Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
158<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
157<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Natürlich greift diese Maßnahme nicht bei Kommunikationsformen mit Realzeitanforderungen,<br />
z.B. Telefon. Bei allen anderen erschwert sie aber die Verkettung vom zeitlich entkoppelten Verkehrsereignis<br />
mit vom Teilnehmer später veranlaßten Folge-Verkehrsereignissen (vgl. §5.1.2).<br />
5.3.1 Öffentliche Anschlüsse<br />
5.3.3 Lokale Auswahl<br />
Um Interessensdaten zu schützen, kann man Information <strong>in</strong> großen E<strong>in</strong>heiten anfordern <strong>und</strong><br />
lokal auswählen (lassen), was e<strong>in</strong>en wirklich <strong>in</strong>teressiert:<br />
Gibt es für das Kommunikationsnetz öffentliche Anschlüsse, z.B. Telefonzellen für das Fernsprechnetz,<br />
oder ist das Kommunikationsnetz zum<strong>in</strong>dest von e<strong>in</strong>em anderen erreichbar, für das es öffentliche<br />
Anschlüsse gibt, so ist die folgende Schutzmaßnahme praktizierbar:<br />
Die Herkunftsadresse <strong>und</strong> Zieladresse e<strong>in</strong>er Nachricht werden weitgehend bedeutungslos, wenn<br />
man verschiedene öffentliche Anschlüsse benutzt. Dies gilt natürlich nur, wenn man sich<br />
nicht zu Zwecken der Zugangskontrolle oder der Zahlung von Entgelten identifizieren muß, d.h. anonym<br />
bleibt [Pfit_85].<br />
Bestellt man sich statt e<strong>in</strong>es bestimmten Zeitungsartikels mehrere Zeitungen verschiedener<br />
politischer Richtungen, so können aus der Bestellung ke<strong>in</strong>erlei Rückschlüsse auf die politischen<br />
Interessen <strong>und</strong> Me<strong>in</strong>ungen des Bestellers gezogen werden.<br />
Zusätzlich ließe sich durch „<strong>in</strong>telligente“ Teilnehmerstationen die Dienstleistung sogenannter<br />
Ausschnittsbüros, die e<strong>in</strong>em K<strong>und</strong>en auf Wunsch zu e<strong>in</strong>em bestimmten Thema Artikel aus mehreren<br />
Zeitungen zusammenstellen, jedem Teilnehmer bieten.<br />
Durch die lokale Auswahl verschleiert man selbst gegenüber dem Kommunikationspartner, was e<strong>in</strong>en<br />
wirklich <strong>in</strong>teressiert, wie man (unter anderem die genaue Bedienung der Teilnehmerstation) lernt <strong>und</strong><br />
reagiert, sowie vieles mehr.<br />
Das Anfordern von großen Informationse<strong>in</strong>heiten vom Kommunikationspartner ist folglich als<br />
Schutz bei solchen Informationsarten s<strong>in</strong>nvoll, die unverschlüsselt übertragen werden oder bei denen<br />
Netzbetreiber <strong>und</strong> Kommunikationspartner identisch s<strong>in</strong>d oder als zusammenarbeitend angenommen<br />
werden können.<br />
Die Anwendung <strong>und</strong> Wirkung der Schutzmaßnahme „Benutzung verschiedener öffentlicher<br />
Anschlüsse“ ist stark e<strong>in</strong>geschränkt:<br />
Wer etwa will für jedes e<strong>in</strong>zelne Telefonat die Wohnung oder das Büro verlassen bzw., um auch<br />
e<strong>in</strong>e zeitliche Verkettung zu erschweren (vgl. §5.3.2), den öffentlichen Anschluß wechseln? Wer will<br />
sich gar zu vorher vere<strong>in</strong>barten Zeitpunkten <strong>in</strong> e<strong>in</strong>e Telefonzelle begeben, um e<strong>in</strong>en Rückruf unter nur<br />
erhoffter (denn es ist ja vorher klar, wo er sich physisch bef<strong>in</strong>den wird: konventionelle Observierung!)<br />
Wahrung se<strong>in</strong>er Anonymität entgegennehmen zu können? Wer will <strong>in</strong> (Bild-)Telefonzellen<br />
noch so hochauflösendes Fernsehen genießen?<br />
Selbst wenn alle diese Fragen positiv zu beantworten wären, bliebe die Wirkung dieser Maßnahme<br />
e<strong>in</strong>geschränkt: Selbst wenn jeder zwischen verschiedenen Telefonaten die Telefonzelle wechselt,<br />
bleibt (aus Gründen des Energie- <strong>und</strong> Zeitaufwandes) e<strong>in</strong>e starke Lokalität erhalten. Selbst wenn<br />
der e<strong>in</strong>zelne so unter e<strong>in</strong>igen tausend Leuten anonym wäre, gäben se<strong>in</strong>e Kommunikationsbeziehungen<br />
doch e<strong>in</strong>e Möglichkeit, se<strong>in</strong>e Sende- oder Empfangsereignisse zu verketten <strong>und</strong> ihn somit im Laufe<br />
der Zeit doch nach <strong>und</strong> nach zu identifizieren – <strong>und</strong> sei es nur mit Hilfe der Hypothese, daß se<strong>in</strong><br />
Wohn- bzw. Arbeitsort ganz <strong>in</strong> der Nähe des Schwerpunktes des durch die von ihm benutzten Telefonzellen<br />
gebildeten, mit der Häufigkeit ihrer Benutzung <strong>in</strong> den entsprechenden Zeiträumen gewichteten<br />
Telefonzellenpolygons liegt.<br />
In zukünftigen Kommunikationsnetzen, <strong>in</strong> denen (zum<strong>in</strong>dest für schmalbandiges Senden) reichlich<br />
Bandbreite zur Verfügung steht, verursacht diese Maßnahme bei Diensten, bei denen der Benutzer nur<br />
bereits bereitgestellte Information abruft, real be<strong>in</strong>ahe ke<strong>in</strong>e Kosten. Es ist jedoch e<strong>in</strong>e Frage des<br />
Abrechnungsmodus, ob dies auch dem Anwender dieser Maßnahme zugutekommt (vgl. §5.6.2).<br />
Selbst wenn ke<strong>in</strong> akzeptabler Abrechnungsmodus gef<strong>und</strong>en werden kann, der es erlaubt, z.B.<br />
mehrere Zeitungen verschiedener politischer Richtungen <strong>und</strong> damit vermutlich auch aus verschiedenen<br />
Verlagen zum Preise e<strong>in</strong>er zu beziehen, so sollten doch zum<strong>in</strong>dest wie heutzutage z.B. ganze<br />
Zeitungen verkauft <strong>und</strong> übertragen werden. E<strong>in</strong>e auf kle<strong>in</strong>e Bildschirmseiten orientierte Struktur wie<br />
die des Bildschirmtext-Systems, die damit begründet wurde, die übliche Teilnehmerstation müsse<br />
billig <strong>und</strong> deshalb zwangsweise ohne lokale Verarbeitungs- <strong>und</strong> Speicherfähigkeit realisiert werden,<br />
ist zum<strong>in</strong>dest für die Zukunft technisch obsolet <strong>und</strong> könnte nur damit gerechtfertigt werden, weiterh<strong>in</strong><br />
das zur Teilnehmerbeobachtung technisch optimal geeignete System behalten zu wollen.<br />
5.3.2 Zeitlich entkoppelte Verarbeitung<br />
Die Zeit, zu der sich e<strong>in</strong>e Nachricht im Kommunikationsnetz bef<strong>in</strong>det, wird weitgehend bedeutungslos,<br />
wenn man Teilnehmerstationen (z.B. Personal Computer) Informationen nicht erst dann anfordern<br />
läßt, wenn der Teilnehmer sie benötigt, sondern zu e<strong>in</strong>em beliebigen Zeitpunkt vorher<br />
[Pfi1_83 Seite 67, 68, Pfit_84]:<br />
Lokale Auswahl wurde (m<strong>in</strong>destens) dreimal unabhängig vone<strong>in</strong>ander erf<strong>und</strong>en: zuerst wird sie<br />
bezüglich e<strong>in</strong>es Informationsanbieters <strong>und</strong> ohne generelle E<strong>in</strong>ordnung lediglich im Kontext des<br />
Bildschirmtext-Systems <strong>in</strong> [BGJK_81 Seite 153, 159] vorgeschlagen, danach <strong>in</strong> [Pfit_83] <strong>und</strong><br />
schließlich zusammen mit zeitlich entkoppelter Verarbeitung <strong>in</strong> [GiLB_85].<br />
Will man e<strong>in</strong>e Zeitung lesen, so kann die Teilnehmerstation sie bereits zum Ersche<strong>in</strong>ungszeitpunkt<br />
oder e<strong>in</strong>em Zeitpunkt mit besonders ger<strong>in</strong>gen Übertragungskosten (z.B. Nachttarif) anfordern <strong>und</strong><br />
zum späteren Lesen abspeichern.<br />
Diese Schutzmaßnahme verh<strong>in</strong>dert, daß der Netzbetreiber alle<strong>in</strong> aus dem Vermittlungsdatum „Zeit“<br />
<strong>und</strong> Kontextwissen schließen kann, wer mit wem kommuniziert:<br />
5.4 Gr<strong>und</strong>verfahren <strong>in</strong>nerhalb des Kommunikationsnetzes<br />
zum Schutz der Verkehrs- <strong>und</strong> Interessensdaten<br />
Wenn tagsüber e<strong>in</strong>e Zeitung angefordert wird <strong>und</strong> 10 Leute als Anforderer <strong>in</strong> Frage kommen, von<br />
denen bekanntlich 9 <strong>in</strong> Tag- <strong>und</strong> e<strong>in</strong>er <strong>in</strong> Nachtschicht arbeiten, wäre ohne zeitliche Entkopplung<br />
sehr wahrsche<strong>in</strong>lich, daß sie der Nachtarbeiter liest.<br />
Im Gegensatz zu den <strong>in</strong> §5.3 genannten Schutzmaßnahmen sollen <strong>in</strong> diesem Abschnitt Maßnahmen<br />
vorgestellt werden, die die im Kommunikationsnetz anfallenden Vermittlungsdaten (vgl. §5.1.1)<br />
selbst verr<strong>in</strong>gern.<br />
Dadurch soll im Interesse jedes Teilnehmers Senden <strong>und</strong> Empfangen, zum<strong>in</strong>dest aber die Kommunikationsbeziehungen<br />
zwischen Teilnehmern vor möglichen Angreifern (bösen Nachbarn, dem<br />
Entsprechend kann die Teilnehmerstation Information zu e<strong>in</strong>em beliebigen Zeitpunkt nach<br />
ihrer Entstehung senden.<br />
Kann der Netzbetreiber auf andere Art erkennen, wer mit wem kommuniziert, so erschwert diese<br />
Maßnahme doch zum<strong>in</strong>dest das Erstellen von Persönlichkeitsbildern über den Tagesablauf.