Datenschutzfreundliche Smartphone-Anwendungen ohne Kompromisse (AppPETs)
Motivation
Smartphones und zahlreiche Apps unterstützen den Großteil unserer Bevölkerung im Alltag. Erst durch die Verknüpfung mit unseren persönlichen Daten gewinnen die unzähligen Apps aus den verschiedensten Anwendungsbereichen an Mehrwert. Hierfür werden oftmals persönlichen Daten auf dem SmartPhone vom App erfasst und auf einem Server abgelegt. Inwiefern jene persönliche Daten zur Zweckerfüllung verarbeitet und versandt werden müssen lässt sich im Allgemeinen nicht beantworten. Auch ist es zunehmend schwer Aussagen darüber zu treffen, ob für übertragene Daten Schutz vor Ausspähung oder anderen Gefährdungen hinreichend gegeben sind, selbst wenn eine verschlüsselte Verbindung zum jeweiligen Server besteht. Darüber hinaus stellt sich die Frage, inwiefern der Benutzer in die Übertragung seiner Daten involviert ist. Stimmt der Benutzer der Übertragung dessen Daten je nach Kontext zu? Müssen auf externen Cloud-Diensten abgelegte Daten durch Dritte in interpretierbarer Form abgelegt werden oder könnte es ggf. reichen, wenn diese Daten nur vom Benutzer korrekt interpretiert werden können?
Im Zuge der Sensibilisierung für IT-Sicherheit auch unter Entwicklern stellt sich darüber hinaus die Frage, ob typische Entwickler auch hinreichend Kenntnisse im Gebrauch mit komplexen Sicherheitslösungen mitbringen oder stattdessen oftmals durch externe Bibliotheken angebotene Verfahren unzureichend oder mit falschen Parametern in Anspruch nehmen.
Ziele
Das „AppPETs“-Projekt fokussiert die Entwicklung einer Privacy-Bibliothek (kurz P-Lib), die zum einem ein Set von unterschiedlichen Sicherheitslösungen anbietet, deren Gebrauch minimale Kenntnisse erfordert, zum anderen dafür Sorge leistet, dass private Daten eines Benutzers niemals ohne Selbstbestimmung des Benutzers das Gerät in durch Dritte interpretierbaren Form verlassen. Hierzu stellt die P-Lib zahlreiche Schnittstellen bereit, die ein App-Entwickler zur Wahrung der Privatsphäre dessen zukünftiger Benutzer in Anspruch nehmen kann. Hierzu werden Daten vor dem Verlassen eines Gerätes bspw. durch die P-Lib verschlüsselt, anonymisiert, pseudonymisiert oder durch komplexe Privacy-enhaced Technologien (PETs) geschützt. Innerhalb der P-Lib und somit außerhalb des Einflussbereiches eines App-Entwicklers kann durch den Gebrauch von Schnittstellen der P-Lib veranlasst werden, dass der Benutzer zur Laufzeit darüber informiert wird, dass bestimmte Daten nach außen getragen werden sollen und dieser kann jenen Datenfluss in eigenen Ermessen unterbinden oder autorisieren.
Dass keine Seitenkanäle auftreten, in der private Daten dennoch ohne Zustimmung der Benutzer in Rohform oder außerhalb des Einflussbereiches der P-Lib übertragen werden, dafür sorgt eine quellcode-unabhängige Auditierung einer App in Form einer statischen und dynamischen Analyse mit der zielgerichteten Ausstellung eines Privatsphären-Gütesiegels, welches als Anreiz für einen Marktwettbewerbsvorteil dienen kann.
Das Projekt AppPETs wird vom BMBF im Rahmen des Calls Datenschutz: „selbstbestimmt in der digitalen Welt“ von Februar 2016 bis Januar 2019 gefördert.