Datenschutz

Ariadne Maps zeigt äußerste Sorgfalt, wenn es um die Privatsphäre von Menschen geht. Es ist einer unserer Grundwerte und wir haben einzigartige Ansätze und Funktionen entwickelt, um den Schutz der Privatsphäre zu ermöglichen!

Daten-schutz

Ariadne Maps zeigt äußerste Sorgfalt, wenn es um die Privatsphäre von Menschen geht. Es ist einer unserer Grundwerte und wir haben einzigartige Ansätze und Funktionen entwickelt, um den Schutz der Privatsphäre zu ermöglichen!

Datenlebenszyklus

Der gesamte Lebenszyklus von Daten kann in drei Hauptschritten beschrieben werden, die in der folgenden Abbildung visuell beschrieben werden und den Lebenszyklus von Daten in der Ariadne-Infrastruktur erläutern. Der erste Schritt ist die Datenerfassung. Der zweite Schritt ist die Datenübertragung und der dritte und letzte Schritt ist die Datenspeicherung.

Datenerfassung

Ariadne geräte sind für die Erfassung von Daten verantwortlich, die von Smartphones ausgegeben werden. Ariadne-Vermesser sind nur über ein VPN-Netzwerk erreichbar. Die Verbindung zu den Vermessungsingenieuren wird nach einem asymmetrischen Verfahren verschlüsselt. Insbesondere wird der RSA-Algorithmus nach einem asymmetrischen 4096-Bit-Schlüssel verwendet. Eine begrenzte Anzahl von Benutzern hat Zugriff auf den Schlüssel. Eingehende Daten können in drei Kategorien beschrieben werden.

Zufälliger Mac

Der erste und häufigste eingehende Informationsstrom sind zufällige MAC-Adressen. Android und iOS verwenden zufällige MAC-Adressen, wenn nach neuen Netzwerken gesucht wird, die derzeit keinem Netzwerk zugeordnet sind. Diese Informationen gelten als anonyme Informationen, da sie sich nicht auf eine Person beziehen können. Insbesondere können viele zufällige MAC-Adressen mit einem einzelnen Telefon verknüpft werden, und viele Telefone können mit einer einzelnen Mac-Adresse verknüpft werden, wenn die MAC-Randomisierung aktiviert ist.

Statisch, aber nicht der echte Mac

Der zweite gemeinsame Datenstrom stammt von Geräten, die im Netzwerk verbunden wurden. Hier ist die MAC-Adresse stabil, während sich das Telefon am Standort befindet. Die Adresse ist jedoch eine zufällige MAC-Adresse und kann nicht mit dem Benutzer in Beziehung gesetzt werden. Wenn das Telefon getrennt und wieder mit dem Netzwerk verbunden wird, wird wahrscheinlich eine andere MAC-Adresse verwendet.

Echte MAC-Adresse

Die letzte und wichtigste Kategorie sind Geräte, die anhand ihrer tatsächlichen MAC-Adresse nach einem Netzwerk suchen. Die überwiegende Mehrheit dieser Telefone wurde vor 2014 für iOS und vor 2017 für Android hergestellt. Diese Adresse kann mit einem Benutzer verknüpft werden und unterliegt daher möglicherweise den allgemeinen Datenschutzbestimmungen. Es ist zu beachten, dass nur eine kleine Minderheit der Geräte mit ihrer tatsächlichen MAC-Adresse prüft.

Hashed ID

Ariadne geräte erzeugten beim Erfassen eines Signals eine Kennung, die dieses Signal mit dem Telefon verbinden kann. Diese ID muss mit dem Gerät verknüpft werden, da jeder Telefonstandort anhand der Messwerte mehrerer Geräte berechnet wird. Daher sind Telefone, die anhand ihrer gelesenen MAC-Adresse prüfen, zu diesem Zeitpunkt nur pseudo-anonymisiert.

Datenübertragung

Die Daten werden nach der Implementierung von MQTT übertragen. Die übertragenen Daten werden mit TLS 1.2 mit der Verschlüsselungssuite ECDHE-ECDSA-AES128-GCM-SHA256 verschlüsselt. Wenn in der Cloud gesammelte Daten vorübergehend gehasht und basierend auf der pseudo-anonymisierten ID geclustert werden. In diesem Schritt werden die Standorte von Personen miteinander verbunden.

Salt Injektion

Nachdem der Ort berechnet wurde, wird dem Bezeichner zufällig erzeugtes Salz injiziert, und daher wird ein neuer Bezeichner zugewiesen. Der Hash für die Injektion ändert sich täglich und daher gibt es keine Möglichkeit mehr, die tatsächliche MAC-Adresse zu berechnen. Diese Daten können bereits als anonym betrachtet werden.

Differenzielle Anonymisierung der Privatsphäre

In der differenziellen Datenschutzkomponente wird zufällig eine Hash-Funktion ausgewählt, mit der die identifizierbaren Attribute in einen gemeinsam genutzten Hash-Bereich gehasht werden. Hierzu werden zwei oder mehr verschiedene Hash-Funktionen verwendet. Die Summe der Wahrscheinlichkeiten für die Auswahl einer Hash-Funktion muss sich zu 1,0 summieren. Die Idee ist, dass je gleichmäßiger die Wahrscheinlichkeiten für die Auswahl einer bestimmten Hash-Funktion verteilt sind, desto geringer ist die Wahrscheinlichkeit, das identifizierbare Attribut aus dem ausgegebenen Hash-Wert für einen Angreifer zu erraten. Wir haben ein lokales Muster erstellt, indem wir die Anzahl der Vorkommen für jeden in den Ergebnissen angezeigten Hashwert berechnet haben. Diese Anzahl von Ereignissen kann auch als Wahrscheinlichkeit für eine Person interpretiert werden, die tatsächlich dort ist. Eine relativ niedrige Anzahl (im Vergleich zu anderen Vorkommenszahlen) könnte bedeuten, dass dieses gezählte Hash-Individuum wahrscheinlich nicht tatsächlich vorhanden war, sondern vielmehr auf die Anwendung verschiedener Hash-Funktionen zurückzuführen ist, die zu unterschiedlichen Hash-Werten für dasselbe Individuum führen. Wenn dieser Ansatz in Bezug auf das Streaming ausgeführt wird, kann die lokale Komponente das berechnete Muster an das bereits vorhandene Ausgabemuster des aktuellen Tages anhängen. Dies ist möglich, weil wir in der Revisit-Analyse an Revisits interessiert sind, die unterschiedliche Tage berücksichtigen, und das Anhängen der Ausgabemuster in einem Streaming-Modus die lokale Wahrscheinlichkeit erhöht, dass die Personen tatsächlich nur an einem bestimmten Tag dort sind. Nach dem Sammeln der lokalen Besuchsmuster, die bereits zu taggetrennten Dateien zusammengefasst werden können, bestimmt die zentrale Komponente das Wiederholungsmuster und gibt an, wie viele Personen wahrscheinlich eine bestimmte Anzahl von Malen erneut besucht haben. Wenn verschiedene lokale Geräte Daten erfassen und lokale Muster für einen bestimmten Tag berechnen, kann die zentrale Komponente die jeweiligen Muster einfach aneinander anhängen, um das Gesamtmuster für den Tag zu erhalten. Um die Revisit-Gruppenmitgliedschaft für jeden Hash-Wert zu erhalten, wird eine in einem späteren Abschnitt beschriebene Funktion ausgeführt, die für das Erhalten von Revisit-Gruppenmitgliedschaften verantwortlich ist.

K-Anonymität Anonymisierung

In der K-Anonymität komponente wird eine Implementierung angewendet, die für die Anonymisierung der Flugbahn angepasst ist. Dieser Ansatz basiert auf einer Häufung ähnlicher Trajektorien und zielt auf optimale Lösungen mit den gegebenen Einschränkungen ab. Bei diesem Ansatz werden alle eingehenden Datenbündel zu kleinen Clustern zusammengefasst. Eine gute Clusterübereinstimmung wird erkannt, wenn der Informationsverlust auf einem hohen Optimum bleibt, das über einen vordefinierten Schwellenwert identifiziert wird. In einem zweiten Schritt identifiziert der Algorithmus Datencluster, die entweder nicht weiter verzögert werden konnten, oder sie haben perfekte Cluster gebildet, und löscht sie entweder bzw. veröffentlicht sie. Im Einzelnen ruft die Clusterauswahl alle gebildeten Cluster aus einer Liste eingehender Daten ab und untersucht den Informationsverlust für jeden Cluster einzeln. Wenn es einen Cluster gibt, in dem der Informationsverlust unter dem zulässigen Grenzwert liegt, wird der jeweilige Cluster Mitglied des Clusters. Die Verzögerungsbeschränkungen werden basierend auf der minimalen Clustergröße und der maximal zulässigen Wartezeit definiert. Jede Verallgemeinerung von Clustern (mit geringem Informationsverlust) wird immer gespeichert, um zur Reduzierung von Fusionen und zur Verbesserung der Informationsqualität zukünftiger Anonymisierungsversuche verwendet zu werden.

Datenspeicher

Die Daten werden auf einem Server in Frankfurt gespeichert und von der Amazon Web Services Germany GmbH betrieben. AWS ist mit allen ISO-Zertifikaten und -Vorschriften ausgestattet, um den Schutz der Daten zu gewährleisten. Insbesondere verfügt AWS über eine Zertifizierung für die Einhaltung von ISO / IEC 27001: 2013, 27017: 2015, 27018: 2019 und ISO / IEC 9001: 2015. Die Ariadne Maps GmbH hat keine Outsourcing-Partner, und daher kann niemand außer der Ariadne Maps GmbH auf die gespeicherten Daten zugreifen. Die Ariadne Maps GmbH überträgt keine Informationen, die mit einer Person verknüpft werden können, und speichert niemals Informationen, die einer einzelnen Person entsprechen, und löscht alle gesammelten Informationen in regelmäßigen Abständen. Die Ariadne Maps GmbH speichert nur aggregierte Daten, die nicht mit Personen verknüpft werden können und daher nicht unter die DSGVO fallen. Die Ariadne Maps GmbH verfügt über ein Warnprotokoll, das den Zugriff auf nicht autorisierte Benutzer sofort blockiert und den Zugriff auf alle Dienste im Falle eines Kennwortlecks blockiert. Dieses Protokoll wurde bereits getestet.

Datenzugriff

Auf Daten kann über eine grafische Benutzeroberfläche, d. H. Ein Dashboard, zugegriffen werden. Wie bereits erwähnt, betrafen alle Daten Personengruppen und nicht Einzelpersonen. Auf das Dashboard kann nur über Benutzername und Passwort zugegriffen werden, und alle Passwörter sind komplex (mindestens 8 Stellen Groß- / Kleinbuchstaben, Zahlen und Sonderzeichen). Benutzer können ihre eigenen Passwörter zurücksetzen und der Zugriff auf Daten wird verschlüsselt. Daten werden nur über eine HTTPS-Verbindung übertragen. Ein Protokollierungsmechanismus für den Benutzerzugriff ist vorhanden, und Daten werden nicht in außereuropäische Länder übertragen.

Datenlebenszyklus

Der gesamte Lebenszyklus von Daten kann in drei Hauptschritten beschrieben werden, die in der folgenden Abbildung visuell beschrieben werden und den Lebenszyklus von Daten in der Ariadne-Infrastruktur erläutern. Der erste Schritt ist die Datenerfassung. Der zweite Schritt ist die Datenübertragung und der dritte und letzte Schritt ist die Datenspeicherung.

Datenerfassung

Ariadne geräte sind für die Erfassung von Daten verantwortlich, die von Smartphones ausgegeben werden. Ariadne-Vermesser sind nur über ein VPN-Netzwerk erreichbar. Die Verbindung zu den Vermessungsingenieuren wird nach einem asymmetrischen Verfahren verschlüsselt. Insbesondere wird der RSA-Algorithmus nach einem asymmetrischen 4096-Bit-Schlüssel verwendet. Eine begrenzte Anzahl von Benutzern hat Zugriff auf den Schlüssel. Eingehende Daten können in drei Kategorien beschrieben werden.

Zufälliger Mac

Der erste und häufigste eingehende Informationsstrom sind zufällige MAC-Adressen. Android und iOS verwenden zufällige MAC-Adressen, wenn nach neuen Netzwerken gesucht wird, die derzeit keinem Netzwerk zugeordnet sind. Diese Informationen gelten als anonyme Informationen, da sie sich nicht auf eine Person beziehen können. Insbesondere können viele zufällige MAC-Adressen mit einem einzelnen Telefon verknüpft werden, und viele Telefone können mit einer einzelnen Mac-Adresse verknüpft werden, wenn die MAC-Randomisierung aktiviert ist.

Statisch, Aber Nicht Der Echte Mac

Der zweite gemeinsame Datenstrom stammt von Geräten, die im Netzwerk verbunden wurden. Hier ist die MAC-Adresse stabil, während sich das Telefon am Standort befindet. Die Adresse ist jedoch eine zufällige MAC-Adresse und kann nicht mit dem Benutzer in Beziehung gesetzt werden. Wenn das Telefon getrennt und wieder mit dem Netzwerk verbunden wird, wird wahrscheinlich eine andere MAC-Adresse verwendet.

Echte MAC-Adresse

Die letzte und wichtigste Kategorie sind Geräte, die anhand ihrer tatsächlichen MAC-Adresse nach einem Netzwerk suchen. Die überwiegende Mehrheit dieser Telefone wurde vor 2014 für iOS und vor 2017 für Android hergestellt. Diese Adresse kann mit einem Benutzer verknüpft werden und unterliegt daher möglicherweise den allgemeinen Datenschutzbestimmungen. Es ist zu beachten, dass nur eine kleine Minderheit der Geräte mit ihrer tatsächlichen MAC-Adresse prüft.

Hashed ID

Ariadne geräte erzeugten beim Erfassen eines Signals eine Kennung, die dieses Signal mit dem Telefon verbinden kann. Diese ID muss mit dem Gerät verknüpft werden, da jeder Telefonstandort anhand der Messwerte mehrerer Geräte berechnet wird. Daher sind Telefone, die anhand ihrer gelesenen MAC-Adresse prüfen, zu diesem Zeitpunkt nur pseudo-anonymisiert.

Daten-übertragung

Die Daten werden nach der Implementierung von MQTT übertragen. Die übertragenen Daten werden mit TLS 1.2 mit der Verschlüsselungssuite ECDHE-ECDSA-AES128-GCM-SHA256 verschlüsselt. Wenn in der Cloud gesammelte Daten vorübergehend gehasht und basierend auf der pseudo-anonymisierten ID geclustert werden. In diesem Schritt werden die Standorte von Personen miteinander verbunden.

Salt Injection

Nachdem der Ort berechnet wurde, wird dem Bezeichner zufällig erzeugtes Salz injiziert, und daher wird ein neuer Bezeichner zugewiesen. Der Hash für die Injektion ändert sich täglich und daher gibt es keine Möglichkeit mehr, die tatsächliche MAC-Adresse zu berechnen. Diese Daten können bereits als anonym betrachtet werden.

Differenzielle Anonymisierung Der Privatsphäre

In der differenziellen Datenschutzkomponente wird zufällig eine Hash-Funktion ausgewählt, mit der die identifizierbaren Attribute in einen gemeinsam genutzten Hash-Bereich gehasht werden. Hierzu werden zwei oder mehr verschiedene Hash-Funktionen verwendet. Die Summe der Wahrscheinlichkeiten für die Auswahl einer Hash-Funktion muss sich zu 1,0 summieren. Die Idee ist, dass je gleichmäßiger die Wahrscheinlichkeiten für die Auswahl einer bestimmten Hash-Funktion verteilt sind, desto geringer ist die Wahrscheinlichkeit, das identifizierbare Attribut aus dem ausgegebenen Hash-Wert für einen Angreifer zu erraten. Wir haben ein lokales Muster erstellt, indem wir die Anzahl der Vorkommen für jeden in den Ergebnissen angezeigten Hashwert berechnet haben. Diese Anzahl von Ereignissen kann auch als Wahrscheinlichkeit für eine Person interpretiert werden, die tatsächlich dort ist. Eine relativ niedrige Anzahl (im Vergleich zu anderen Vorkommenszahlen) könnte bedeuten, dass dieses gezählte Hash-Individuum wahrscheinlich nicht tatsächlich vorhanden war, sondern vielmehr auf die Anwendung verschiedener Hash-Funktionen zurückzuführen ist, die zu unterschiedlichen Hash-Werten für dasselbe Individuum führen. Wenn dieser Ansatz in Bezug auf das Streaming ausgeführt wird, kann die lokale Komponente das berechnete Muster an das bereits vorhandene Ausgabemuster des aktuellen Tages anhängen. Dies ist möglich, weil wir in der Revisit-Analyse an Revisits interessiert sind, die unterschiedliche Tage berücksichtigen, und das Anhängen der Ausgabemuster in einem Streaming-Modus die lokale Wahrscheinlichkeit erhöht, dass die Personen tatsächlich nur an einem bestimmten Tag dort sind. Nach dem Sammeln der lokalen Besuchsmuster, die bereits zu taggetrennten Dateien zusammengefasst werden können, bestimmt die zentrale Komponente das Wiederholungsmuster und gibt an, wie viele Personen wahrscheinlich eine bestimmte Anzahl von Malen erneut besucht haben. Wenn verschiedene lokale Geräte Daten erfassen und lokale Muster für einen bestimmten Tag berechnen, kann die zentrale Komponente die jeweiligen Muster einfach aneinander anhängen, um das Gesamtmuster für den Tag zu erhalten. Um die Revisit-Gruppenmitgliedschaft für jeden Hash-Wert zu erhalten, wird eine in einem späteren Abschnitt beschriebene Funktion ausgeführt, die für das Erhalten von Revisit-Gruppenmitgliedschaften verantwortlich ist.

K-Anonymität Anonymisierung

In der K-Anonymität komponente wird eine Implementierung angewendet, die für die Anonymisierung der Flugbahn angepasst ist. Dieser Ansatz basiert auf einer Häufung ähnlicher Trajektorien und zielt auf optimale Lösungen mit den gegebenen Einschränkungen ab. Bei diesem Ansatz werden alle eingehenden Datenbündel zu kleinen Clustern zusammengefasst. Eine gute Clusterübereinstimmung wird erkannt, wenn der Informationsverlust auf einem hohen Optimum bleibt, das über einen vordefinierten Schwellenwert identifiziert wird. In einem zweiten Schritt identifiziert der Algorithmus Datencluster, die entweder nicht weiter verzögert werden konnten, oder sie haben perfekte Cluster gebildet, und löscht sie entweder bzw. veröffentlicht sie. Im Einzelnen ruft die Clusterauswahl alle gebildeten Cluster aus einer Liste eingehender Daten ab und untersucht den Informationsverlust für jeden Cluster einzeln. Wenn es einen Cluster gibt, in dem der Informationsverlust unter dem zulässigen Grenzwert liegt, wird der jeweilige Cluster Mitglied des Clusters. Die Verzögerungsbeschränkungen werden basierend auf der minimalen Clustergröße und der maximal zulässigen Wartezeit definiert. Jede Verallgemeinerung von Clustern (mit geringem Informationsverlust) wird immer gespeichert, um zur Reduzierung von Fusionen und zur Verbesserung der Informationsqualität zukünftiger Anonymisierungsversuche verwendet zu werden.

Datenspeicher

Die Daten werden auf einem Server in Frankfurt gespeichert und von der Amazon Web Services Germany GmbH betrieben. AWS ist mit allen ISO-Zertifikaten und -Vorschriften ausgestattet, um den Schutz der Daten zu gewährleisten. Insbesondere verfügt AWS über eine Zertifizierung für die Einhaltung von ISO / IEC 27001: 2013, 27017: 2015, 27018: 2019 und ISO / IEC 9001: 2015. Die Ariadne Maps GmbH hat keine Outsourcing-Partner, und daher kann niemand außer der Ariadne Maps GmbH auf die gespeicherten Daten zugreifen. Die Ariadne Maps GmbH überträgt keine Informationen, die mit einer Person verknüpft werden können, und speichert niemals Informationen, die einer einzelnen Person entsprechen, und löscht alle gesammelten Informationen in regelmäßigen Abständen. Die Ariadne Maps GmbH speichert nur aggregierte Daten, die nicht mit Personen verknüpft werden können und daher nicht unter die DSGVO fallen. Die Ariadne Maps GmbH verfügt über ein Warnprotokoll, das den Zugriff auf nicht autorisierte Benutzer sofort blockiert und den Zugriff auf alle Dienste im Falle eines Kennwortlecks blockiert. Dieses Protokoll wurde bereits getestet.

Datenzugriff

Auf Daten kann über eine grafische Benutzeroberfläche, d. H. Ein Dashboard, zugegriffen werden. Wie bereits erwähnt, betrafen alle Daten Personengruppen und nicht Einzelpersonen. Auf das Dashboard kann nur über Benutzername und Passwort zugegriffen werden, und alle Passwörter sind komplex (mindestens 8 Stellen Groß- / Kleinbuchstaben, Zahlen und Sonderzeichen). Benutzer können ihre eigenen Passwörter zurücksetzen und der Zugriff auf Daten wird verschlüsselt. Daten werden nur über eine HTTPS-Verbindung übertragen. Ein Protokollierungsmechanismus für den Benutzerzugriff ist vorhanden, und Daten werden nicht in außereuropäische Länder übertragen.

Menü schließen
+