Gratis
8. Mai 2018 - Verschlüsselung

Kryptosystem Diffix ausgehebelt?

Drucken

Britischen Forschern am Imperial College of London soll es gelungen sein, das Kryptosystem „Diffix“ zu überwinden. Die Lösung gilt als vielversprechender technologischer Durchbruch in Sachen Datensicherheit. Unklar ist derzeit, ob es sich bei der Überwindung der Verschlüsselung lediglich um ein theoretisches Modell handelt oder ob das System tatsächlich „geknackt“ wurde.

Wurde Diffix geknackt oder nicht? Von der französischen Datenschutz-Aufsicht anerkannt, aber eventuell geknackt: Diffix (Bild: iStock.com / gintas77)

In den Datenbanken etwa von Banken oder Versicherungen stecken äußerst sensible Informationen über die Kunden.

Und natürlich haben die Unternehmen ein Interesse daran, mithilfe aktuellster Technologien wie maschinellem Lernen auch Prognosen und Analysen auf dieser Datenbasis vorzunehmen, um Produkte zu entwickeln oder strategische Planungen durchzuführen.

Die große Herausforderung für die Unternehmen besteht darin, einen Weg zu finden, die Daten so weit zu verändern, dass

  • einerseits kein Rückschluss mehr auf eine konkrete Person erfolgen kann,
  • andererseits die Informationen dadurch aber nicht so verfälscht werden, dass keine soliden statistischen Ergebnisse mehr möglich sind.

Das in Kooperation mit dem Max Planck Institut entwickelte Kryptosystem „Diffix“ soll genau das ermöglichen.

Dynamische Anonymisierung zum Schutz des Individuums

„Diffix“ erlaubt es, Datenmaterial zu sammeln durch direkte Abfrage von Datenbanken, ohne die spezifischen Informationen eines bestimmten Individuums offenzulegen.

Hierbei werden Daten dynamisch anonymisiert und bei jeder Datenabfrage neu verschlüsselt. Zusätzlich wird bei jeder Abfrage Datenmaterial als „Noise“ hinzugefügt, um eine genauere Identifizierung und Zuordnung zu erschweren.

Dies gilt als vielversprechender Ansatz für die Datensicherheit. So hat die französische Datenschutzbehörde CNIL „Diffix“ offiziell für den kommerziellen Einsatz zugelassen und bestätigt, dass esdie Richtlinien der Datenschutz-Grundverordnung (DSGVO) voll und ganz erfüllt.

Nur theoretisch geknackt?

Trotz der Schutzmaßnahmen wollen Mitarbeiter des „Data Science Institute des Imperial College London“ an personenbezogene Daten herangekommen sein.

Hierfür sollen die Forscher lediglich zehn sorgfältig ausgewählte Abfragen benötigt haben, um die individuellen und privaten Attribute einer Person mit einer Wahrscheinlichkeit von 99,9 Prozent ausfindig zu machen.

Mit ihrer Veröffentlichung möchten die Wissenschaftler für mehr Transparenz bei der Entwicklung von Technologien zum Datenschutz werben, um die Verfahren gezielt nach Schwachstellen und Lücken durchsuchen zu können.

Nach einer Stellungnahme der Entwickler von „Diffix“ handelt es sich bei der Veröffentlichung der Wissenschaftlicher um ein rein theoretisches Model, das praktisch nicht überprüft worden sei. Somit sei „Diffix“ nach wie vor als sicher einzustufen.

Stephan Lamprecht