Chiffriermethoden zur Anonymisierung und als Schutz vor "Abhören"

Verschlüsseln unabdingbar für praktizierten Datenschutz

04.05.1984

Nicht erst die amerikanischen Hacker, die Datenbankknacken zu einem flotten Denksport stilisierten, haben das Thema Bildschirmtext und Datenschutz in Deutschland zu einer harten Nuß werden lassen. Das Bundesdatenschutzgesetz, die Fernmeldeordnung und auch der Btx-Staatsvertrag mit den Ländern verlangen zuverlässige Sicherungsprozeduren, deren Realisierungsarten noch diskutiert werden. Der Chiffriermöglichkeiten gibt es viele. Verwendbar sind sie - abgewandelt - auch dann, wenn für bestimmte Anwendungen, zum Beispiel das Erstellen von Krankenregistern, Anonymisierung von Daten wünschenswert ist. Georg Schäfer, Diplom-Mathematiker und Referent für technischen und organisatorischen Datenschutz beim Landesbeauftragten für Datenschutz in Baden-Württemberg, hat im folgenden Aufsatz einmal die Verfahren für öffentliche und private Chiffriersysteme aufgezeigt. Er schildert angewandten Datenschutz am Beispiel der Krankheitsregister und von Bildschirmtext.

Die Verschlüsselung von Informationen, die Kryptologie, gibt es wahrscheinlich schon, seit geschrieben wird. Aber in jüngster Zeit setzt man vor allem aufgrund neuerer wissenschaftlicher Erkenntnisse auf sie besonders große Hoffnungen. Oft zuunrecht. Doch zumindest in einigen Fällen führt der Einsatz von Verschlüsselungstechniken tatsächlich zu einer Verbesserung des Datenschutzes.

Faktische Anonymisierung für Krankheitsregister

Wessen Daten zu welchem Zweck wie lange in einem Krankheitsregister gespeichert werden sollen, ist von Register zu Register unterschiedlich. Immer mehr kristallisieren sich jedoch folgende Anforderungen an ein automatisch geführtes Krankheitsregister heraus (Bild 1):

- Das Register soll eine unbeschränkte Forschung zulassen und darf deshalb nur völlig anonyme Daten enthalten.

- Während der Dauer einer Krankheit (und oft noch bis nach dem Tod) soll der Krankheitsverlauf durch immer neue Meldungen zum Register erfaßt werden.

- Wenn zwei oder mehr Stellen zum gleichen Patienten melden, müssen die Meldungen im Register zusammengeführt und den eventuell bereits vorhandenen Daten des Patienten zugeordnet werden.

- ln Ausnahmefällen, zum Beispiel bei bestimmten Forschungsprojekten, muß es grundsätzlich möglich sein, ausgehend von den im Register gespeicherten Daten den Patienten zu identifizieren. Ein Ziel könnte die Einholung seiner Einwilligung zu weiteren Untersuchungen und Befragungen sein.

Diese Anforderungen an ein Krankheitsregister und die ärztliche Schweigepflicht widersprechen sich. Beispielsweise können die Patientendaten nicht so weit anonymisiert werden, daß auch mit Zusatzwissen keine Identifizierung über bestimmte seltene Krankheitssymptome mehr möglich ist, weil die Daten dann zu allgemein und für die Forschung nicht mehr aussagefähig wären. Das Krankheitsregister muß deshalb als Datei mit personenbezogenen Daten angesehen werden. Würde man dies nämlich nicht tun, dann wären die Daten des Krankheitsregisters ungeschützt. Und als Folge davon könnte jeder die im Register gespeicherten anonymisierten Daten mit den bekannten De-Anonymisierungsstrategien zumindest teilweise wieder bestimmten Personen zuordnen.

Bei Krankheitsregistern ist somit durch Datensicherheitsmaßnahmen die Einhaltung der faktischen Anonymisierung sicherzustellen.

Datenschutzrechtlich problematisch ist jedoch bereits die Meldung zum Register. Dabei sind nämlich die ärztliche Schweigepflicht und häufig die Übermittlungsregelungen der Datenschutzgesetze zu beachten. Das bedeutet, daß die behandelnden Ärzte und die bei der Diagnose und Nachsorge eingeschalteten Labors und Kliniken Angaben zu den Patienten nur anonym oder mit Einwilligung weitergeben dürfen.

Folgenden Vorschlag hört man dazu öfter: Zur Anonymisierung der Patientendaten bei der Meldung zum Register und bei der Speicherung sind diese in einen Identifikations-

und einen Informationsteil aufzuspalten. Verschlüsselt werden soll nur der Identifikationsteil. Als Methode sollen die neueren Erkenntnisse der Chiffrierungstheorie verwendet werden. Dabei handelt es sich um die sogenannten öffentlichen Chiffriersysteme, bei denen öffentlich eine Verschlüsselungsvorschrift V bekannt wird. Mit V codiert man nun den Identifikationsteil I der Krankendaten. Das Ergebnis V(I) ist grundsätzlich ohne einen Schlüssel S, der vernichtet werden soll, nicht mehr zum ursprünglichen I zurückverwandelbar. Als besonders sicher wird diese Verschlüsselungstechnik in vielen Veröffentlichungen angesehen, weil zum Beispiel

- der Aufwand zur Berechnung von S aus I und V(I) in der Regel sehr hoch ist (man spricht von zirka 1000 Jahren Rechenzeit für einen Großrechner),

- die Verschlüsselungsvorschrift V öffentlich bekannt sein darf.

Aber dabei wird einiges übersehen:

- Eine Risikoabschätzung für die Berechnung des Schlüssels S aus I und V(I) ist nicht möglich. Praktisch könnte schon ein halbes Jahr nach der Einrichtung eines Krankheitsregisters der Schlüssel S bekannt sein. Dann ist es aus mit der Anonymisierung. Und was dann?

- V(I) könnte ein Personenkennzeichen werden. Alle Voraussetzungen dafür würde es erfüllen: Es ist eindeutig, kurz, und würde sich über sehr lange Zeit nicht ändern.

- Eine Entschlüsselung wäre bei vernichtendem Schlüssel S nicht mehr möglich. Patienten, deren Daten im Register sind und denen man nach neueren medizinischen Erkenntnissen helfen könnte, ließen sich nicht mehr namentlich bestimmen. Das heißt: ein so verschlüsseltes Register kann eine wichtige Anforderung nicht erfüllen.

Diesen Gefahren und Nachteilen bei der Verwendung öffentlicher Verschlüsselungssysteme ist Rechnung zu tragen:

- Die Verschlüsselungsvorschrift V muß leicht änderbar sein.

- Der jeweilige Schlüssel S darf nicht vernichtet werden.

Wenn die Sicherheit der Verschlüsselung schon durch eine häufige Änderung des Verschlüsselungsverfahrens erreicht wird, müssen nicht unbedingt die öffentlichen Chiffriersysteme zur Anwendung kommen. Vor allem auch die Meldung zum Krankheitsregister würde ein Verschlüsselungsverfahren erleichtern, das in eine Art Taschenrechner integriert ist. Diese Rechner würden mit dem jeweiligen Verschlüsselungschip an die medizinischen Stellen verteilt. Besimmten Stellen, wie zum Beispiel ein Datenschutzbeauftragter, müßten die regelmäßige Änderung des Chips veranlassen und bei einem Wunsch nach einer De-Anonymisierung bei dem jeweiligen behandelnden Arzt um die Einwilligung beim betroffenen Patienen nachsuchen.

Während öffentliche Chiffriersysteme bei Krankheitsregistern unter Umständen wünschenswert, aber nicht unbedingt notwendig sind, eignen sie sich in fast idealer Weise für Bildschirmtext. Vor allem die folgenden Gefahren für den Datenschutz ließen sich damit verringern:

- Ein beachtliches Gefährdungspotential entsteht bei Bildschirmtext durch die zentrale Speicherung der elektronischen Korrespondenz von Millionen von Teilnehmern in Ulm. Diese enorme Datensammlung enthält weitgehend ungeschützt Geschäftsgeheimnisse und vertrauliche private Nachrichten; beim Betreiber kann man sie jederzeit ohne technische Probleme einsehen. Die Verschlüsselung mit öffentlichen Chiffriersystemen könnte als sicherer und billiger elektronischer Briefumschlag Verwendung finden. Sie wäre auch ein Schutz, selbst wenn nach dem Ausprobieren von Kennworten Eindringungsversuche gelingen.

- Eine andere Gefahr bei Bildschirmtext bilden die Aufzeichnungsmöglichkeiten der über das Telefonnetz übertragenen Daten, wie zum Beispiel der Bankdaten. Telefonleitungen können durch einfache Mittel abgehört werden, und zwar ohne Einfluß auf die elektronischen Eigenschaften der Datenübertragung. Das Abhören merkt deshalb weder die Post noch der Teilnehmer. Nicht so schlimm wäre das, wenn die Daten verschlüsselt übertragen würden.

So einfach, wie es sich anhört, ist die Verschlüsselung allerdings nicht. Das in Bild 2 dargestellte Grundprinzip öffentlicher Chiffriersysteme ist nämlich ohne weiteres nur für den ersten obigen Fall geeignet. Dabei könnte man nämlich eine Art Telefonbuch herausgeben, in dem die Btx-Teilnehmer und ihre jeweiligen Schlüssel aufgeführt sind. Jeder, der einem Teilnehmer eine Nachricht verschlüsselt zusenden will, sucht dann im Telefonbuch den öffentlichen Schlüssel dieses Teilnehmers und codiert damit seine Nachricht. Dekodieren kann sie grundsätzlich nur der Teilnehmer selbst mit seinem geheimen Schlüssel.

Das erste praktische Verschlüsselungsverfahren dieser Art stellten Rivest, Shamir und Adleman vor. Da bei ihrem Verfahren die Entschlüsselung in der Regel mehrere Jahrzehnte dauern würde, hält Rivest sein Verfahren für sehr sicher. Unumstritten ist es jedoch nicht:

- Selbst wenn im Mittel mehrerer Jahrzehnte zur Entschlüsselung notwendig sind, könnten doch zufällig eine ganze Reihe der von Millionen von Btx-Teilnehmern verwendeten geheimen Schlüssel ermittelt werden. Würde das unbemerkt bei einer Bank, einer Behörde oder einem Konzern geschehen, wären die Folgen beachtlich. Das heißt: Öffentliche Schlüssel müssen ab und zu gewechselt werden und eine Institution wie zum Beispiel eine Behörde muß einzelne Geschäftsbereiche und die Kommunikation mit den verschiedenen Stellen durch Verwendung unterschiedlicher öffentlicher Schlüssel abschotten.

- Eine von Rivest nicht berücksichtigte Lösungsmethode stellten die Kryptologen Simons, Norris und Herlestam zur Diskussion. Dies führte zu einer Reihe weiterer Anforderungen an das Rivest-Schema. Aber: Ein Beweis, daß diese Anforderungen ausreichen und morgen keine neuen und schnelleren Entschlüsselungsverfahren vorgestellt werden, fehlt.

Trotz dieser Probleme ist die Verschlüsselung mit öffentlichen Chiffriersystemen bei Bildschirmtext sinnvoll. Die Chiffriergeräte müssen aber eine individuelle und häufige Änderung der Schlüssel zulassen. Nur dann ist das Kosten / Nutzen-Verhältnis für einen potentiellen Eindringling denkbar schlecht.

Individuelle Rechenregeln zur Authentifikation

Bei der automatisierten Kontrolle des Zugangs zu EDV-Anlagen zum Beispiel über Bildschirme bietet sich eine ganz andere Verschlüsselungstechnik an. Sie besteht im Speichern einer individuellen Rechenregel oder Transformation für jeden berechtigten Benutzer. Das sieht dann so aus: Der Benutzer schaltet den Bildschirm ein, und der Rechner gibt ihm daraufhin zum Beispiel eine vierstellige Zahl vor. Der Benutzer muß jetzt die im Rechner gespeicherte Transformation nachvollziehen. Sie kann zum Beispiel die Addition der vier Ziffern vorsehen. Danach setzt sie die Quersumme der so berechneten Zahl als zweistellige Zahl vor die Summe. Bei der Ausgabe von "1234" ergibt die Addition 10; die Quersumme ist 01. Gibt der Bediener richtig "0110" ein, dann gilt er als berechtigter Benutzer. Der Computer sollte im übrigen nie dieselbe Zahl vorgeben damit ein Zugang ohne Kenntnis der Transformation aber mit einem bekannten Ergebnis nicht möglich ist.

Die Verwendung derartiger Transformationen bietet häufig mehr Sicherheit als Kennworte und automatisiert lesbare Ausweise:

- Die Transformation kann man auch beim Über-die-Schultern-Sehen und beim Abhören von Datenleitungen nicht herausbekommen.

- Die Transformation kann nicht wie zum Beispiel ein Ausweis, versehentlich im Ausweisleser oder am Bildschirm liegenbleiben. Da außerdem die Mitteilung einer Transformation aufwendig ist, kann man bei der unbefugten Nutzung einer Transformation davon ausgehen daß der Eigentümer selbst aktiv den Mißbrauch unterstützte.