Bundesamt für Sicherheit in der Informationstechnik

M 2.127 Inferenzprävention

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Zum Schutz personenbezogener und anderer vertraulicher Daten eines Datenbanksystems ist grundsätzlich jedem Benutzer nur der Zugriff auf diejenigen Daten zu gestatten, die für seine Tätigkeiten notwendig sind. Alle anderen Informationen, die sich zusätzlich in der Datenbank befinden, sind vor ihm zu verbergen.

Zu diesem Zweck müssen die Zugriffsberechtigungen auf Tabellen bis hin zu deren Feldern definiert werden können. Dies kann mittels Verwendung von Views und Grants durchgeführt werden (siehe M 2.129 Zugriffskontrolle einer Datenbank ). Damit ist es einem Benutzer nur möglich, die für ihn bestimmten Daten einzusehen und zu verarbeiten. Stellt er Datenbankabfragen, die auf andere Informationen zugreifen wollen, werden diese vom DBMS zurückgewiesen.

Im Zusammenhang mit statistischen Datenbanken, die Daten über Personengruppen, Bevölkerungsschichten oder ähnliches enthalten, treten dagegen andere Schutzanforderungen auf. In einer statistischen Datenbank unterliegen die einzelnen, personenbezogenen Einträge dem Datenschutz, statistische Informationen sind jedoch allen Benutzern zugänglich.

Hier gilt es zu verhindern, dass aus Kenntnissen über die Daten einer Gruppe auf die Daten eines individuellen Mitglieds dieser Gruppe geschlossen werden kann. Es muss außerdem verhindert werden, dass durch das Wissen der in der Datenbank gespeicherten Informationen bzw. der Ablagestrukturen der Daten in der Datenbank die Anonymität dieser Daten durch entsprechend formulierte Datenbankabfragen umgangen werden kann (z. B. wenn die Ergebnismenge einer Datenbankabfrage nur einen Datensatz beinhaltet). Diese Problematik wird Inferenzproblem, der Schutz vor solchen Techniken Inferenzprävention genannt.

Auch wenn die Daten einer statistischen Datenbank anonymisiert sind, kann durch Inferenztechniken der Personenbezug zu bestimmten Datensätzen wiederhergestellt werden. Eine Zurückweisung bestimmter Anfragen (z. B. Anfragen mit nur einem oder wenigen Ergebnistupeln) reicht im allgemeinen nicht aus, da auch die Verweigerung einer Antwort durch das DBMS Informationen beinhalten kann.

Durch das Erstellen verschiedener Statistiken kann die Anonymität der Daten ebenfalls verloren gehen. Ein solcher indirekter Angriff zielt darauf ab, aus mehreren Statistiken Rückschlüsse auf die persönlichen Daten eines einzelnen Individuums ziehen zu können. Eine Schutzmaßnahme ist in diesem Fall, die Freigabe von so genannten sensitiven Statistiken nicht zu erlauben, was als unterdrückte Inferenzprävention bezeichnet wird. Eine weitere Möglichkeit ist die Verzerrung solcher Statistiken durch kontrolliertes Runden (gleiche Statistiken sind gleich zu runden) oder die Beschränkung auf statistisch relevante Teilmengen mit der Auflage, dass gleiche Anfragen immer Bezug auf die gleichen Teilmengen nehmen. Dieses Verfahren wird als verzerrende Inferenzprävention bezeichnet.

Werden weitergehende Anforderungen an die Vertraulichkeit der Daten gestellt, ist deren Verschlüsselung erforderlich (vergleiche M 4.72 Datenbank-Verschlüsselung ).

Prüffragen:

  • Wurden die Vertraulichkeits- und Datenschutzanforderungen an die Daten des Datenbanksystems erfasst und dokumentiert?

  • Sind die Zugriffsberechtigungen der Benutzer ( z. B. über Views und Grants) derart eingeschränkt, dass jeder Benutzer nur Zugriff auf die Daten hat, die er für seine Tätigkeiten benötigt?

  • Finden Techniken der Interferenzprävention im Falle von statistischen Datenbanken Anwendung?

Stand: 13. EL Stand 2013