Systematisches Privacy Engineering mit LINDDUN

Eine verbreitete Privacy Engineering-Methode ist LINDDUN, die an der KU Leuven entwickelt wurde. Sie ist in der Praxis verbreitet und wurde im Rahmen der Forschungsarbeit von K. Wuyts positiv evaluiert. Der Fokus der Methode liegt auf der systematischen Identifikation von Datenschutz-Bedrohungen («Privacy Threats») in Services. Sie basiert auf Microsoft’s STRIDE-Methode für die Informationssicherheit und berücksichtigt daher neben Datenschutz- auch Informationssicherheitsaspekte. Denkbar ist z.B. dass die Methode in einem gemeinsamen Workshop mit Business Owner und Application Owner, eines Service sowie dem Security-Verantwortlichen und Datenschutzbeauftragten genutzt wird.

In der ersten Phase der Methode («Problem Space») liegt der Fokus auf der Identifikation von Bedrohungen. Dabei wird zunächst ein Datenflussdiagram (DFD) des Service erstellt, in dem der Fluss der personenbezogenen Daten zwischen Objekten (z.B. Benutzer), Prozessen (z.B. Webportal) und Datenspeichern visualisiert wird.

Anschliessend werden verschiedene Arten von Privacy Threats an den einzelnen Stellen des Diagramms identifiziert, die in die namensgebenden Bedrohungskategorien fallen: Verknüpfbarkeit (Linkability), Identifizierbarkeit (Identifiability), Nachweisbarkeit (Non-repudiation), Detektierbarkeit (Detectability), Veröffentlichung von Informationen (Disclosure of information), Unwissenheit (Unawareness), Nichtkonformität (Non-compliance). Beispielsweise könnte eine Bedrohung darin bestehen, dass die Benutzerdaten einfach mit anderen Daten zu einem detaillierten Profil verknüpft werden können (Verknüpfbarkeit).

Matrix

Die einzelnen Bedrohungen werden im Anschluss noch näher untersucht. Dabei unterstützt ein umfangreicher Katalog, der je Kategorie diverse Bedrohungen auflistet («Threat-Trees»).

In Phase 2 («Solution Space») werden die Bedrohungen entsprechend potenziellen Auswirkungen und Eintrittswahrscheinlichkeit der Bedrohung priorisiert. Für die ausgewählten Bedrohungen werden schliesslich Vermeidungsstrategien, Systemanforderungen und mögliche Lösungstechnologien (Privacy Enhancing Technologies, PETS) festgelegt. Beispielsweise könnte das Risiko der Verknüpfbarkeit der Benutzerdaten dadurch reduziert werden, dass die Daten generalisiert werden (z.B. durch geeignete Anonymisierungsverfahren).

Die Methode (inkl. Anwendungsbeispielen) ist vollständig im Web veröffentlicht.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s