Privacy in Location-based Services Ausarbeitung AW1 Privacy in Location-based Services Fatih Keles Hamburg, 08. Juni 2006

Gliederung Motivation Privacy Location-based Services Privacy-Bedrohungen in LBS Privacy-Konzepte für LBS Sichere Kommunikation Privacy-Regeln Anonymisierung Ausblick

Motivation Immer mehr leistungsfähige mobile Geräte Interesse an LBS steigt Provider: Lukrativer Markt, ... Nutzer: Einfacheres Alltagsleben, Entertainment, ... Aber: Privacy-Vorbehalte der Nutzer Gesetzliche Vorgaben bzgl. Privacy Privacy in LBS wichtiges Thema

Privacy „Privacy bezeichnet das Anrecht von Personen, Gruppen und Institutionen, selbst zu bestimmen, wann, wie und in welchem Umfang persönliche Informationen an andere weitergegeben werden.“ Im Deutschen: Datenschutz, Privatsphäre Westin, 1970 Alan F. Westin, - Buch: 1970, Privacy and Freedom. - Anerkannte Wissenschaftler und Professor an der Columbia University - Pionier der US-Privacy Gesetzgebung - Hat in vielen Privacy Kommisionen in den USA mitgearbeitet

Privacy Risiken: Veröffentlichung intimer Informationen ohne Einwilligung Missbrauch dieser Informationen „Ich habe nichts zu Verbergen“? Verknüpfung von Informationen Veröffentlichung intimer Informationen ohne Einwilligung, durch - Verzerrung des Persönlichkeitsbildes - Weglassen von Informationen „Ich habe nichts zu Verbergen“ - Das Wissen, dass Außenstehende jederzeit über Daten über das eigene Verhalten verfügen können, wiekt auf das eingenge Verhalten zurück. - BVG: "Wer davon überzeugt ist, dass andere Stellen Daten über seine Verhaltensweisen speichern und weitergeben, wird sein eigenes Verhalten ändern, wird von seinen grundrechtlich verbrieften Freiheitsrechten nicht mehr in dem Maße Gebrauch machen, wie ihm dies die Verfassung garantiert" Verknüpfung von Informationen - Heutzutage einfacher denn je. --> wg. Internet , weltweite Vernetzung - Kaum örtliche / zeitliche Beschränkungen - Bsp.: Arbeitnehmer gibt eine Runde Bier aus, ist am nächsten Tag krank.

Privacy §1 Recht auf informationelle Selbstbestimmung Gesetzgebung in Deutschland: Bundesdatenschutzgesetz (BDSG) §1 Recht auf informationelle Selbstbestimmung §3a Datenvermeidung und Datensparsamkeit §4 Zulässigkeit der Datenerhebung §28 Zweckbindung ... Hinweis UN: - Grundlage für alle modernen Datenschutzgesetze: „Richtlinie betreffend personenbezogene Daten in automatisierten Dateien“, - Am 14. Dezember 1990 von den Vereinten Nationen beschlossen • Daten dürfen nicht verarbeitet werden, wenn sie gegen Menschenrechte verstoßen oder unter Täuschung erhoben wurden. • Datenverarbeiter sind verpflichtet die Richtigkeit von Daten regelmäßig zu überprüfen. • Jeder hat das Recht zu entscheiden und zu erfahren, welche Daten über ihn erhoben werden. • Daten dürfen nur zu dem Zweck verwendet werden, zu dem sie erhoben wurden. • Daten, die zu einer Diskriminierung von Betroffenen führen könnten, dürfen nur unter sehr beschränkten Voraussetzungen verarbeitet werden. Gesetzgebung in Deutschland - §1: Jeder Bürger hat Recht, selbst über Weitergabe und Verwendung personenbezogener Daten zu entscheiden. - §3a: Verarbeitung nur in tatsächlich notwendigem Umfang.. - §4: Verarbeitung nur zulässig, wenn Betroffener einwilligt oder gesetzlicher Erlaubnistatbestand vorliegt. -§28: Daten nur zu dem Zweck verarbeitbar, für den sie rechtmäßig erhoben wurden

Location-based Services Im Wesentlichen von Thomas eingeführt „Dienste, die den Standort eines Nutzers oder Objektes verwenden, um den Nutzen des Dienstes zu steigern.“ Kategorisierung: Reaktive Dienste vs. Proaktive Dienste Genauigkeit der Ortsinformationen Anonym nutzbar? Schiller und Voisard, 2004 Küpper, 2005 Häufige LBS-Definition: - „Dienste, die den Standort eines Nutzers oder Objektes verwenden, (und diesen mit weiteren Informationen verknüpfen,) um den Nutzen des Dienstes zusteigern“ Gesteigerte Nutzen: - Filterung von Informationen abhängig vom Standort des Nutzers (z. B. Restaurants in der Nähe) - Anzeigen der aktuellen Position eines Zielobjektes auf einer Landkarte. Reaktiv/Proaktiv: - Reaktiv = Request / Response - Proaktiv = Tracking Genauigkeit: - Navigation = sehr genau, wenige Meter. - Restaurantfinder = weniger genau, PLZ reicht Anonym nutzbar: - Buddy-Finder = nein, - Navigation = ja. - Bezahldienste = ?

Privacy-Bedrohungen in LBS Dilemma: LBS ohne Ortsinformationen nicht möglich, aber Ortsinformationen potentielles Privacy-Risiko Ortsinformationen  weitere persönliche Informationen z. B. Hobbies, Freundeskreis, politische Einstellungen, ... Ortsinformationen --> weiter Persönliche - Über Analyse häufiger Aufenthaltspunkte Schluss auf weitere persönliche Daten möglich. - Hobbies: Besucht oft Fußballplatz - Freundeskreis: Hat Kontakt zu Drogenszene - Geht oft in Parteizentrale der XYZ-Partei

Privacy-Bedrohungen in LBS Interessenten an persönlichen Ortsinformationen Einzelpersonen z. B. Freunde, Verwandte, Einbrecher Böswillige Unternehmen z. B. Arbeitgeber, Banken Staatliche Einrichtungen z. B. Justizbehörden Einzelpersonen - Misstrauische Ehefrau erfährt, dass Ehemann nicht geschäftlich Unterwegs war, weil dieser nicht in der Stadt ist, die er angegeben hat - Einbrecher weiß, wann niemand zu Hause ist. Böswillige Unternehmen: - Unerlaubte Weitergabe der Daten an andere Unternehmen - Arbeitgeber: Interesse an Freizeitaktivitäten (Extremsportler) - Bank: In welchen Kreisen verkehrt potentieller Kreditnehmer? Staatliche Einrichtungen: - Unerlaubte Beobachtung von Personen zur Aufklärung von Straftaten

Privacy-Bedrohungen in LBS Möglichkeiten an persönliche Ortsinform. anderer zu gelangen Durchsickern von Ortsinformationen Durchsickern von Zeitinformationen Durchsickern der Identität Geheime Absprachen Unerlaubtes abhören Durchsickern von Ortsinformationen: - Wenn Dienst detailliertere Informationen über den Aufenthaltsort erhält, als nötig. - Ein Taxiunternehmen z.B. muss nicht unbedingt die Nummer des Büros eines Kunden kennen, Straße und Hausnummer reichen . Durchsickern von Zeitinformationen: - Nicht immer notwendig zusätzlich zum Ort auch die Zeit des genutzten Dienstes zu speichern. - Für ein Mautsystem reicht den Eintritts- und den Austrittsort eines Fahrzeuges für Abrechnung -.Werden zusätzlich Eintritts- und Austrittszeiten ermittelt -> Polizei kann Strafzelle schreiben Durchsickern der Identität: - Nicht alle Dienste müssen die Identität einer Person kennen. Oft anonyme Nutzung möglich. - LBS-Werbung: Kino informiert über neue Filme Geheime Absprachen: - Zusammenführung von Ortsdaten verschiedener Dienste - Ableitung dertaillierterer Informationen als gewünscht möglich Unerlaubtes Abhören: - Angreifer könnte Kommunikation zwischen Nutzer und einem Dienst abhören um so die Ortsdaten des Nutzers zu erspähen.

Privacy-Konzepte für LBS Sichere Kommunikation Privacy-Regeln Anonymisierung

Privacy-Konzepte für LBS Sichere Kommunikation Ziel: Sichern der Leitung zwischen Anbieter und Nutzer Mechanismen: Authentifikation Integrität Vertraulichkeit Realisierung: Verschlüsselung der Verbindung Authentifikationstechniken Im Wesentlichen von Eike eingeführt Authentifikation: - Handelt es sich bei Dienst-Teilnehmern um die, als die sie sich vorgeben? Integrität: - Empfänger soll die Daten empfangen, die Sender abschickt Vertraulichkeit: - Dritte haben keinen Zugriff auf übertragene Daten Verschlüsselung: - SSL - TLS Authenfikationstechniken: - Challenge Response (Passwort) - Benutzerzertifikate Überleitung zu Privacy-Regeln: - Sichere Kommunikationsleitung -> Unbefugte können auf übertragene Informationen nicht zugreifen oder verändern Aber: - Keine Regelung, in welchem Umfang einzelne Dienstanbieter auf Ortsdaten zugreifen dürfen. --> Privacy-Regeln kommen hier ins Spiel

Privacy-Konzepte für LBS Privacy-Regeln Fragestellung: Wer darf wann in welchem Umfang auf welche Ortsdaten zugreifen? Beispiel: Mein Arbeitgeber darf montags bis freitags wenn ich bei der Arbeitsstelle bin meine genaue Position verfolgen. Beispiel: - Z. B. aus Sicherheitsgründen in einem Chemie-Unternehmen (Rescue-Szenario)

Privacy-Konzepte für LBS Privacy-Regeln Regeln beschreiben: Aktoren Dienstarten Zeitliche Beschränkungen Örtliche Beschränkungen Genauigkeit der Ortsinformationen Kontextabhängige Bedingungen ... Verknüpfungen von Regeln bestimmen Gesamtregel Achtung: Regeln müssen Widerspruchsfrei sein Aktoren: - z.B. Unternehmen oder Personen. - Bsp.: Mein Arbeitgeber darf auf meine Ortsdaten zugreifen Dienstarten: - z.B. Navigationsdienste oder Buddy-Finder-Dienste - Bsp.: Buddy-Finder-Dienst um sich mit Kommilitonen zum Lernen zu verabreden. Zeitliche Beschränkung: - Zugriff auf Ortsdaten nur zu bestimmten Zeiten - Bsp.: Arbeitgeber darf nur Mo – Fr auf Ortsdaten zugreifen Örtliche Beschränkung: - Zugriff auf Ortsdaten nur auf bestimmten Orten - Bsp.: Arbetigeber darf auf Ortsdaten nur Zugreifen wenn ich bei der Arbeitsstelle bin Genauigkeit der Ortsinformationen: - Wie genau gebe ich meine Ortsdaten bekannt? z. B. exakte Position, Stadtteil, Stadt, ... Bedingungen in Abhängigkeit vom Kontext: - Kontext z.B. der Gesundheitszustand einer Person, das aktuelle Wetter oder die An- bzw. Abwesenheit von anderen Personen. - Zugriff auf Ortsinformationen von meinem Kind nur wenn Kind in Begleitung von mir.

Privacy-Konzepte für LBS Privacy-Regeln Arbeit zu dem Thema: „Preserving Privacy in Environments with Location-based Applications“ (Myles, Friday, Davies, 2003) Zentrales Element: Validatoren User Confirmation Validator Limit Time Validator Limit Location Validator ... Regel = Verknüpfung von Validatoren Widerspruchsfreiheit: Festlegung von Prioritäten und Abarbeitungsreihenfolgen Autoren: - Ginger Myles (Univerisity of Arizona) - Adrian Friday (Lancaster University) - Nigel Davies (University of Arizona und Lancaster University) - in Pervasive Computing, IEEE, 2003, 2, 56-64 Voraussetzung: Location Server (Midlleware) Überleitung zu Anonymisierung: - Problem: Privacy-Regeln nur dann sicher, wenn alle LBS-Teilnehmer vertrauenswürdig. - Weitergabe von Infos an andere nicht Ausschließbar --> Weiterer Ansatz: Anonymisierung

Privacy-Konzepte für LBS Anonymisierung Idee: Pseudonyme bei Nutzung von LBS Konkrete Person nicht identifizierbar Arbeit zu dem Thema: Mix Zones-Konzept (Beresford, Stajano, 2003) Alastair Beresford, Frank Stajano University of Cambridge

Privacy-Konzepte für LBS Anonymisierung Mix Zones Orte werden unterteilt in Application Zones und LBS nur in Application Zones Neues Pseudonym bei betreten der Mix-Zones Kein Tracking möglich Nutzer nicht identifizierbar Ziel, laut Beresford und Stajano: - Langfristige Verfolgung der Nutzer durch Dienstanbieter verhindern - Gleichzeitig kurzfristige Nutzung von LBS ermöglichen

Privacy-Konzepte für LBS Anonymisierung Mix Zones - Szenario 1 - Beobachter kann annehmen, dass derjenige der nach A gegangen ist der sein muss der vorher C verlassen hat. --> Tracking also trotz Pseudonymen möglich -Grund: Heuristiken: Wahrscheinlicher dass beide aneinander vorbeigehen, als umzukehren

Privacy-Konzepte für LBS Anonymisierung Mix Zones - Szenario 2 - Da Weg von A-->B kürzer als von C-->B kann Beobachter annehmen,dass derjenige der zuerst bei B ankommt A sein muss - Tracking also trotz Pseudonymen möglich

Privacy-Konzepte für LBS Anonymisierung Mix Zones - Diskussion: Funktioniert nur, wenn sich viele Nutzer in den Mix Zones aufhalten „Anonymity Set“ als Qualitätsmaß „Anonymity Set“ = Anzahl Nutzer in Mix Zone pro Zeiteinheit Nutzer können Mindestwert für „Anonymity Set“ bestimmen - Für „Anonymity Set“ ist sammeln historischer Daten notwendig. - Keine Garantie, dass aktueller „Anonymity Set“ tatsächlich so hoch wie errechneter. - Middleware nötig um Application Zones / Mix Zones zu verwalten und Pseudonyme zu vergeben - Was machen mit Diensten, die Anonym nicht funktionieren? (z. B. Bezahldienste) -Weitere Anonymity Ansatz: Mix durch Ungenaue Ortsinformationen. k-Anonymity.

Privacy-Konzepte für LBS Zusammenfassung Sichere Kommunikation Anonymisierung Mix Zones Privacy-Regeln Sichere Kommunikation zwischen LBS-Anbieter und Nutzer. Festlegen, wer, wann, in welchem Umfang, auf welche Ortsdaten zugreifen darf. Ziele: Langfristige Verfolgung der Nutzer verhindern. Gleichzeitig kurzfristige Nutzung der Dienste ermöglichen. - LBS-Anbieter können personenbezogene Informationen an Dritte weitergeben - Middleware notwendig - LBS-Anbieter können personenbezogene Informationen an Dritte weitergeben - Middleware notwendig - Anonyme Nutzung von LBS nicht immer möglich - „Anonymity Set“ nicht zuverlässig Probleme: - Konzepte stehen Nebeneinander - Alle haben Probleme. - Sind nicht vollständig gelöst.

Ausblick Projekt im 3. Semester „Mobiles mehrbenutzerfähiges tolles Spiel“ Vorläufiger Projektname: „Pervasive Gaming Framework“ Spielidee: Schnitzeljagd Was hat das mit Privacy zu tun? (erstmal) wenig  Was hat das mit LBS zu tun? viel  Kompromiss aus verschiedenen Themenschwerpunkten - Jeder bringt (einen Teile) seines Schwerpunktes ein

Literatur Küpper, A. - Location-Based Services: Fundamentals and Operation - John Wiley & Sons Ltd., 2005 Beresford, A. & Stajano, F. - Mix Zones: User Privacy in Location-aware Services - Proceedings of the Second IEEE Annual Conference On Pervasive Computing and Communications Workshops, 2004, 127-131 Myles, G.; Friday, A. & Davies, N. - Preserving Privacy in Environments with Location-Based Applications - Pervasive Computing, IEEE, 2003, 2, 56-64 Eckert, C. - IT-Sicherheit: Konzepte, Verfahren, Protokolle - Oldenbourg Wissenschaftsverlag GmbH, 2004 ...

Diskussion Vielen Dank! Fragen?