziel:

–  Schaffung einer Anonymitätsgruppe durch Anpassung des Zeitintervalls

•  Funktion:

–  Grundgedanke:

P = [x1,x2],[y1,y2],[t1,t2]

–  Zeitintervall [t1,t2] wird so gewählt, dass k weitere Dienstnutzer sich im Bereich [x1,x2],[y1,y2] befunden haben

•  Anwendungsgebiete:

–  Autobahnen, Bundesstraßen

–  Einkaufspassagen, belebte Innenstädte

(23)

Kombination beider Verfahren

•  Kombination von räumlicher Positionsverzerrung mit der Verzerrung von Zeitangaben

•  Beispiel:

[Gruteser, Grunwald]

•  Area 2: Autobahn mit einem Verkehr von durchschnittlich 70.000 Autos / 24 Std.

(beidseitiger Verkehr)

•  Area 3: städtische Hauptstraße mit ca.

6.000 Autos / 24 Std. (beidseitig)

(24)

Symbolische Positionsangaben – hierarchisch (1)

•  Umwandlung von absoluten in symbolische Koordinaten

•  jede symbolische Positionsan-

gabe besitzt genau eine physische Repräsentation

gegenseitige Umrechnung möglich

•  Beispiel:

–  absolut: 51,04861N 13,74186O

–  symbolisch: /DE/Sachsen/Dresden/Semperoper

(25)

Symbolische Positionsangaben – hierarchisch (2)

•  Vorteil:

–  kontextbezogen ist Positionsgenauigkeit höher als bei einfacher Positionsverschleierung

•  Nachteile:

–  Erstellungsaufwand für die Umrechnungsregeln

–  symbolische Angaben können wieder in physische Koordinaten umgerechnet werden

–  Endgeräte benötigen unter Umständen Umrechnungsregeln

(26)

Symbolische Positionsangaben – virtuell (3)

•  statt physisch vorhandene Orte als symbolische Koordinaten zu verwenden, werden virtuelle Einheiten gebildet

•  Beispiele:

–  alle Postämter innerhalb einer Stadt  /DE/BAY/REG/Post –  McDonalds in der Oberpfalz  /DE/OPF/McDonalds –  Universitäten in Bayern  /DE/BAY/Universität

(27)

Symbolische Positionsangaben (4)

•  Vorteile:

–  durch die Bildung von virtuellen Gruppen wird eine Einwegfunktion geschaffen

f : Positionabsolut  Positionsymbolisch

–  Kommunikation unter eigener Identität in vielen Fällen möglich

•  Nachteile:

–  Ersterfassungsaufwand für die Umrechnungsregeln –  u. U. Verbreitung der Regeln auf die Endgeräte

•  Anwendungen:

–  ortsabhängige Werbung und Angebote

(28)

Hürden der datenschutzfreundlichen Gestaltung 1.  Einsatz verschiedener Kommunikationsnetze

 Outdoor: Mobilfunknetze, Metropolitan Area Networks

 Indoor: WLAN, Bluetooth

2.  Ausschluss netzseitiger Positionsbestimmungsverfahren 5.  anwendungsspezifische Unterschiede

 Push und Pull-Anwendung

 unterschiedliche Pseudonymisierungsgrade 7.  gesetzliche Unterschiede

 Gesetzgebung variiert sehr stark in vielen Ländern voneinander

9.  Interessen der Beteiligten

Referenzen

Jetzt herunterladen ( PDF - 28 Seite - 3.33 MB )

ÄHNLICHE DOKUMENTE

Location-based Services:

Das Wissen kann in Datenstrukturen wie Thesauri, Ontologien oder Gazetteers repräsentiert werden.. Zu diesem Wissen gehören auch Prozeduren oder Regeln, die diese

Mobile Location Based Gaming als Wegbereiter fuer Location Based Services (LBS)

Der Mobile Hunters-Server kann zu einem Enabling Dienst weiterentwickelt werden, der in der Lage ist, potenziellen Spieleherstellern von Mobile Location Based Games generali-

Personalized mobile multimedia meets location-based services

The availability of a wireless network connection allows the client to retrieve personalized multimedia presentations or individually selected media elements from the sightseeing

Architekturen für Location Based Services TelNav: Telefon-Navigations-Center

Jahrestagung der Gesellschaft für Informatik, 30.09.2002 – 02.10.2002 Abstract: Mit der Entwicklung des Navigations-Centers „TelNav“ durch die Ex- perTeam AG wird ein

Privacy-Protected Communication for Location-Based Services

While a platform for Location-Based Services can provide the user with high-quality Location-Based Service browsing and powerful mechanisms to reduce the amount of location

A Privacy-Enabled Architecture for Location-Based Services

While a platform for Location-Based Services can provide the user with high-quality Location-Based Service browsing and powerful mechanisms to reduce the amount of location

Sicherheit von Location Based Services im Überblick

Standortbezogene Dienste (Location Based Services, LBS) sind über ein Netzwerk erbrachte mobile Dienste, die unter.. Zuhilfenahme von positions-, zeit- und nutzerabhängigen

Putting Location-Based Services on the Map

However, if a user is writing a comment in a capture area that is not located on the map and does not select an explicit position on the map within a given amount of time, the