Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
280<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
279<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Wird im folgenden e<strong>in</strong> Pseudonym genauer angesprochen, etwa als das Pseudonym, das e<strong>in</strong>e Person<br />
X bei e<strong>in</strong>er Transaktion t, <strong>in</strong> der sie <strong>in</strong> der Rolle R (z.B. K<strong>und</strong>e) auftritt, gegenüber e<strong>in</strong>er anderen<br />
Person, die <strong>in</strong> e<strong>in</strong>er Rolle S (z.B. als Dienstanbieter) auftritt, verwendet, so wird dies mit p S<br />
R (X,t)<br />
bezeichnet. Im E<strong>in</strong>zelfall überflüssige Teile e<strong>in</strong>er solchen Bezeichnung, z.B. die Transaktion bei<br />
Geschäftsbeziehungspseudonymen, werden weggelassen.<br />
Geschäfts, sondern vor allem durch eigens gewählte Kennzeichen wie Kennummern oder<br />
Testschlüssel für digitale Signaturen (§3.1.1.2), sogenannte Pseudonyme.<br />
E<strong>in</strong>e aus praktischer Sicht zweckmäßige grobe E<strong>in</strong>teilung von Pseudonymen nach der Stärke der<br />
durch sie realisierten Anonymität ist <strong>in</strong> Bild 6-1 dargestellt.<br />
Kommunikation zwischen solchermaßen vore<strong>in</strong>ander anonymen Partnern ist über e<strong>in</strong> Verkehrsdaten<br />
schützendes Kommunikationsnetz ohne weiteres möglich, denn es gestattet, Nachrichten ohne Absenderangabe<br />
zu senden <strong>und</strong> unter beliebigen Pseudonymen zu empfangen, die nicht (wie sonst Adressen)<br />
den physischen Ort des Benutzers oder gar ihn selbst bezeichnen. Ebensowenig wird die<br />
Verwendung e<strong>in</strong>es kryptographischen Systems erschwert, da die Schlüssel e<strong>in</strong>es asymmetrischen<br />
kryptographischen Systems, das entweder selbst zum Verschlüsseln oder zum Schlüsselaustausch für<br />
e<strong>in</strong> symmetrisches System verwendet wird, statt identifizierbaren Benutzern auch Pseudonymen<br />
zugeordnet se<strong>in</strong> können.<br />
Pseudonyme<br />
Personenpseudonyme Rollenpseudonyme<br />
Transaktionspseudonym<br />
Geschäftsbeziehungspseudonym<br />
anonymes<br />
Personenpseudonym<br />
nichtöffentliches<br />
Personenpseudonym<br />
öffentliches<br />
Personenpseudonym<br />
Nachdem <strong>in</strong> diesem Abschnitt daran er<strong>in</strong>nert wurde, daß Anonymität für überprüfbaren <strong>Datenschutz</strong><br />
<strong>in</strong> offenen digitalen Systemen notwendig <strong>und</strong> technisch realisierbar ist, soll <strong>in</strong> den folgenden<br />
Abschnitten behandelt werden, wie die gewünschte Rechtssicherheit erreicht werden kann, ohne die<br />
Anonymität etwa bei der Authentikation wieder aufzugeben.<br />
A n o n y m i t ä t<br />
6.2 Rechtssicherheit von Geschäftsabläufen unter<br />
Wahrung der Anonymität<br />
Bild 6-1: E<strong>in</strong>teilung der Pseudonyme nach ihrem Personenbezug<br />
In diesem Abschnitt wird allgeme<strong>in</strong> untersucht, was bei der Gestaltung von Geschäftsabläufen zu<br />
beachten ist, um Rechtssicherheit trotz Anonymität zu garantieren, ohne hierbei auf die derzeitige<br />
juristische Situation näher e<strong>in</strong>zugehen (siehe hierzu [Rede_84, Clem_85, Köhl_86, Rede_86]).<br />
Dazu wird <strong>in</strong> der Reihenfolge vorgegangen, <strong>in</strong> der auch die Abwicklung des Rechtsgeschäfts<br />
mitsamt eventueller Schadensregulierung erfolgt. Vieles im folgenden Gesagte gilt auch für nicht<br />
anonyme Geschäftsabläufe <strong>in</strong> offenen digitalen Systemen, da auch dort davon auszugehen ist, daß<br />
sich Geschäftspartner am Anfang weder persönlich kennen noch <strong>in</strong> üblicher Weise vore<strong>in</strong>ander<br />
ausweisen können, so daß anfänglich Anonymität (wenn auch nicht Unbeobachtbarkeit) herrscht.<br />
6.2.1 Willenserklärungen<br />
6.2.1.1 Anonymes Abgeben <strong>und</strong> Empfangen<br />
Die Möglichkeit, Erklärungen anonym abzugeben <strong>und</strong> zu empfangen, ist bereits durch das Verkehrsdaten<br />
schützende Kommunikationsnetz gegeben.<br />
Wenn korrespondierende Erklärungen abgegeben werden sollen, bei denen man wünscht, daß<br />
entweder alle Beteiligten diese signieren oder ke<strong>in</strong>er (was bei den meisten für offene Systeme<br />
vorgesehenen Geschäften nicht der Fall ist), kann man dies wie e<strong>in</strong>en kompletten Geschäftsablauf<br />
zum Austausch signierter Erklärungen auffassen <strong>und</strong> etwa so abwickeln wie den nachher<br />
ausführlicher behandelten Austausch von Ware gegen Geld. Wo gewünscht, können spezielle<br />
Vertragsabschlußprotokolle [BGMR_85, EvGL_85] verwendet werden, die e<strong>in</strong>en fast gleichzeitigen<br />
Austausch der Erklärungen erlauben, ohne dabei die Dienste e<strong>in</strong>es Dritten <strong>in</strong> Anspruch nehmen zu<br />
müssen. Allerd<strong>in</strong>gs erhöhen solche Vertragsabschlußprotokolle den Kommunikationsaufwand stark.<br />
E<strong>in</strong> Pseudonym wird als Personenpseudonym bezeichnet, wenn se<strong>in</strong> Inhaber es für viele<br />
verschiedene Geschäftsbeziehungen über lange Zeit h<strong>in</strong>weg verwendet, es somit e<strong>in</strong>en Namensersatz<br />
darstellt. H<strong>in</strong>sichtlich der Verkettungsmöglichkeiten mit der Person se<strong>in</strong>es Inhabers können grob drei<br />
Arten von Personenpseudonymen unterschieden werden.<br />
Betrachtet man den Zeitpunkt, zu dem e<strong>in</strong> Personenpseudonym erstmals verwendet wird, so ist<br />
bei öffentlichen Personenpseudonymen die Zuordnung zu e<strong>in</strong>er Person zum<strong>in</strong>dest im Pr<strong>in</strong>zip<br />
allgeme<strong>in</strong> bekannt (z.B. Telefonnummern), bei nichtöffentlichen Personenpseudonymen ist<br />
diese Zuordnung nur wenigen Stellen bekannt (z.B. Kontonummern ohne Nennung des Namens oder<br />
nicht im Teilnehmerverzeichnis aufgeführte Telefonnummern) <strong>und</strong> bei anonymen Personenpseudonymen<br />
ist diese Zuordnung nur dem Inhaber bekannt (z.B. biometrische Merkmale des<br />
Inhabers oder gar se<strong>in</strong>e DNA). Bei Verwendung von Personenpseudonymen sammelt sich bei e<strong>in</strong>em<br />
Beobachter laufend personenbezogene Information an, so daß nach e<strong>in</strong>er gewissen Zeit der Inhaber<br />
e<strong>in</strong>es nichtöffentlichen oder anonymen Personenpseudonyms deanonymisiert werden kann. Jedes<br />
Personenpseudonym ist also e<strong>in</strong> potentielles Personenkennzeichen.<br />
Diesen Nachteil vermeiden Rollenpseudonyme, die im Gegensatz zu Personenpseudonymen<br />
nicht der Person, sondern nur ihrer momentan ausgeübten Rolle zugeordnet s<strong>in</strong>d. Geschäftsbeziehungspseudonyme<br />
s<strong>in</strong>d solche Rollenpseudonyme, die für viele Transaktionen verwendet<br />
werden, z.B. e<strong>in</strong>e Kontonummer bei den vielen Buchungen e<strong>in</strong>es Kontos oder e<strong>in</strong> Künstlername.<br />
Transaktionspseudonyme h<strong>in</strong>gegen werden nur für e<strong>in</strong>e Transaktion verwendet, z.B. Kennwörter<br />
bei anonym aufgegebenen Chiffreanzeigen. Bei Verwendung von Rollenpseudonymen können<br />
verschiedene Parteien über den Pseudonymträger gesammelte Information zum<strong>in</strong>dest nicht e<strong>in</strong>fach<br />
über die Gleichheit von Pseudonymen, sondern allenfalls über Korrelation von Zeiten, Geldbeträgen<br />
etc. verketten. Aber trotzdem besteht bei Geschäftsbeziehungspseudonymen die Gefahr, daß bei<br />
<strong>in</strong>tensiv genutzten Beziehungen der Partner genügend pseudonymbezogene Information zur<br />
Deanonymisierung erhält. Aus der Sicht der Vertraulichkeit sollten daher, wenn immer möglich,<br />
Transaktionspseudonyme verwendet werden.