Anonymisierung und externe Speicherung inCloud-Speichersystemen

Professur für Kommunikationssysteme

Technische Fakultät

Albert-Ludwigs-Universität Freiburg

2014

Dennis WehrleKonrad Meier < konrad.meier@rz.uni-freiburg.de >Steffen Philipp < steffenmatthiasphilipp@googlemail.com >

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 2

1. Motivation

2. Datenschutzrechtliche Probleme

3. Anonymisierung

4. Reversible Anonymisierung

5. Föderiertes Speichersystem

6. Fazit

Agenda

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 3

Forschungs- und Projektgruppen benötigen flexible Speicherressourcen

Cloud-basierte Speichersysteme können lokale Systeme entlasten- Auslagern von lokalen Daten

- Bedarfsspitzen abfangen

- Kosteneffizienz

Problem: - Sicherheitsbedenken

- Grundsätzliche Bedenken zur datenschutzrechtlichen Zulässigkeit bei externer Speicherung

• => personenbezogene Daten

- Folge: eingeschränkte Nutzbarkeit

1. Motivation

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 4

Definition: personenbezogene Daten

Laut § 3 Abs. 1 (BDSG):

- „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.“

- Bestimmten Person:

• z.B. Daten die mit dem Namen verbunden sind- E-Mailadresse (Konrad.Meier@rz.uni-

freiburg.de)

- Bestimmbare Person:

• Identität unmittelbar oder mittels Zusatzwissen feststellbar

- Der erste Kanzler der BRD war gebürtiger Kölner

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 5

Beispiele: personenbezogene Daten

Klar zuzuordnen:

- Name, Kreditkarten- oder Personalnummern, Matrikelnummer, Kfz-Kennzeichen, Aussehen, Kundennummer, Röntgenaufnahmen, …

Weniger eindeutige Informationen:

- Telefonnummer, IP-Adresse, …

- Arbeitszeiten

• Laut EuGH: „Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“

Quelle: htp://www.datenschutzbeaufragter-info.de/personenbezogene-daten-defniton-und-praktsche-beispiele/

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 6

Datenschutzrechtliche Probleme bestehen bei der Speicherung von personenbezogene Daten

Probleme: - Der Personenbezug ist oft nicht offensichtlich

- Datensätze enthalten sehr oft personenbezogene Daten (auch wenn der Dienstanbieter dies ausschließt z.B. bwSync&Share)

- Datenschutzrechtlicher Grundsatz:Jede Verarbeitung personenbezogener Daten bedarf entweder einer gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen (z.B. § 4 Abs. 1 BDSG)

- Auslagern von Daten ist auch eine Verarbeitung personenbezogener Daten

2. Datenschutzrechtliche Probleme

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 7

Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG)?- Externer Cloud-Anbieter wird nicht als dritter sondern als

verlängerter Arm des Auftraggeber gesehen

- Kontroll- und Dokumentationsvorschriften (§ 11 Abs. 2 S. 3 und S. 4)

• z.B. Kontrolle von technischen und organisatorischen Maßnahmen zum Schutz der Daten

• Problem: Speicherort der Daten oft unbekannt

- Ist nicht immer praktikabel umsetzbar

Auftragsdatenverarbeitung ist eine Lösung, aber gerade bei Cloud-Speichersystemen nicht trivial

Zusätzlicher Aufwand steht im Konflikt zur gewünschten Kostenersparnis

2. Datenschutzrechtliche Probleme

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 8

Lösungsansatz: Entfernen des Personenbezugs durch Anonymisierung

Wann sind Daten anonymisiert?

- § 3 Abs. 6 BDSG:Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Anonymisierung durch Verschlüsseln?- Brechen der Verschlüsselung ist in erster Linie Rechenaufwand

(Zeit, Kosten)

- Aufwand an Zeit und Kosten verringert sich mit der Zeit

- Verschlüsselte Daten werden im allgemeinen nicht als anonymisiert angesehen

3. Anonymisierung

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 9

Reversible Anonymisierung durch:1. verschlüsseln

2. fragmentieren der Daten

3. getrenntes Speichern der Fragmente

Zusätzlicher „Beschaffungsaufwand“ der Fragmente=> Unverhältnismäßiger Arbeitsaufwand

Beschaffungsaufwand wird über die Zeit nicht geringer

Wiederherstellung der personenbezogenen Daten ist für dritte im Hinblick auf Zeit, Kosten und Arbeitskraft unverhältnismäßig

Gesetzliche Anforderungen für das Anonymisieren von Daten ist erfüllt:

=> keine personenbezogenen Daten=> Auslagerung ohne Auftragsdatenverarbeitung möglich

4. Reversible Anonymisierung

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 10

Verschlüsseln:- Daten werden mittels AES-256 verschlüsselt

Fragmentierung:- Bit- oder byteweises Aufteilen der

verschlüsselten Daten

Getrenntes Speichern:- Die Fragmente werden bei unterschiedlichen Speicheranbietern

abgelegt (ein Cloud-Speicheranbieter ist nicht mehr ausreichend!)

- Fragmente sind keine personenbezogenen Daten

- Informationen zum Wiederherstellen der Daten werden im lokalen Speichersystem abgelegt

Die reversible Anonymisierung wurde als Teil eines föderierten Speichersystems prototypisch umgesetzt

4. Reversible Anonymisierung

verschlüsselteDaten

Standort A Standort B Standort C

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 11

Kooperatives Nutzen von Speicherressourcen im föderierten Verbund der Universitäten- Konzepte von Cloud-Storage Systemen verwenden

- Redundante Speicherung möglich (an mehreren Universitäten)

Prototyp des föderierten Speichersystems- Basiert auf Object-Storage Systemen (OpenStack Swift)

- Ermöglicht das transparente Auslagern von Objekten an andere Standorte

Basiert auf Object-Storage System:- Container und Objekte (Objekte = Daten + Metadaten)

- Keine hierarchische Speicherung von Daten

- Kein Dateisystem

5. Föderiertes Speichersystem

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 12

Schichtenmodell des föderierten Speichersystems

5. Föderiertes Speichersystem

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 13

Schichtenmodell des föderierten Speichersystems

- Hardware:• Festplatten / SSDs / Bänder

- Speichervirtualisierung• Stellt den Speicher als Speichercontainer bereit

• Aktuell Object-Storage-System OpenStack Swift

- Föderierte Speicherverwaltung• Verbindet mehrere Standorte untereinander

• Ermöglicht das Verschieben von Daten zwischen den Standorten

- Anwendung• Greift über einen Object-Storage Connector auf den Speicher zu

• Zentrale Server Anwendung (z.B. Webserver)

• Anwendung direkt beim Benutzer (z.B. Home-Laufwerk)

5. Föderiertes Speichersystem

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 14

Reversible Anonymisierung- Über ein Regelwerk („Policies“) wird gesteuert, welche Daten

Ausgelagert werden sollen

- Beim Auslagern der Daten werden diese verschlüsselt und fragmentiert (Policy-Engine)

- Transparenter Zugriff auf die Daten weiterhin möglich (Federated-Proxy)

5. Föderiertes Speichersystem

Anonymisierung und externe Speicherung in Cloud-Speichersystemen 15

Analyse rechtlicher Anforderungen beim Auslagern von personenbezogenen Daten- Problematik der Auftragsdatenverarbeitung

Lösungsansatz basierend auf dem Anonymisieren der Daten

Verschlüsseln + aufteilen der Daten + getrenntes Speichern der Fragmente, kann als gesetzeskonforme Anonymisierung angesehen werden

Aus technischer Sicht:

- Lösung nicht optimal

- Verteilen der Daten erzeugt Abhängigkeiten und Overhead

Implementierung in einem föderierten Speichersystem zeigt die Realisierbarkeit des Ansatzes

Fragen?

6. Fazit