Introduction to Privacy - Exam

Aufgabe 1)

Betrachte die Entwicklung des Datenschutzes von den Anfängen bis heute. Insbesondere wurden viele Meilensteine erreicht, wie das Hessische Datenschutzgesetz von 1970, die OECD-Datenschutzrichtlinien von 1980, die EU-Datenschutzrichtlinie von 1995 und die DSGVO von 2018. Diese Entwicklungen haben die Art und Weise, wie Daten in der Informatik behandelt und geschützt werden, nachhaltig beeinflusst. Mit dem heutigen Ansatz von „Privacy by Design“ und „Privacy by Default“ wird Datenschutz als integraler Bestandteil in der Entwicklung von IT-Systemen anerkannt.

a)

A. Analysiere die Auswirkungen der Einführung der DSGVO im Jahr 2018 auf die IT-Systementwicklung. Diskutiere insbesondere, wie die Prinzipien „Privacy by Design“ und „Privacy by Default“ in moderne IT-Systeme integriert werden. Gib konkrete Beispiele und mögliche Herausforderungen an.

Lösung:

Die Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat erhebliche Auswirkungen auf die Entwicklung von IT-Systemen gehabt. Im Mittelpunkt der DSGVO stehen die Prinzipien „Privacy by Design“ und „Privacy by Default“, die sicherstellen sollen, dass der Datenschutz von Anfang an in die Entwicklung integriert wird und datenschutzfreundliche Voreinstellungen standardmäßig etabliert sind.

• Privacy by Design: Dieses Prinzip bedeutet, dass der Datenschutz bereits in der Designphase eines IT-Systems berücksichtigt wird. Es umfasst Maßnahmen wie Pseudonymisierung, Datenminimierung und die Implementierung von Sicherheitsvorkehrungen.
  • Beispiele:
    • Eine E-Commerce-Plattform, die sich dazu entschließt, nur die minimal notwendigen personenbezogenen Daten von Kunden zu erfassen.
    • Ein Gesundheitsdienstleister, der Patientendaten pseudonymisiert, bevor sie zu Forschungszwecken genutzt werden.
• Privacy by Default: Dies bedeutet, dass die strengsten Datenschutzeinstellungen standardmäßig aktiviert sind, ohne dass der Benutzer selbst aktiv werden muss. Nur die für den jeweiligen Zweck notwendigen Daten sollten verarbeitet werden.
  • Beispiele:
    • Eine Social-Media-Plattform, auf der die Profileinstellungen standardmäßig auf „Privat“ gesetzt sind, sodass nur bestätigte Freunde oder Kontakte Zugriff haben.
    • Eine Applikation, die standardmäßig alle Daten verschlüsselt speichert und nur den notwendigsten Zugriff gestattet.

Herausforderungen:

• Komplexität der Implementierung: Die Integration von Privacy by Design und Privacy by Default kann besonders für kleinere Unternehmen mit begrenzten Ressourcen kompliziert und kostspielig sein.
• Bewusstsein und Schulung: Entwickler und IT-Teams müssen entsprechend geschult und für Datenschutzfragen sensibilisiert werden. Es erfordert kontinuierliche Weiterbildung und Bewusstsein für aktuelle bedarf und Vorschriften.
• Technologische Anpassungen: Bestehende Systeme müssen häufig aufwändig angepasst oder sogar komplett neu entwickelt werden, um den DSGVO-Anforderungen zu entsprechen. Dies kann sowohl zeitlich als auch finanziell sehr aufwendig sein.
• Nutzerkonformität: Benutzerfreundlichkeit der Anwendungen muss mit den strengen Datenschutzvorgaben in Einklang gebracht werden. Ein Kompromiss zwischen Datenschutz und Funktionalität kann notwendig sein, was nicht immer einfach umzusetzen ist.

b)

B. Berechne die potenziellen finanziellen Auswirkungen einer Datenschutzverletzung nach der DSGVO, vorausgesetzt, ein Unternehmen hat einen Umsatz von 50 Millionen Euro im Jahr und die Verletzung wird mit einer Geldstrafe von 4% des Jahresumsatzes geahndet. Diskutiere weiterhin, welche präventiven Maßnahmen ein Unternehmen ergreifen könnte, um solche Strafen zu vermeiden.

Lösung:

Die DSGVO schreibt vor, dass Unternehmen bei Datenschutzverletzungen mit Geldstrafen belegt werden können, die bis zu 4% des weltweiten Jahresumsatzes betragen. Bei einem Unternehmen, das einen Jahresumsatz von 50 Millionen Euro erzielt, sehen die potenziellen finanziellen Auswirkungen einer Datenschutzverletzung wie folgt aus:

• Berechnung der potenziellen Geldstrafe:

  Die Geldstrafe beträgt 4% des Jahresumsatzes von 50 Millionen Euro.

  4% von 50.000.000 Euro = 0,04 * 50.000.000 = 2.000.000 Euro.

  Das Unternehmen muss also mit einer Geldstrafe von bis zu 2.000.000 Euro rechnen.

Präventive Maßnahmen:

• Datenschutzmanagementsystem: Einführung eines umfassenden Datenschutzmanagementsystems (DSMS), das regelmäßig überwacht und geprüft wird, um sicherzustellen, dass alle Datenschutzvorgaben eingehalten werden.
• Schulung und Sensibilisierung: Regelmäßige Schulungen für Mitarbeiter im Umgang mit personenbezogenen Daten und Sensibilisierung für Datenschutzthemen. Mitarbeiter sollten wissen, wie sie datenschutzkonforme Verfahren anwenden und erkennen können.
• Technische und organisatorische Maßnahmen: Implementierung fortlaufender technischer Maßnahmen wie Verschlüsselung, Pseudonymisierung, Firewalls und regelmäßige Sicherheitsupdates. Organisatorische Maßnahmen umfassen die Definition klarer Zugangsberechtigungen und regelmäßiger Sicherheitstests.
• Datenschutz-Folgenabschätzung (DSFA): Durchführung regelmäßiger Datenschutz-Folgenabschätzungen bei neuen Projekten oder Systemen, die personenbezogene Daten verarbeiten, um potenzielle Risiken frühzeitig zu erkennen und zu minimieren.
• Externe Beratung: Hinzuziehung von Datenschutzexperten oder Datenschutzbeauftragten, um sicherzustellen, dass die aktuellen Richtlinien und Gesetze eingehalten werden und regelmäßig überprüft werden.
• Sofortige Reaktionspläne: Erstellung und Implementierung von Reaktionsplänen für den Fall einer Datenschutzverletzung. Diese Pläne sollten Maßnahmen zur Schadensbegrenzung und Benachrichtigung der betroffenen Personen und Aufsichtsbehörden beinhalten.

Durch die Implementierung dieser präventiven Maßnahmen kann ein Unternehmen die Risiken einer Datenschutzverletzung minimieren und im Falle einer Untersuchung durch die Aufsichtsbehörden nachweisen, dass es ernsthafte Anstrengungen unternommen hat, um die Bestimmungen der DSGVO einzuhalten.

Aufgabe 2)

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz und die Privatsphäre von Personen in der Europäischen Union (EU). Sie ist seit dem 25. Mai 2018 in Kraft. Zu den grundlegenden Prinzipien der DSGVO gehören Transparenz, Rechtmäßigkeit und Zweckbindung. Zu den wichtigen Rechten, die die DSGVO den betroffenen Personen gewährt, zählen das Auskunftsrecht, das Recht auf Berichtigung und das Recht auf Löschung. Unternehmen sind verpflichtet, Datenschutzbeauftragte zu benennen, und können bei Verstößen mit hohen Geldstrafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes belegt werden. Die Verarbeitung personenbezogener Daten ist nur mit ausdrücklicher Zustimmung der betroffenen Person oder aufgrund gesetzlicher Erlaubnis zulässig. Zusätzlich hat die betroffene Person das Recht auf Datenportabilität, wobei die Daten in einem maschinenlesbaren Format bereitgestellt werden müssen.

a)

Beschreibe das Recht auf Datenportabilität nach der DSGVO und erläutere, welche Herausforderungen dies für Unternehmen mit sich bringen kann.

• Was bedeutet das Recht auf Datenportabilität?
• Welche technischen und organisatorischen Maßnahmen müssen Unternehmen ergreifen, um diesem Recht zu entsprechen?

Lösung:

Beschreibung des Rechts auf Datenportabilität nach der DSGVO

• Was bedeutet das Recht auf Datenportabilität?

Das Recht auf Datenportabilität gemäß der DSGVO erlaubt betroffenen Personen, ihre personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Zudem haben sie das Recht, diese Daten ohne Behinderung von einem Verantwortlichen zu einem anderen zu übertragen, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

• Welche technischen und organisatorischen Maßnahmen müssen Unternehmen ergreifen, um diesem Recht zu entsprechen?

Die Umsetzung des Rechts auf Datenportabilität stellt Unternehmen vor verschiedene Herausforderungen, sowohl auf technischer als auch auf organisatorischer Ebene:

• Technische Maßnahmen:
  • Unternehmen müssen ihre IT-Systeme so gestalten, dass sie personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. CSV oder XML) bereitstellen können.
  • Es müssen Schnittstellen (APIs) entwickelt werden, die eine sichere und einfache Übertragung der Daten ermöglichen.
  • Datenformate müssen standardisiert werden, um eine Interoperabilität zwischen verschiedenen Systemen zu gewährleisten.
  • Es müssen Sicherheitsmaßnahmen implementiert werden, um die Integrität und Vertraulichkeit der Daten während der Übertragung zu gewährleisten.
• Organisatorische Maßnahmen:
  • Unternehmen müssen interne Prozesse und Verantwortlichkeiten definieren, um Anfragen zur Datenportabilität effizient bearbeiten zu können.
  • Mitarbeiter müssen geschult werden, um die Anforderungen der DSGVO in Bezug auf das Recht auf Datenportabilität zu verstehen und umzusetzen.
  • Es müssen Ressourcen bereitgestellt werden, um die technischen Lösungen zu entwickeln und zu warten.
  • Unternehmen müssen sicherstellen, dass sie eine klare und transparente Kommunikation mit den betroffenen Personen führen, um den Ablauf der Datenportabilität zu erklären.

Die Einhaltung des Rechts auf Datenportabilität kann somit aufwendig sein, bringt jedoch auch Vorteile: sie stärkt das Vertrauen der Kunden und fördert die Transparenz im Umgang mit personenbezogenen Daten.

b)

Berechne die maximale Geldstrafe, die ein Unternehmen zahlen müsste, wenn es gegen die DSGVO verstößt, und erläutere anhand eines Beispiels, wie diese Summe zustande kommen könnte.

• Wenn ein Unternehmen im vorherigen Geschäftsjahr einen globalen Umsatz von 50 Millionen Euro hatte, wie hoch wäre die 4%-Strafe nach der DSGVO?

Formel: Die maximale Geldstrafe kann bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, betragen: Rechnung:

Globaler Umsatz = 50.000.000 € % Strafe = 4/100 * 50.000.000 € = 2.000.000 € 

• Erläutere anhand eines Beispiels, warum eine solch hohe Strafe verhängt werden könnte.

Lösung:

Berechnung der maximalen Geldstrafe nach der DSGVO

• Wenn ein Unternehmen im vorherigen Geschäftsjahr einen globalen Umsatz von 50 Millionen Euro hatte, wie hoch wäre die 4%-Strafe nach der DSGVO?

Die maximale Geldstrafe bei einem Verstoß gegen die DSGVO kann entweder 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Berechnung:

Globaler Umsatz = 50.000.000 €% Strafe = 4/100 * 50.000.000 € = 2.000.000 €

In diesem Fall ist 2.000.000 Euro (4% des Jahresumsatzes) niedriger als 20 Millionen Euro, daher beträgt die maximale Geldstrafe für dieses Unternehmen 20 Millionen Euro.

• Erläutere anhand eines Beispiels, warum eine solch hohe Strafe verhängt werden könnte.

Beispiel: Ein großes Technologieunternehmen sammelt und verarbeitet personenbezogene Daten von Millionen von Nutzern ohne deren ausdrückliche Zustimmung. Diese Daten werden für gezielte Werbezwecke verwendet und an Drittunternehmen verkauft. Trotz wiederholter Warnungen verstößt das Unternehmen weiterhin gegen die grundlegenden Prinzipien der DSGVO wie Transparenz, Rechtmäßigkeit und Zweckbindung. Als Folge dieses groben und wiederholten Verstoßes könnte die Aufsichtsbehörde eine maximale Geldstrafe verhängen, um die Schwere des Verstoßes zu unterstreichen, die betroffenen Personen zu schützen und andere Unternehmen zu warnen.

Aufgabe 3)

Betrachte die folgenden Methoden zur Datenanonymisierung: Aggregation, Pseudonymisierung, K-Anonymität, L-Diversität, T-Closeness. Gegeben sei eine Datenbank, die personenbezogene Daten enthält, darunter Name, Alter, Geschlecht und die diagnostizierte Krankheit. Die Datenbank enthält die folgenden Datensätze:

• Name: Alice, Alter: 30, Geschlecht: weiblich, Krankheit: Grippe
• Name: Bob, Alter: 45, Geschlecht: männlich, Krankheit: Grippe
• Name: Clara, Alter: 28, Geschlecht: weiblich, Krankheit: COVID-19
• Name: David, Alter: 41, Geschlecht: männlich, Krankheit: COVID-19
• Name: Eva, Alter: 30, Geschlecht: weiblich, Krankheit: Grippe
• Name: Frank, Alter: 45, Geschlecht: männlich, Krankheit: COVID-19

Verwende die gegebenen Anonymisierungsmethoden auf die Datenbank und beantworte die folgenden Fragen:

a)

Aggregiere die Datensätze nach Geschlecht und Krankheit. Überprüfe, ob Information über individuelle Personen vollständig anonymisiert wird und begründe deine Antwort.

Lösung:

Aggregation nach Geschlecht und Krankheit

Aggregiere die Datensätze nach den Attributen Geschlecht und Krankheit. Wir werden die Anzahl der Personen in jeder Gruppe zählen. Hier sind die aggregierten Daten:

• Weiblich, Grippe: 2 Personen (Alice, Eva)
• Weiblich, COVID-19: 1 Person (Clara)
• Männlich, Grippe: 1 Person (Bob)
• Männlich, COVID-19: 2 Personen (David, Frank)

Auf diese Weise aggregiert, sehen die Daten wie folgt aus:

Geschlecht | Krankheit | Anzahl--------------------------------Weiblich  | Grippe    | 2Weiblich  | COVID-19  | 1Männlich  | Grippe    | 1Männlich  | COVID-19  | 2

Analyse der Anonymisierung:

• Die aggregierten Daten erlauben es nicht, individuelle Personen genau zu identifizieren, da keine spezifischen Namen oder individuellen Informationen wie Alter in der Aggregation enthalten sind.
• Allerdings gibt es eine potenzielle Einschränkung: Wenn eine Kategorie nur einen Eintrag hat (wie „Weiblich, COVID-19“ oder „Männlich, Grippe“), könnte es möglich sein, diese einzelne Person zu identifizieren, wenn zusätzliche Informationen bekannt sind.
• Die Aggregation allein schützt möglicherweise nicht ausreichend die Identität von Personen, insbesondere in Fällen, in denen eine niedrige Anzahl von Personen in einer Kategorie vorhanden ist. In solchen Fällen könnten zusätzliche Anonymisierungstechniken wie K-Anonymität oder L-Diversität erforderlich sein.

b)

Wende die Methode der K-Anonymität auf die gegebene Datenbank an und stelle sicher, dass K=2 ist. Zeige die Schritte und das Endergebnis.

Lösung:

K-Anonymität anwenden (K=2)

K-Anonymität ist eine Methode, um sicherzustellen, dass jede Person in der Datenbank nicht von weniger als K-1 anderen Personen unterschieden werden kann. Hier wurde K=2 festgelegt, was bedeutet, dass jede Kombination von quasi-identifizierenden Attributen mindestens 2 Mal vorkommen muss.

Um K-Anonymität zu erreichen, können wir die quasi-identifizierenden Attribute (Alter und Geschlecht) verallgemeinern. Eine Möglichkeit ist, die Altersgruppen zu erweitern oder das Alter zu unterdrücken.

Lass uns das Alter so verallgemeinern, dass jede Altersgruppe mindestens zwei Personen enthält:

• Age 30-35 für die Altersgruppen 30-34
• Age 40-45 für die Altersgruppen 40-44
• Age 28-45 für die Altersgruppen 45

Hier sind die ursprünglichen Datensätze:

Name | Alter | Geschlecht | Krankheit-------------------------------------Alice | 30 | Weiblich | GrippeBob | 45 | Männlich | GrippeClara | 28 | Weiblich | COVID-19David | 41 | Männlich | COVID-19Eva | 30 | Weiblich | GrippeFrank | 45 | Männlich | COVID-19

Nun verallgemeinern wir die Daten für K=2:

Geschlecht | Alter     | Krankheit--------------------------------Weiblich  | 30-35     | GrippeWeiblich  | 30-35      | GrippeWeiblich  | 28-35     | COVID-19Männlich  | 40-45     | GrippeMännlich  | 40-45     | COVID-19Männlich  | 45-  | COVID-19

Jeder Datensatz entspricht nun mindestens einer anderen Person bezüglich der verallgemeinerten quasi-identifizierenden Attribute (Geschlecht und Alterskategorie).

Analyse der Anonymisierung::

• Jede Altersgruppe und Geschlecht-Kombination kommt mindestens zweimal vor, was sicherstellt, dass keine Person von weniger als einer anderen unterschieden werden kann. Damit ist K=2 erfüllt.
• Diese Methode schützt die Identität der Personen im Datensatz, indem sie sicherstellt, dass jede Person in einer Gruppe von mindestens zwei Personen ununterscheidbar ist.
• Weitere Verfeinerungen könnten vorgenommen werden, um die Anonymität zu verstärken oder zu gewährleisten, dass die Daten weiterhin nützlich sind.

c)

Berechne die L-Diversität für die anonymisierten Datensätze aus Aufgabe 2. Erkläre, ob die Resultate K-Anonymität und L-Diversität gewährleisten.

Lösung:

Berechnung der L-Diversität

Zunächst erinnern wir uns an die in Aufgabe 2 anonymisierten Datensätze, bei denen K=2 erfüllt ist:

Geschlecht | Alter     | Krankheit---------------------------------Weiblich  | 30-34     | GrippeWeiblich  | 30-34     | GrippeWeiblich  | 28        | COVID-19Männlich  | 40-45     | GrippeMännlich  | 40-45     | COVID-19Männlich  | 45        | COVID-19

Bestimmung der L-Diversität: L-Diversität erfordert, dass jede Gruppe von quasi-identifizierenden Attributen mindestens L unterschiedliche Werte für das sensitive Attribut (hier: Krankheit) enthält.

Jede Gruppe hiervon wird untersucht:

• Gruppe 1: Weiblich, 30-34Krankheit: GrippeDiese Gruppe hat eine L-Diversität von 1 (nur eine unterschiedliche Krankheit: Grippe).
• Gruppe 2: Weiblich, 28Krankheit: COVID-19Diese Gruppe hat eine L-Diversität von 1 (nur eine unterschiedliche Krankheit: COVID-19).
• Gruppe 3: Männlich, 40-45Krankheit: Grippe, COVID-19Diese Gruppe hat eine L-Diversität von 2 (zwei unterschiedliche Krankheiten: Grippe und COVID-19).
• Gruppe 4: Männlich, 45Krankheit: COVID-19Diese Gruppe hat eine L-Diversität von 1 (nur eine unterschiedliche Krankheit: COVID-19).

Analyse der Ergebnisse:

• In den anonymisierten Datensätzen aus Aufgabe 2 ist für L=2 nur die Gruppe „Männlich, 40-45“ L-divers, da sie zwei unterschiedliche Krankheiten enthält.
• Die anderen Gruppen haben nur eine Krankheit, weshalb sie keine ausreichende Diversität aufweisen, um L=2 zu erfüllen.
• Während die K-Anonymität (K=2) gewährleistet ist, ist die L-Diversität (L=2) in diesen Datensätzen nicht vollständig erfüllt. Dies zeigt, dass die Daten in Bezug auf sensible Informationen wie Krankheiten noch verletzbar sind.

Aufgabe 4)

Verschlüsselungstechniken und ihre AnwendungenMethoden zur Sicherung von Informationen durch Umwandlung in nicht lesbare Form; Schutz vor unbefugtem Zugriff.

• Symmetrische Verschlüsselung: gleicher Schlüssel für Ver- und Entschlüsselung; z.B. AES
• Asymmetrische Verschlüsselung: öffentlich/privat Schlüsselpaar; z.B. RSA
• Hashfunktionen: Einweg-Verschlüsselung; z.B. SHA-256
• VPNs: Sicherer Tunnel für Datenverkehr
• SSL/TLS: Sicherung von Datenübertragungen im Internet

a)

Erläutere den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung und gib jeweils ein praktisches Beispiel zur Anwendung der beiden Methoden im täglichen Leben.

Lösung:

Unterschied zwischen symmetrischer und asymmetrischer VerschlüsselungSymmetrische und asymmetrische Verschlüsselung sind zwei grundlegende Methoden zur Sicherung von Informationen. Beide haben ihre spezifischen Anwendungsgebiete und Sicherheitsmerkmale.

• Symmetrische Verschlüsselung: Bei der symmetrischen Verschlüsselung wird der gleiche Schlüssel sowohl für die Ver- als auch für die Entschlüsselung verwendet. Das bedeutet, dass sowohl Sender als auch Empfänger denselben geheimen Schlüssel kennen und nutzen müssen. Ein bekanntes Beispiel für einen symmetrischen Verschlüsselungsalgorithmus ist AES (Advanced Encryption Standard).
  • Beispiel: In einem Unternehmen verwenden Mitarbeiter eine symmetrische Verschlüsselung, um vertrauliche Dokumente intern zu senden. Der Schlüssel wird einmal sicher ausgetauscht und dann genutzt, um die Dokumente zu verschlüsseln und zu entschlüsseln.
• Asymmetrische Verschlüsselung: Bei der asymmetrischen Verschlüsselung wird ein Paar von Schlüsseln verwendet: ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche Schlüssel dient zur Verschlüsselung der Daten, während der private Schlüssel zur Entschlüsselung genutzt wird. Ein bekanntes Beispiel für einen asymmetrischen Verschlüsselungsalgorithmus ist RSA.
  • Beispiel: Beim Online-Banking verwendet die Bank asymmetrische Verschlüsselung, um die Kommunikation zwischen dem Kunden und der Bank zu sichern. Der Kunde verschlüsselt seine Daten mit dem öffentlichen Schlüssel der Bank, und nur die Bank kann diese Daten mit ihrem privaten Schlüssel entschlüsseln.

b)

Angenommen, du hast eine Textdatei mit dem Inhalt 'Datenschutz'. Verschlüssele diesen Text mit einem symmetrischen Verschlüsselungsverfahren (z.B. AES) und zeige die einzelnen Schritte der Ver- und Entschlüsselung. Verwende dafür den Schlüssel 'mysecretkey'.

Lösung:

Verschlüsselung einer Textdatei mit AESDas symmetrische Verschlüsselungsverfahren AES (Advanced Encryption Standard) wird verwendet, um eine Textdatei zu verschlüsseln. Wir nehmen an, dass der Text 'Datenschutz' ist und der Schlüssel 'mysecretkey'. Die einzelnen Schritte sind wie folgt:

• Schlüsselvorbereitung: Der Schlüssel 'mysecretkey' muss in ein Format gebracht werden, das AES verwenden kann. AES unterstützt Schlüssel mit einer Länge von 128, 192 oder 256 Bit. Der Schlüssel 'mysecretkey' wird auf die benötigte Länge gepaddet (ergänzt).
• Verfahren: Wir verwenden das AES-Verfahren im CBC-Modus (Cipher Block Chaining) mit einem Initialisierungsvektor (IV). Für die Einfachheit nehmen wir einen zufällig generierten IV.
• Bibliothek: Wir verwenden die Python-Bibliothek 'pycryptodome' für die Implementierung.
• Quellcode:

from Crypto.Cipher import AESfrom Crypto.Random import get_random_bytesfrom Crypto.Util.Padding import pad, unpadimport binascii# Text und Schlüsseltext = 'Datenschutz'schluessel = 'mysecretkey'# Schlüssel und IV Vorbereitungkey = schluessel.ljust(32)[:32].encode('utf-8')IV = get_random_bytes(16)# Ver- und Entschlüsselungsobjekte erstellencipher = AES.new(key, AES.MODE_CBC, IV)# Verschlüsselungplaintext_bytes = text.encode('utf-8')padded_plaintext = pad(plaintext_bytes, AES.block_size)ciphertext_bytes = cipher.encrypt(padded_plaintext)ciphertext_hex = binascii.hexlify(ciphertext_bytes).decode('utf-8')print(f'Verschlüsselter Text (Hex): {ciphertext_hex}')# Entschlüsselungdecipher = AES.new(key, AES.MODE_CBC, IV)deciphered_padded_plaintext = decipher.decrypt(ciphertext_bytes)deciphered_plaintext = unpad(deciphered_padded_plaintext, AES.block_size)deciphered_text = deciphered_plaintext.decode('utf-8')print(f'Entschlüsselter Text: {deciphered_text}')

• Schritte der Ver- und Entschlüsselung:
  1. Schlüsselumwandlung: Der Schlüssel 'mysecretkey' wird auf 32 Zeichen aufgestockt oder abgeschnitten, um eine gültige Länge für AES zu haben.
  2. Initialisierungsvektor (IV): Ein zufälliges IV wird generiert, um zusätzliche Sicherheit zu gewährleisten.
  3. Plaintext-Padding: Der Text 'Datenschutz' wird gepolstert, damit seine Länge ein Vielfaches der Blockgröße (16 Byte) ist.
  4. Verschlüsselung: Der polsterte Text wird mit dem angegebenen Schlüssel und IV verschlüsselt.
  5. Entschlüsselung: Der verschlüsselte Text wird mit demselben Schlüssel und IV entschlüsselt, und das Padding wird entfernt, um den ursprünglichen Text zurückzugewinnen.

c)

Erkläre die Funktionsweise von Hashfunktionen und warum diese in der Praxis besonders wichtig sind. Berechne den SHA-256 Hashwert für den Text 'Sicherheit' und interpretiere das Ergebnis.

Lösung:

Funktionsweise von HashfunktionenHashfunktionen sind mathematische Algorithmen, die eine Eingabedatei oder einen Text in eine feste Länge von Bits (den sogenannten Hashwert) umwandeln. Dabei gilt:

• Deterministisch: Dieselbe Eingabe gibt immer denselben Hashwert.
• Einweg-Funktion: Es ist praktisch unmöglich, die ursprüngliche Eingabe allein aus dem Hashwert zu rekonstruieren.
• Kollisionsresistenz: Unterschiedliche Eingaben sollten nicht denselben Hashwert erzeugen.
• Schnelligkeit: Der Hashwert kann sehr schnell berechnet werden.

Hashfunktionen sind besonders wichtig für:

• Datensicherheit: Überprüfen der Integrität von Daten, um sicherzustellen, dass sie nicht manipuliert wurden.
• Kryptografische Anwendungen: Passwortspeicherung, digitale Signaturen und Blockchain-Technologie.
• Datenverwaltung: Schnelles Auffinden von Datensätzen durch Vergleich von Hashwerten.

Berechnung des SHA-256 Hashwerts für den Text 'Sicherheit'Der SHA-256 (Secure Hash Algorithm 256-bit) ist eine weit verbreitete kryptografische Hashfunktion. Hier zeigen wir, wie man den Hashwert für den Text 'Sicherheit' berechnet und das Ergebnis interpretiert.

• Quellcode:

import hashlib# Texttext = 'Sicherheit'# SHA-256 Hash-Berechnunghash_object = hashlib.sha256(text.encode('utf-8'))sha256_hash = hash_object.hexdigest()print(f'SHA-256 Hashwert: {sha256_hash}')

• Interpretation des Ergebnisses: Der SHA-256 Hashwert für den Text 'Sicherheit' ist:

  SHA-256 Hashwert: 044c55af46fb3fd3f357f81c2abc10893b5b0c8655341a307f91e6d6a24c6a26

  • Feste Länge: Der Hashwert ist immer 64 Hexadezimalzeichen (256 Bit) lang, unabhängig von der Länge der Eingabe.
  • Deterministisch: Jedes Mal, wenn wir den Text 'Sicherheit' hashen, erhalten wir denselben Hashwert.
  • Einweg-Eigenschaft: Es ist praktisch unmöglich, den ursprünglichen Text 'Sicherheit' aus diesem Hashwert zu rekonstruieren.
  • Kollisionsresistenz: Es ist äußerst unwahrscheinlich, dass ein anderer Text denselben Hashwert wie 'Sicherheit' erzeugt.

• Hashfunktionen wie SHA-256 bieten somit eine sichere Methode zur Validierung und Integritätssicherung von Daten.

d)

In einem Unternehmen wird ein VPN genutzt, um sichere Verbindungen für remote arbeitende Mitarbeiter zu gewährleisten. Entwirf ein Szenario, in dem ein VPN besonders vorteilhaft ist, und erläutere, wie die Datenverschlüsselung dabei umgesetzt wird.

Lösung:

Zenario zur Nutzung eines VPN in einem UnternehmenStellen wir uns folgendes Szenario vor: Ein Unternehmen hat mehrere Mitarbeiter, die von verschiedenen Standorten aus remote arbeiten. Diese Mitarbeiter müssen regelmäßig auf sensible Unternehmensdaten zugreifen, die auf internen Servern gespeichert sind.VPN Einsatz im Szenario:

• Situation: Ein Mitarbeiter arbeitet von einem Café aus und muss auf das interne Netzwerk des Unternehmens zugreifen.

• Herausforderung: Öffentliche WLAN-Netzwerke, wie das im Café, sind oft unsicher und können von Cyberkriminellen überwacht werden. Es besteht die Gefahr, dass vertrauliche Informationen abgefangen werden.

Vorteile des VPN:

• Sichere Verbindung: Durch die Nutzung eines VPN (Virtual Private Network) wird eine sichere, verschlüsselte Verbindung zwischen dem Gerät des Mitarbeiters und dem internen Netzwerk des Unternehmens erstellt.
• Anonymität und Datenschutz: Das VPN verbirgt die IP-Adresse des Mitarbeiters, was zusätzliche Sicherheit und Anonymität bietet.
• Geografische Unabhängigkeit: Der Mitarbeiter kann von überall auf der Welt auf die internen Ressourcen zugreifen, solange er eine Internetverbindung hat.
• Umgehung von geografischen Beschränkungen: Der Zugriff auf regionale Inhalte oder Dienste, die im Arbeitsprozess benötigt werden, kann durch das VPN ermöglicht werden.

Implementierung der Datenverschlüsselung bei VPN:

• 1. Verbindung herstellen: Der Mitarbeiter startet eine VPN-Verbindung zu einem VPN-Server des Unternehmens. Die Authentifizierung erfolgt mittels Benutzernamen und Passwort oder über ein stärkeres Authentifizierungsverfahren wie Zwei-Faktor-Authentifizierung (2FA).
• 2. Aufbau eines Tunnels: Sobald die Authentifizierung erfolgreich ist, wird ein sicherer „Tunnel“ zwischen dem Gerät des Mitarbeiters und dem VPN-Server erstellt, der sämtliche Daten verschlüsselt.
• 3. Datenverschlüsselung: Der Datenverkehr durch den VPN-Tunnel wird mit starken Verschlüsselungsstandards wie AES-256 (Advanced Encryption Standard) verschlüsselt. Dies stellt sicher, dass selbst wenn Daten abgefangen werden, sie nicht lesbar sind.
• 4. Kommunikation: Alle Anfragen und Daten, die der Mitarbeiter sendet und empfängt, werden durch den VPN-Tunnel geleitet. Der VPN-Server leitet diese Anfragen an das interne Netzwerk des Unternehmens oder das Internet weiter und empfängt die Antworten, die ebenfalls verschlüsselt zurückgeschickt werden.
  • Beispiel: Der Mitarbeiter möchte auf eine interne Datenbank zugreifen. Seine Anfrage wird durch den VPN-Server an die Datenbank weitergeleitet. Die Antwort der Datenbank wird wieder durch den verschlüsselten Tunnel zurückgesendet.
• 5. Entschlüsselung: Die empfangenen Daten werden am Gerät des Mitarbeiters entschlüsselt und können sicher genutzt werden.

• Fazit: Durch die Nutzung eines VPN können die remote arbeitenden Mitarbeiter sicher und geschützt auf die internen Ressourcen des Unternehmens zugreifen, selbst wenn sie unsichere öffentliche Netzwerke nutzen. Die Datenverschlüsselung stellt sicher, dass sensible Informationen nicht abgefangen oder kompromittiert werden können.