Konzepte für Datensicherheit und Datenschutz in mobilen Anwendungen

Smart Devices und insbesondere Smartphones nehmen eine immer wichtigere Rolle in unserem Leben ein. Aufgrund einer kontinuierlich anwachsenden Akkulaufzeit können diese Geräte nahezu ununterbrochen mitgeführt und genutzt werden. Zusätzlich sorgen stetig günstiger werdende Mobilfunktarife und ansteigende Datenraten dafür, dass den Nutzern mit diesen Geräten eine immerwährende Verbindung zum Internet zur Verfügung steht. Smart Devices sind dadurch nicht mehr reine Kommunikationsmittel sondern ebenfalls Informationsquellen. Darüber hinaus gibt es eine Vielzahl an Anwendungen von Drittanbietern für diese Geräte. Dank der darin verbauten Sensoren, können darauf beispielsweise ortsbasierte Anwendungen, Gesundheitsanwendungen oder Anwendungen für die Industrie 4.0 ausgeführt werden, um nur einige zu nennen. Solche Anwendungen stellen allerdings nicht nur ein großes Nutzen-, sondern zu gleich ein immenses Gefahrenpotential dar. Über die Sensoren können die unterschiedlichsten Kontextdaten erfasst und relativ präzise Rückschlüsse auf den Nutzer gezogen werden. Daher sollte bei diesen Geräten ein besonderes Augenmerk auf die Datensicherheit und insbesondere auf den Datenschutz gelegt werden. Betrachtet man allerdings die bestehenden Datensicherheits- und Datenschutzkomponenten in den aktuell vorherrschenden mobilen Plattformen, so fällt auf, dass keine der Plattformen die speziellen Anforderungen an ein mobiles Datensicherheits- und Datenschutzsystem zufriedenstellend erfüllt. Aus diesem Grund steht im Zentrum der vorliegende Arbeit die Konzeption und Umsetzung neuartiger Datensicherheits- und Datenschutzkonzepte für mobile Anwendungen. Hierfür werden die folgenden fünf Forschungsbeiträge erbracht: [FB1] Bestehende Datensicherheits- und Datenschutzkonzepte werden analysiert, um deren Schwachstellen zu identifizieren. [FB2] Ein kontextsensitives Berechtigungsmodell wird erstellt. [FB3] Das Berechtigungsmodell wird in einem flexiblen Datenschutzsystem konzeptionell eingebettet und anschließend implementiert. [FB4] Das Datenschutzsystem wird zu einem holistischen Sicherheitssystem erweitert. [FB5] Das daraus entstandene holistische Sicherheitssystem wird evaluiert. Um die Forschungsziele zu erreichen, wird mit dem Privacy Policy Model (PPM) ein gänzlich neues Modell zur Formulierung von feingranularen Berechtigungsregeln eingeführt, die es dem Nutzer ermöglichen, je nach Bedarf, einzelne Funktionseinheiten einer Anwendung zu deaktivieren, um dadurch die Zugriffsrechte der Anwendung einzuschränken. Zusätzlich kann der Nutzer auch die Genauigkeit der Daten, die der Anwendung zur Verfügung gestellt werden, reduzieren. Das PPM wird in der Privacy Policy Platform (PMP) implementiert. Die PMP ist ein Berechtigungssystem, das nicht nur für die Einhaltung der Datenschutzrichtlinien sorgt, sondern auch einige der Schutzziele der Datensicherheit erfüllt. Für die PMP werden mehrere Implementierungsstrategien diskutiert und deren Vor- und Nachteile gegeneinander abgewogen. Um neben den Datenschutz auch die Datensicherheit gewährleisten zu können, wird die PMP um den Secure Data Container (SDC) erweitert. Mit dem SDC können sensible Daten sicher gespeichert und zwischen Anwendungen ausgetauscht werden. Die Anwendbarkeit der PMP und des SDCs wird an Praxisbeispielen aus vier unterschiedlichen Domänen (ortsbasierte Anwendungen, Gesundheitsanwendungen, Anwendungen in der Industrie 4.0 und Anwendungen für das Internet der Dinge) demonstriert. Bei dieser Analyse zeigt sich, dass die Kombination aus PMP und SDC nicht nur sämtliche Schutzziele, die im Rahmen der vorliegenden Arbeit relevant sind und sich am ISO-Standard ISO/IEC 27000:2009 orientieren, erfüllt, sondern darüber hinaus sehr performant ist. Durch die Verwendung der PMP und des SDCs kann der Akkuverbrauch von Anwendungen halbiert werden

Schutz der Privatsphäre in kontext- und ortsbezogenen Diensten

Mit der immensen Verbreitung von Smartphones als leistungsstarke, mobile Endgeräte nimmt auch die Nutzung kontext- und insbesondere ortsbezogener Dienste stetig zu. Derartige Anwendungen vereinfachen die Interaktion mit dem eigenen Endgerät oder externen Systemen, ermöglichen neuartige Nutzungserlebnisse und innovative Dienste, die auf den aktuellen Nutzungskontext zugeschnitten sind. Bei einem Großteil der hierfür an Dritte kommunizierten Informationen handelt es sich jedoch um persönliche Daten, deren unkontrollierte Herausgabe aus Sicht der Privatsphäre problematisch erscheint. In der vorliegenden Arbeit werden drei unterschiedliche Möglichkeiten zum Datenschutz von Kontextinformationen vorgestellt. Allen Verfahren ist gemein, dass sie im Gegensatz zu vielen bestehenden Systemen ohne die Existenz einer als vertrauenswürdig deklarierten dritten Partei auskommen. Stattdessen wird jeweils eine rein clientseitige Durchsetzung von Privatsphärepräferenzen angestrebt, wodurch eine personalisierte Dienstnutzung ermöglicht und die Gefahr eines zentralen Datenlecks vermieden wird. Der erste Ansatz beschäftigt sich damit, dem Benutzer ein effektives, allgemeingültiges Werkzeug zur feingranularen, situations- und rezipientenabhängigen Verwaltung von Kontextinformationen zur Verfügung zu stellen. Es wird ein Ontologie-basiertes Kontextmodell entwickelt, auf dessen Grundlage die Definition und konsistente Durchsetzung situationsabhängiger Freigaberegeln möglich ist. Zudem wird eine vollständige Systemarchitektur zur Kontextverwaltung sowie deren Integration in ein mobiles Betriebssystem beschrieben. Der zweite Ansatz ermöglicht die privatsphäreschonende Umsetzung der verkehrsadaptiven Online-Routenplanung. Unter Verwendung standardmäßig zur Verfügung stehender Dienstschnittstellen wird dafür gesorgt, dass keine externe Komponente den exakten Start- und Zielpunkt einer Routenanfrage in Erfahrung bringen kann. Anhand einer umfangreichen Evaluation werden der Trade-Off zwischen Privatsphäre, Kommunikationsaufwand und Dienstqualität untersucht und verschiedene Optimierungsmöglichkeiten aufgezeigt. Als drittes wird ein umfassendes Konzept zur Herstellung von Standortanonymität vorgestellt, das sich generisch für die privatsphärekonforme Positionsfreigabe in unterschiedlichen Ausprägungen ortsbezogener Dienste eignet. Hierfür werden die topologiebasierte Erstellung k-anonymer Verschleierungszonen sowie verschiedene Freigabestrategien entwickelt, die auch die zeitliche Korrelation aufeinanderfolgender Ortsangaben berücksichtigen. Dies ermöglicht den effektiven Schutz persönlicher Daten selbst bei kontinuierlichen Positionsupdates gegenüber einem Angreifer mit umfangreichem Kartenwissen.With the widespread prevalence of smartphones as powerful ultra-mobile devices, also the usage of context-aware applications and location-based services continually grows. Such applications improve the way a user interacts with his own device and external systems. Furthermore, they enable previously unknown user experiences and offer innovative services tailored to the user's current situation. The majority of context information that has to be communicated to external parties in order to use such services, however, is considered personal data. From a privacy oriented perspective, the release of this kind of information hence has to be controlled and leakage must be prevented. This work presents three different means for protecting a user's context information. In contrast to many existing approaches, each of the proposed systems has been designed to operate without the existence of an omniscient, trusted third party acting as an anonymizer. Instead, enforcement of a user's privacy preferences is executed locally on the user's device, which allows for personalized services and avoids the perils of a central privacy bottleneck. The first approach proposes an effective and generally applicable tool allowing the user to manage his context information in a fine-grained, context-aware and recipient-dependent way. To this end, a new ontology-based context model will be developed, which forms the foundation for the definition and assertion of situation-dependent access control rules set up by the user. Additionally, the overall system architecture as well as its integration into a modern mobile operating system will be described. The second approach presents a client-side implementation for using traffic-adaptive online route planning services in a privacy-preserving manner. Only using the unmodified standard query interfaces of existing services, the system assures that no external party is able to learn the exact endpoints of the user's route request. By means of empirical evaluation on the actual road network, the trade off between privacy, communication overhead, and quality of service will be analyzed. Also, different optimizations will be discusssed. Thirdly, a holistic concept for continuously protecting a user's location privacy will be presented, which is generally applicable to the release of location information and all different kinds of location-based services. A topology-aware creation of k-anonymous cloaking regions will be developed as well as different strategies for the release of location information, which also take into account the spatiotemporal correlation of successive location updates. These allow for an effective protection of a user's location privacy even for continuous location updates and in face of a strong attacker with extensive map knowledge