Warum reicht Verschlüsselung alleine nicht aus, um Ihre persönlichen Daten zu schützen?

9. November 2021

Die Datenschutz-Grundverordnung hat erhebliche Auswirkungen auf unseren Umgang mit Daten. Datenübermittlung und Datenanalyse müssen äußerst vorsichtig und nur mit ausdrücklicher Zustimmung gehandhabt werden. Für Unternehmen bedeutet die Einhaltung der DSGVO einen zusätzlichen Zeit- und Investitionsaufwand. Daher ist es so wichtig, stets die sicherste und effizienteste Datenschutz-Methode anzuwenden. In diesem Blogbeitrag werden wir die Unterschiede zwischen Datenverschlüsselung und Datenanonymisierung sowie die Vorteile der Datenanonymisierung herausarbeiten.

Was ist Datenverschlüsselung?

Für viele Menschen ist Verschlüsselung die Methode zum Schutz der Privatsphäre, die ihnen als erstes in den Sinn kommt. Verschlüsselung kann in vielen Situationen sehr hilfreich sein, z. B. um Cyber-Angreifern den Zugriff auf sensible Daten zu verwehren und das Risiko einer Datenschutzverletzung zu minimieren, wenn diese gestohlen wurden. Sie ist jedoch nicht in der Lage, Datenschutzverletzungen vollständig zu verhindern.

Datenverschlüsselung ist eine der technischen Methoden, die in Artikel 32 der DSGVO für den Datenschutz anerkannt werden. Laut DSGVO ist die Verschlüsselung

das einen Klartext durch einen Schlüssel in einen Geheimtext umwandelt, sodass die Ausgangsinformationen nur unter Verwendung des passenden Schlüssels wieder lesbar werden.

Arten der Verschlüsselung

Es gibt zwei Arten der Verschlüsselung: symmetrisch und asymmetrisch. Der Unterschied liegt im geheimen Schlüssel zur Ver- und Entschlüsselung von Informationen. Während bei der symmetrischen Verschlüsselung derselbe Schlüssel zum Ver- und Entschlüsseln von Informationen verwendet wird, wird bei der asymmetrischen Verschlüsselung ein öffentlicher Schlüssel zum Verschlüsseln der Daten und ein privater Schlüssel zum Entschlüsseln der Daten verwendet. In beiden Fällen schützt der Schlüssel die Daten vor unerlaubter und illegaler Verarbeitung.

Symmetric Encryption vs Asymmetric Encryption
Symmetrische Verschlüsselung vs. asymmetrische Verschlüsselung

Warum Verschlüsselung alleine nicht ausreicht

Rein theoretisch kann die Nachricht ohne eine entsprechende Berechtigung nicht entschlüsselt werden. In der Praxis kann die Verschlüsselung alleine jedoch einen Datenmissbrauch nicht vollständig verhindern. Sie minimiert lediglich das Risiko. Eine Datenschutzverletzung kann passieren, wenn andere Elemente der Datenschutzprotokolle schwach sind, zum Beispiel wenn:

  • die verschlüsselten Daten nicht unter den richtigen Bedingungen transportiert werden (z.B. sendet das System eine Fehlermeldung ohne Verschlüsselung) [1],
  • die Software nicht zeitnah aktualisiert wird [2],
  • unvermeidbares menschliches Versagen eintritt [3] oder
  • Hacker über genügend Zeit und Rechenressourcen verfügen, dass sie die Daten auch ohne den Schlüssel erfolgreich entschlüsseln können [4].

Schließlich ist die Verschlüsselung nur das Basiselement eines mehrstufigen und mehrschichtigen Datenschutzkonzepts. Sie ist aßerdem nicht für jede Datensicherheitssituation geeignet. Die Verschlüsselung allein reicht für einen effektiven Datenschutz nicht mehr aus. Deshalb ist es sinnvoll, auch andere Methoden – wie die Anonymisierung – zur Verfügung zu haben,vor allem wenn es um Daten geht, die Bilder und/oder Videos enthalten.

Was ist Datenanonymisierung?

In Erwägungsgrund 26 der DSGVO werden anonyme Daten wie folgt definiert: 

“… Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.”

Gemäß Erwägungsgrund 26 der Datenschutz-Grundverordnung fallen vollständig anonymisierte Daten nicht in den Anwendungsbereich der DSGVO, da anonymisierte Daten nicht wieder identifiziert werden können. Sie fallen also nicht unter “personenbezogene Daten”.  

Vorteile der Anonymisierung

Sowohl für Privatpersonen als auch für Unternehmen ist die Anonymisierung eine hilfreiche Datenschutz-Methode. Zu den Vorteilen der Daten-Anonymisierung zählen:

  • Datenmissbrauch kann leicht verhindert werden. Selbst wenn es zu einer Datenpanne kommt, sind persönliche Informationen geschützt, da sie für Hacker weder nachvollziehbar noch verwertbar sind; 
  • Für Verbraucher ist es einfacher, einem Unternehmen zu vertrauen. Die Öffentlichkeit macht sich zunehmend Sorgen, wie und von wem Daten verarbeitet werden. Die Anonymisierung signalisiert den Verbrauchern, dass Datenschutz den Unternehmen am Herzen liegt, und sie sind dann eher bereit, sich auf Geschäftstätigkeiten einzulassen, als bei anderen Unternehmen.
  • Daten werden für maschinelles Lernen und Big-Data-Analysen genutzt. Perfekt anonymisierte Daten sind in der Lage, die wichtigsten Merkmale der Personen (Geschlecht, Alter) zu erhalten. Solche Informationen können in Studien zum  maschinellen Lernen und zur Big-Data-Analyse für verschiedene Zwecke genutzt werden.

Methoden zur Anonymisierung von Daten:

Es gibt einige Methoden zur Anonymisierung von Daten.

Datenmaskierung: Bei der Datenmaskierung werden Daten anonymisiert, indem die Werte geändert werden. Sensible Daten können z. B. durch “x” ersetzt werden, um ein mögliches Datenleck/eine Entdeckung zu verhindern.

Data anonymization method - Data masking
Methoden zur Anonymisierung von Daten – Datenmaskierung

Pseudonymisierung: Bei der Pseudonymisierung werden sensible Informationen durch gefälschte Identifikatoren oder Pseudonyme ersetzt. Zum Beispiel wird “Anna Smith” durch Pseudonyme wie “Lisa Baker/S4t2 _4E” ersetzt. Durch die Pseudonymisierung sind Daten nicht mehr identifizierbar, sie ist allerdings reversibel, wenn der Schlüssel für die Re-Identifizierung gefunden wird. 

Data anonymization method - Pseudonymization
Methoden zur Anonymisierung von Daten – Pseudonymisierung

Verallgemeinerung: Die Datenverallgemeinerung fasst die allgemeinen Merkmale der Daten in einer Zielklasse zusammen und macht sie dadurch weniger identifizierbar.  

Data anonymization method - Generalization
Methoden zur Anonymisierung von Daten – Verallgemeinerung

Permutation/Mischen/Austauschen von Daten: Die Werte im Datensatz werden gemischt, so dass sie nicht mehr die ursprünglichen Datensätze darstellen. 

Data anonymization method - Permutation/data shuffling/swapping
Methoden zur Anonymisierung von Daten – Permutation/Mischen/Austauschen von Daten

Warum synthetische Daten immer beliebter werden

Diese Anonymisierungsmethoden haben jedoch alle ihre Schwächen. Das größte Problem sind Integrität und Genauigkeit der Daten. Nach der Verarbeitung werden die Daten weniger genau oder sogar statistisch unbrauchbar. Um anonymisierte Daten zu Trainingszwecken und für maschinelles Lernen nutzen zu können, werden synthetische Daten immer beliebter.  

Synthetische Daten sind künstlich erzeugte Daten, die von Computerprogrammen erstellt wurden. Sie werden von Unternehmen verwendet, um maschinelle Lernmodelle zu trainieren und die Privatsphäre zu schützen, indem personenbezogenen Daten de-identifiziert werden. Dies sind zum Beispiel synthetische Bilder, die von unserer Software Deep Natural Anonymization erzeugt wurden. In diesem Fall bleiben nach der Synthese die wesentlichen Merkmale der Originaldaten erhalten, aber es besteht keine Verbindung zu den Originaldaten.  

Synthetische Daten werden algorithmisch erzeugt und haben keinen Schlüssel zur “Entschlüsselung”. Daher ist die Wahrscheinlichkei eines Missbrauchs synthetischer Daten gleich null. Die algorithmisch angepassten Daten behalten die Eigenschaften der Originaldaten bei, sodass sie sich für weitere Analysen im Rahmen des maschinellen Lernens eignen und die Privatsphäre des Einzelnen vor Missbrauch ohne Zustimmung geschützt ist.

Comparison: Encryption, Anonymization, Synthetic Data
Vergleich: Verschlüsselung, Anonymisierung, synthetische Daten

Neben Verschlüsselung und Anonymisierung gibt es noch andere Methoden, um Ihre Daten vor Missbrauch zu schützen. Es gibt zwar nicht “die eine” Methode zum Schutz Ihrer Daten, aber es gibt für jede Situation eine geeignete. Für die zum Einsatz kommen. Wenn Sie mehr darüber erfahren möchten, wie wir bei brighter AI Daten anonymisieren und jede Identität in der Öffentlichkeit schützen, sehen Sie sich die Fallstudien unten an oder kontaktieren Sie uns direkt.

Quellen:

1 CNRS News; Stéphanie Delaune; “Data Protection: Encryption is not Enough”; 2016-08-12

2 Cool Tech Zone; Rakesh Naik; “Why data encryption just isn’t enough anymore in 2021. Explaining issues with current data encryption tools and ways for better data protection.”; 2021-09-17

3 Cool Tech Zone; Rakesh Naik; “Why data encryption just isn’t enough anymore in 2021. Explaining issues with current data encryption tools and ways for better data protection.”; 2021-09-17

4 Cool Tech Zone; Rakesh Naik; “Why data encryption just isn’t enough anymore in 2021. Explaining issues with current data encryption tools and ways for better data protection.”; 2021-09-17

Xinzhuo Xiao
Marketing & Communication
xinzhuo.xiao@brighter.ai

Related Posts

Facebook, Carnegie Mellon University und weitere Top-Universitäten nutzen brighter Redact für weltweite KI-Forschung

READ MORE

Kostenlos herunterladen

Bitte geben Sie die E-Mail-Adresse ein, an die wir das Dokument senden können.

Vielen Dank für Ihr Interesse an unserer Arbeit. Wir senden nun die Datei an Ihre E-Mail-Adresse. Aufgrund der hohen Auslastung unserer Website kann dies manchmal ein paar Augenblicke dauern. Bitte überprüfen Sie auch Ihren Spam-Ordner.

ZURÜCK