Differentielle Privatheit (Differential Privacy)

Ein Schuss Privatsphäre von Apple

19.07.2016
Von 

Wolfgang Plank beschäftigt sich seit 2008 mit dem Thema Sicherheit von mobilen Geräten im Unternehmenskontext, und veröffentlicht hierzu unter anderem in dem Blog www.secure-ios.de oder in diversen anderen Medien. Außerdem widmet er sich weiteren Themen der Informationssicherheit wie SIEM, Sicherheit in der Softwareentwicklung oder Kryptographie. Normal 0 21 false false false DE X-NONE X-NONE -->

Mit iOS 10 führt Apple das Konzept Differential Privacy ein. Dieses soll es ermöglichen, große Datenmengen zu analysieren ohne die Privatsphäre eines einzelnen Benutzers zu verletzen.
Apple führt mit iOS 10 das Konzept Differential Privacy ein.
Apple führt mit iOS 10 das Konzept Differential Privacy ein.
Foto: Apple

Der Begriff Differential Privacy beschreibt ein Konzept aus der Statistik und Kryptographie mit dem es möglich wird, große Datenmengen zu analysieren ohne die Privatsphäre eines einzelnen Benutzers zu verletzen. Möglich wird dies indem die original Daten mit Hilfe von Hash-Verfahren (hashing), Anreicherung mit Zufallswerten (noise injection) und der Verwendung von Teilmengen (subsampling) so verändert werden, dass sie keine Rückschlüsse auf ein bestimmtes Individuum mehr zulassen.

Ein Beispiel, wie das Einfügen von Zufallswerten die Privatsphäre zu schützen hilft, lautet wie folgt. In einer Umfrage wird dem Teilnehmer die Frage gestellt, ob er jemals schon gegen das Gesetz verstoßen hat. Bevor er nun mit Ja oder Nein antworten kann, wird ihm aufgetragen eine Münze zu werfen. Ist das Ergebnis Zahl, soll er die Frage wahrheitsgemäß beantworten. Bei Kopf hingegen soll er die Münze erneut werfen und dann Ja für Kopf und Nein für Zahl antworten. Mit ein wenig Algebra ist es möglich, diese Zufallswerte aus der Statistik zu entfernen. Der Teilnehmer aber kann nun nicht mehr belangt werden wenn er zugibt bereits einmal das Gesetz gebrochen zu haben.

Wichtig dabei ist auch die Abgrenzung zur Datenanonymisierung. Werden die Daten nur anonymisiert, besteht die Gefahr, diese durch bestimmte Korrelationen der enthaltenen Informationen wieder zu deanonymisieren - so geschehen bei von Netflix veröffentlichten anonymisierten Daten 2007. Differential Privacy verhindert diese Art der Angriffe.

Die aktuelle mediale Aufmerksamkeit um Differential Privacy ist Apple geschuldet. Apple bedient sich der Differential Privacy, um aus einem hausgemachten Dilemma auszubrechen. Einerseits proklamiert sich Apple als oberster Verfechter des Datenschutzes und der Privatsphäre seiner Nutzer, andererseits möchte natürlich auch Apple - wie Facebook oder Google - von den großen Datenmengen profitieren, die auf den macOS und iOS-Geräten oder in der iCloud täglich anfallen. Mit dem auf der diesjährigen Apple-Entwicklerkonferenz WWDC vorgestellten iOS 10 und macOS wird dies nun (endlich) möglich. Craig Federighi, bei Apple zuständig für den Bereich Software-Entwicklung, fasste es so zusammen:

“We believe you should have great features and great privacy. Differential privacy is a research topic in the areas of statistics and data analytics that uses hashing, subsampling and noise injection to enable [...] crowdsourced learning while keeping the data of individual users completely private. Apple has been doing some super-important work in this area to enable differential privacy to be deployed at scale.”

Verwendet werden soll die Technologie zum Beispiel um die Autokorrektur- oder QuickType-Vorschläge zu verbessern. Denkbar sind auch Optimierungen bei der Karten- oder in der Foto-App, ebenso wie bei Siri.

Aron Roth - einer der führenden Experten auf dem Feld der Differential Privacy - bekam Einblick in die Implementierung von Apple und kommentiert diesen mit "I think they’re doing it right." Skeptischer sieht es hingegen Matthew Green, Professor der Johns Hopkins University und Experte für Kryptographie. Seiner Meinung nach sollte man mit dieser Technik erst in kleinerem Umfang Erfahrungen sammeln, anstatt sofort in die Breite zu gehen.

Bleibt abzuwarten, ob das Vorhaben in einem großen Datenskandal endet oder tatsächlich zur Verbesserung von Apple Diensten beiträgt, zumindest ist es ein spannender Ansatz den es lohnt weiter zu beobachten. (mb)