Analyse und Katalogisierung von Tracker-Angriffen in OLAP-Systemen und Bewertung möglicher Lösungsalternativen
- Art: Diplomarbeit
- Autor: Bernd Jahn
- Abgabedatum: September 2004
- Umfang: 122 Seiten
- Dateigröße: 3,1 MB
- Note: 1,7
- Institution / Hochschule: Bayerische Hochschule Deutschland
- ISBN (eBook): 978-3-8324-8871-0
-
ISBN (Paperback) :
978-3-8324-8871-0 P - ISBN (CD) :978-3-8324-8871-0 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Jahn, Bernd September 2004: Analyse und Katalogisierung von Tracker-Angriffen in OLAP-Systemen und Bewertung möglicher Lösungsalternativen, Hamburg: Diplomica Verlag
- Schlagworte: Inferenzproblematik, Datensicherheit, Vertraulichkeit, Schnüffelwerkzeuge, Data Warehous
In den Warenkorb
74,00 €
Diplomarbeit von Bernd Jahn
Einleitung:
Die für den 1. Januar 2006 vorgesehene bundesweite Einführung der elektronischen Gesundheitskarte kann mit geschätzten 11 Milliarden Transaktionen und 23,6 Terabyte Datenaufkommen pro Jahr als eines der herausfordernsten IT-Projekte der Welt betrachtet werden. Jede Karte soll allgemeine Verwaltungs- und Abrechnungsdaten enthalten, gleichzeitig aber auch als elektronische Patientenakte fungieren. Daher sind nicht nur technische Aspekte von Bedeutung. Vielmehr stellt die damit verbundene Datenschutzproblematik die weitaus anspruchsvollere Aufgabe dar. So warnt die Kassenzahnärztliche Bundesvereinigung vor der geplanten zentralen Speicherung pseudonymisierter Daten, vor Möglichkeiten des Missbrauchs sensitiver Informationen und vor möglichen Sicherheitslücken.
Diese Angst scheint nicht gänzlich unbegründet, wurde doch bereits in den siebziger Jahren gezeigt, dass bei der Auswertung von rein zu statistischen Zwecken gesammelten Patientendaten Missbrauch sehr einfach ist. Mit Hilfe weniger zulässiger Anfragesequenzen, sogenannten Trackern, gelang es, Individualdaten offen zu legen und persönliche Dossiers anzufertigen.
Doch nicht nur im Gesundheitswesen, auch in anderen Bereichen des alltäglichen Lebens werden in hohem Maße personenbezogene Daten gesammelt. So sollen unter der Bezeichnung Terrorism Information Awareness (TIA) in den USA unzählige staatliche und private Datenbestände zusammengeführt und zum Zweck der weltweiten Terrorismusbekämpfung analysiert werden. Und auch unter kommerziellen Aspekten kommt es zu Analysezwecken immer öfter zu einer Erfassung sensitiver Daten eines Einzelnen. Bestes Beispiel hierfür sind die zahlreichen Bonusprogramme, wie das in Deutschland weit verbreitete PAYBACK Modell.
Vor dem Hintergrund dieser ständig wachsenden, in sämtlichen Lebensbereichen erhobenen Datensammlungen scheint es unaufhaltsam, dass sich der Einzelne immer mehr zu einem gläsernen Individuum entwickeln wird. Die zunehmende Verbreitung einfach zu handhabender, interaktiver Analysesysteme verstärkt diesen Trend noch. Das Verarbeitungskonzept des On-Line Analytical Processing (OLAP) mit seiner wachsenden Popularität ermöglicht es erstmals auch Anwendern auf Sachbearbeiter-Ebene, interaktive Analysen über große Datenbestände hinweg in Echtzeit durchzuführen.
Welche Gefahr für den Datenschutz sich hierbei aus der oben erwähnten, bereits dreißig Jahre alten Technik des Tracker-Angriffs ergeben kann, soll in dieser Arbeit aufgezeigt werden. Dafür liefert Kapitel 2 zunächst eine Definition des Konzeptes des On-Line Analytical Processing und zeigt die Verwandtschaft zu anderen Techniken auf.
In Kapitel 3 folgt nach einer kurzen Einführung in die Problematik der Informationssicherheit die detaillierte Untersuchung einzelner Tracker-Angriffe und deren Katalogisierung anhand eines definierten Kriterienkatalogs. Die Vorstellung möglicher Schutzmechanismen erfolgt in Kapitel 4, ergänzt um eine Bewertung ihrer praktischen Anwendbarkeit. Kapitel 5 fasst die ermittelten Ergebnisse zusammen und gibt einen Ausblick auf weiteren wissenschaftlichen Forschungsbedarf.
Inhaltsverzeichnis:
| 1. | Einführung und Motivation | 1 |
| 2. | OLAP: Begriffsbestimmung und Zusammenhänge | 3 |
| 2.1 | Abgrenzung des Begriffs „OLAP-System“ in Bezug zu klassischen Transaktionssystemen | 4 |
| 2.1.1 | Zwölf Regeln von Codd | 5 |
| 2.1.2 | Acronym FASMI | 8 |
| 2.1.3 | Tabellarische Gegenüberstellung | 9 |
| 2.1.4 | Zusammenfassung | 10 |
| 2.2 | Zusammenhang zwischen Data Warehouse-Systemen und OLAP-Systemen | 10 |
| 2.2.1 | Integrierte Datenbereitstellung durch den OLAP-Server | 10 |
| 2.2.2 | Data-Warehouse als optimiertes Integrationskonzept | 11 |
| 2.2.3 | Zusammenfassung | 13 |
| 2.3 | Zusammenhang zwischen OLAP-Systemen und statistischen Datenbanken | 14 |
| 2.3.1 | Historisch getrennte Entwicklung beider Systemklassen | 15 |
| 2.3.2 | Gemeinsamkeiten im Strukturteil | 16 |
| 2.3.3 | Gemeinsamkeiten im Operationsteil | 19 |
| 2.3.4 | Zusammenfassung und Ausblick | 20 |
| 3. | Tracker-Angriffe als Gefährdung der Informationssicherheit | 21 |
| 3.1 | Informationssicherheit in OLAP-Systemen | 21 |
| 3.1.1 | Vertraulichkeit als Zielkonflikt | 22 |
| 3.1.2 | Sicherheitsmaßnahmen in der technischen Infrastruktur | 23 |
| 3.1.3 | Sicherheitsmaßnahmen beim Anwendungsdesign | 23 |
| 3.1.4 | Sicherheitsmaßnahmen bei der Datensammlung | 25 |
| 3.1.5 | Inferenzproblematik | 28 |
| 3.2 | Untersuchungssituation und Kriterienkatalog für die Betrachtung von Tracker-Angriffen | 28 |
| 3.2.1 | Untersuchungssituation | 29 |
| 3.2.2 | Kriterienkatalog | 36 |
| 3.3 | Analyse und Katalogisierung der Tracker-Angriffe im Einzelnen | 39 |
| 3.3.1 | Individual Tracker | 40 |
| 3.3.2 | Individual Tracker mit Maske | 49 |
| 3.3.3 | General Tracker | 53 |
| 3.3.4 | Double Tracker | 59 |
| 3.3.5 | Range Tracker | 66 |
| 3.4 | Zusammenfassung | 72 |
| 4. | Maßnahmen zum Schutz vor Tracker-Angriffen | 74 |
| 4.1 | Abfrageüberwachung und –beschränkung | 75 |
| 4.1.1 | Beschränkung des Anfragetyps | 75 |
| 4.1.2 | Beschränkung der Zielmenge | 77 |
| 4.1.3 | Beschränkung der Anzahl der Attributausprägungen | 81 |
| 4.1.4 | Beschränkung der Anfrageüberschneidung | 82 |
| 4.2 | Verzerrung | 85 |
| 4.2.1 | Verzerrung der Datenbasis | 86 |
| 4.2.2 | Verzerrung der Abfrage | 90 |
| 4.2.3 | Zufallsstichproben | 94 |
| 4.3 | Schutz auf konzeptueller Ebene | 96 |
| 4.3.1 | Partitionierung | 96 |
| 4.3.2 | Mehrschichtige Sicherheitsmodelle | 99 |
| 5. | Fazit und Ausblick | 102 |
| Literaturverzeichnis | ||
| Erklärung |
Hierzu unterstelle man, ein Angreifer besitze das Vorwissen, dass es nur einen Verwaltungsmitarbeiter in der Finanzabteilung gibt. Die Basisbedingung lautet daher: C = Verw ∧ Fin. Diese lässt sich in die beiden Teilbedingungen A = Verw B = Fin aufspalten und daraus ein Individual Tracker T gemäß Gleichung 1 konstruieren: T = Verw ∧ ¬Fin. Betrachtet man die Zielmengen, stellt man fest, dass XT einelementig und XA zweielementig ist. Für k = 3 wäre Gleichung 2 nicht erfüllt, der zuvor beschriebene Angriff folglich nicht möglich, da Anfragen nach T und A, wie für Gleichung 3 benötigt, zurückgewiesen werden1. Gesucht wird daher ein Weg, Zielmengen künstlich „aufzublähen“, so dass diese mindestens k und höchstens N - k Elemente enthalten. In vielen Fällen ist hierfür eine Erweiterung der Bedingungen A und T um eine zusätzliche Formel M ausreichend [DeDS79, S. 81]. M wird auch als Maske bezeichnet und repräsentiert eine beliebige Menge, deren Elemente nicht zugleich die Bedingung A erfüllen. Folglich gilt: [...]
fizierenden Basisbedingung C eindeutig zu charakterisieren. Die Bedingung C muss in zwei Teilbedingungen C = A ∧ B aufteilbar sein. Für A muss k ≤ ZA ≤ N - k gelten. Die Durchführung selbst erfolgt in drei Schritten: Zunächst wird der Tracker T konstruiert mit T = A ∧ ¬B. Anschließend werden die beiden Anfragen q(A) und q(T) gestellt. Zuletzt wird der Wert für C ermittelt durch q(C) = q(A) - q(T). Maßgeblich für den Aufwand eines Angriffs mit dem Individual Tracker ist der Aufwand, der zur Ermittlung einer geeigneten Dekomposition von C benötigt wird [DeDS79, S. 90]. Besteht die identifizierende Basisbedingung aus m Attributausprägungen, so kann diese in 2m Teilbedingungen zerlegt werden. Ein Angreifer benötigt daher maximal 2m Anfragen, um eine geeignete Dekomposition zu finden. In Datenbasen realistischer Größenordnung sind meist zehn Attributausprägungen ausreichend, um ein Individuum zu eindeutig zu charakterisieren [Schl75, S. 8f.]. Somit werden höchstens 210 = 1024 Anfragen benötigt. Die beiden für die eigentliche Durchführung benötigten Anfragen sind zu vernachlässigen. Die Komplexität eines Angriffs mit dem Individual Tracker ist im Allgemeinen daher O(2m). Man beachte, dass der Aufwand für jedes zu untersuchende Individuum erneut anfällt, da jeweils ein eigener Tracker konstruiert werden muss. [...]
Betrachtet man einen Angriff mit dem Individual Tracker aus Makrosicht, so verletzt dieser das Sachziel der Vertraulichkeit. Ein Angreifer überprüft, ob ein Individuum eine qualitative Attributausprägung besitzt oder nicht („Ist Frau Klein in der Position einer Führungskraft beschäftigt?“), bzw. er ermittelt, wie hoch der exakte Wert eines quantitativen Attributs ist („Wie hoch ist die Bonuszahlung an Frau Klein im Monat Mai?“). Er ist jedoch nur berechtigt, Informationen über Gruppen von Individuen anzufragen, nicht über Einzelpersonen. Die Vertraulichkeit des Systems ist daher nicht sichergestellt. Einem Angriff mit dem Individual Tracker liegt formal gesehen ein Output-Problem zu Grunde [Schl84, S. 1]. Aus Mikrosicht werden dem Angreifer Informationen unzulässigerweise preisgegeben. Zwar ist er berechtigt, alle benötigten Abfrage-Operationen durchzuführen, doch kann er indirekt Rückschlüsse auf Daten von Einzelindividuen treffen. Da nur lesend auf die Datenbasis zugegriffen wird und keine Veränderungen oder Störungen stattfinden, ergeben sich weder aus Makro- noch aus Mikrosicht weitere Konsequenzen. Der Sicherheitsbruch hat seinen Ursprung in einer internen Quelle. Der Angreifer hat berechtigten Zugriff zum System. Alle gestellten Anfragen sind zulässig, jedoch werden die erlangten Ergebnisse missbräuchlich zum Rückschluss auf Individualdaten verwendet. Beim umgangenen Schutzmechanismus handelt es sich daher nicht um die Zugriffssteuerung, sondern ausschließlich um die Inferenzkontrolle. So wurde für den Individual Trakker das Vorhandensein einer Zielmengenbeschränkung k ≤ ZC ≤ N − k für k ≥ 0 gefordert. Ziel des Angriffs ist es, diese zu umgehen, indem das Resultat einer verbotenen Anfrage aus den Ergebnissen mehrerer zulässiger Anfragen indirekt berechnet wird. Da die Berechnung außerhalb des Systems durchgeführt werden muss, kann diese nur im vollen Bewußtstein des Angreifers erfolgen. Es liegt daher eindeutig ein arglistiger Angriff mit Vorsatz vor. Zur Durchführung des Angriffs muss der Angreifer Zugang zum System besitzen und berechtigt sein, beliebige Anfragen zu stellen, deren Zielmenge im Bereich k ≤ Z ≤ N − k liegt. Für die Zielmengenbeschränkung muss lediglich gelten, dass 0 ≤ k ≤ N/2. Einher mit dem legitimen Zugang zum System geht die Kenntnis des Angreifers über die möglichen Wertebereiche der verwendeten Attribute. Ferner wird zwingend vorausgesetzt, dass der Angreifer entsprechendes Vorwissen besitzt, um ein Individuum anhand einer identiBernd Jahn 47 [...]
In den Warenkorb
74,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832488710
Arbeit zitieren:
Jahn, Bernd September 2004: Analyse und Katalogisierung von Tracker-Angriffen in OLAP-Systemen und Bewertung möglicher Lösungsalternativen, Hamburg: Diplomica Verlag
Schlagworte:
Inferenzproblematik, Datensicherheit, Vertraulichkeit, Schnüffelwerkzeuge, Data Warehous
Entdecken Sie mehr zum Thema
