Britische-Forscher knacken Kryptosystem Diffix. (Bild: Aircloak GmbH)
Britische-Forscher knacken Kryptosystem Diffix. (Bild: Aircloak GmbH)

Update 7. Mai 2018 – 15:23 Uhr: Laut einer Stellungnahme des Berliner Startup Aircloak GmbH, vom 7. Mai 2018 handelt es sich bei dem im Beitrag geschilderten Angriff des Imperial College of London auf „Diffix“ nur um ein rein theoretisches Model, dass laut Aircloak GmbH nie praktisch überprüft worden sei. Dem Unternehmen nach ist Diffix bis heute noch NICHT gehackt worden und somit sicher. 

Britischen Forschern des Imperial College of London haben das neue Kryptosystem „Diffix“ theoretisch knacken können. Die Kryptographie Lösung gilt als vielversprechender technologischer Durchbruch in Sachen Datensicherheit. Die dahinterstehende Technologie wurde vom deutschen Startups Aircloak in Kooperation mit dem Max Planck Institute für Software Systems entwickelt und setzt auf eine dynamische Anonymisierung bei jeder einzelnen Datenabfrage.

Keine 100% Sicherheit
Das Sammeln von hochqualitativem Datenmaterial durch die direkte Abfrage in Datenbanken, ohne dabei die spezifischen Informationen eines bestimmten Individuums offenzulegen, auf das sich ein Eintrag bezieht, galt lange als unerreichbarer Traum, heißt es auf der Aircloak-Website.

Mit Diffix habe man aber nun endlich diesen Traum erfüllen können. Möglich wird das durch eine dynamische Anonymisierung von Daten, die bei jeder Datenabfrage wieder jeweils neu verschlüsselt werden. Außerdem wird bei jeder Abfrage zusätzlich Datenmaterial als „Noise“ hinzugefügt, um eine genauere Identifizierung und Zuordnung zu erschweren.

Transparenz
„Das Ziel unserer Attacke auf Diffix ist es, aufzuzeigen, dass wir in Bezug auf neue Datenschutzsysteme volle Transparenz und eine lebhafte Community brauchen, die Zugang zu diesen Technologien hat, um potenzielle Schwachstellen zu finden und auszumerzen“, erklären die Forscher Andrea Gadotti, Florimond Houssiau, Luc Rocher und Yves-Alexandre de Montjoye vom Data Science Institue des Imperial College London.

„Wir müssen akzeptieren, dass kein System perfekt ist“, so die Forscher: „Es wird Angriffe geben und einige davon werden erfolgreich sein. Wir müssen uns darauf vorbereiten.“

Hoffnungsträger
Wenn es um möglichst sichere, aber gleichzeitig auch möglichst effiziente Systeme zur Datenverwaltung und -abfrage geht, gelten Technologien wie Diffix, die auf eine dynamische Anonymisierung setzen, als neue Hoffnungsträger. Erst kürzlich wurde die Aircloak-Entwicklung sogar von der französischen Datenschutzbehörde CNIL offiziell für den kommerziellen Einsatz zugelassen und bestätigt, dass sie die Richtlinien des neuen EU-Datenschutzgesetzes Datenschutz-Grundverordnung (engl. General Date Protection Regulation) voll und ganz erfüllen würde.

Den Experten aus London ist es allerdings trotz der beschriebenen Schutzmaßnahmen relativ einfach gelungen, via Diffix an personenbezogene Daten heranzukommen. Hierfür haben sie lediglich 10  sorgfältig ausgewählte Abfragen benötigt.

„Auf diese Weise war es möglich, die individuellen und privaten Attribute einer Person mit einer Wahrscheinlichkeit von 99,9 Prozent ausfindig zu machen“, schildern die Wissenschaftler. Zum Beispiel konnten sie so herausfinden, ob jemand HIV hat oder nicht.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein