Die Erfindung betrifft ein Verfahren und ein System zum Schutz von vertraulichen elektronischen Daten.The invention relates to a method and a system for protecting confidential electronic data.
Unter dem Schlagwort "Big Data" wird der Komplex von Technologien, die zum Sammeln und Auswerten von großen Datenmengen dienen, sowie die großen Datenmengen selbst verstanden. Die im Rahmen von "Big Data" anfallenden Mengen elektronischer Daten sind in der Regel zu groß oder zu komplex oder sind zu schnellen Änderungen unterzogen, um sie mit händischen und klassischen Methoden der Datenverarbeitung auszuwerten. Die gesammelten Daten können aus nahezu allen Quellen stammen: angefangen bei jeglicher elektronischer Kommunikation, über von Behörden und Firmen gesammelte Daten, bis hin zu den Aufzeichnungen verschiedenster Überwachungssysteme.The buzzword "big data" is understood to mean the complex of technologies used to collect and analyze large amounts of data, as well as the vast amount of data itself. The amounts of electronic data generated by "big data" are usually too large or too complex, or they undergo too rapid changes to be evaluated by manual and classical methods of data processing. The data collected can come from virtually any source, from any electronic communication, data collected by government agencies and companies, to the records of a variety of surveillance systems.
Die im Rahmen von "Big Data" anfallenden elektronischen Daten bzw. Dokumente können oftmals personenbezogene Daten oder Daten enthalten, die zumindest Rückschlüsse auf einzelne Personen zulassen, also mit einer einzelnen Person assoziierbar sind. Aus Gründen des Datenschutzes ist es deshalb gegebenenfalls notwendig, solche personenbezogenen Daten, d.h. Daten, die mit einer Person assoziierbar sind, vor der Weiterverarbeitung und insbesondere vor der Speicherung zu anonymisieren oder zu pseudonymisieren. Die Anonymisierung hat dabei das Ziel einen Rückschluss von den anonymisierten personenbezogenen Daten auf die Person vollständig zu verhindern. Die Pseudonymisierung ersetzt die Wiedererkennungsmerkmale einer Person mit einem Pseudonym, um die Wiedererkennung auszuschließen oder wesentlich zu erschweren. Der entscheidende Unterschied zwischen Anonymisierung und Pseudonymisierung ist bei der Anonymisierung das Auflösen bzw. bei der Pseudonymisierung das Erhalten von Bezügen, die zwischen verschiedenen personenbezogenen Daten einer Person ursprünglich bestanden.The electronic data or documents arising in the context of "big data" can often contain personal data or data that at least allow conclusions to be drawn about individual persons, that is, they can be associated with a single person. For reasons of data protection, it may therefore be necessary to provide such personal data, i. To anonymise or pseudonymize data that may be associated with a person prior to further processing, and in particular prior to storage. The goal of anonymisation is to completely prevent any inference of the anonymous personal data on the person. The pseudonymization replaces the recognition features of a person with a pseudonym to exclude or substantially complicate the recognition. The crucial difference between anonymisation and pseudonymisation is the resolution in the case of anonymization or, in the case of pseudonymization, the receipt of references that originally existed between various personal data of a person.
Die Anonymisierung oder Pseudonymisierung von personenbezogenen Daten erfolgt in der Regel unter Verwendung von Verschlüsselungsalgorithmen. Der Verlust der Geheimhaltung des hierzu verwendeten kryptographischen Schlüssels stellt ein extrem hohes Risiko für den Datenschutz dar. Auch kann es sinnvoll sein, den kryptographischen Schlüssel von Zeit zu Zeit zu erneuern, um schon einem potentiellen Verlust der Geheimhaltung des kryptographischen Schlüssels vorzubeugen.The anonymization or pseudonymization of personal data is usually done using encryption algorithms. The loss of secrecy of the cryptographic key used for this purpose represents an extremely high risk for data protection. It may also be useful to renew the cryptographic key from time to time in order to prevent even a potential loss of secrecy of the cryptographic key.
Gemäß dem Stand der Technik ist es bei jedem Wechsel des kryptographischen Schlüssels notwendig, auf die vorgehaltenen ursprünglichen personenbezogenen Daten zurück zu greifen und sie erneut zu verschlüsseln. Die bisher gespeicherten pseudonymisierten Daten werden dann verworfen. Wenn die ursprünglichen personenbezogenen Daten nicht mehr verfügbar sind müssen, aus Gründen des Datenschutzes die pseudonymisierten Daten unter Umständen ebenfalls verworfen werden. In diesem Fall sind sowohl die gesamten gesammelten Informationen als auch eine damit einhergehende Profilbildung vollständig verloren.According to the prior art, each time the cryptographic key is changed, it is necessary to resort to the original personal data retained and to re-encrypt it. The previously stored pseudonymized data is then discarded. If the original personal data is no longer available, for reasons of data protection, the pseudonymous data may also be discarded. In this case, all the information collected as well as associated profiling is completely lost.
Vor diesem Hintergrund ist es die Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren und ein verbessertes System zum Schutz von vertraulichen, elektronischen Daten bereitzustellen, insbesondere von elektronischen Daten, die im Zusammenhang mit "Big Data" anfallen.Against this background, the object of the present invention is to provide an improved method and an improved system for the protection of confidential, electronic data, in particular electronic data, which are associated with "big data".
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Ansprüche.This object is solved by the features of the independent claims. Advantageous forms of further education are the subject of the dependent claims.
Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum Schutz von elektronischen Daten, insbesondere von elektronischen Daten, die im Zusammenhang mit "Big Data" anfallen. Das Verfahren umfasst einen Schritt des Ermittelns von Daten der elektronischen Daten, die mit einer Person assoziierbar sind, einen Schritt des Verschleierns der mit einer Person assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels, einen Schritt des Aufbewahrens der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten, und, falls der erste kryptographische Schlüssel nicht mehr als sicher angesehen werden kann, einen Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels.According to a first aspect, the invention relates to a method for the protection of electronic data, in particular of electronic data, which are incurred in connection with "big data". The method comprises a step of determining data of the electronic data associable with a person, a step of obscuring the person-associable data of the electronic data by means of a first cryptographic key, a step of storing the electronic data with the means of the first cryptographic key, and, if the first cryptographic key can no longer be considered secure, a step of concealing the data concealed by the first cryptographic key by means of a second cryptographic key.
Das Verfahren gemäß dem ersten Aspekt der Erfindung erlaubt die datenschutzkonforme Wiederverwendung von bereits verschleierten Daten, die beispielsweise aufgrund des Verlusts des zur Verschleierung verwendeten Schlüssels als kompromittiert betrachtet werden müssen. Gleichzeitig erlaubt das Verfahren gemäß dem ersten Aspekt der Erfindung ein einfaches regelmäßiges Wechseln des für die Verschleierung verwendeten Schlüssels. Statt hierzu auf die elektronischen Originaldaten zurückgreifen zu müssen, können vorteilhafterweise die elektronischen Daten mit den bereits verschleierten Daten verwendet werden, ohne dass eine kostspielige Wiederherstellung der elektronischen Originaldaten, beispielsweise durch eine Entschlüsselung der verschleierten Daten der elektronischen Daten, erforderlich ist.The method according to the first aspect of the invention allows the data protection compliant reuse of already obfuscated data, which must be considered as compromised, for example, due to the loss of the key used for obfuscation. At the same time, the method according to the first aspect of the invention allows a simple regular change of the key used for concealment. Instead of having to resort to the electronic original data, the electronic data can be used with the already veiled data advantageously without a costly restoration of the original electronic data, for example, by a decryption of the veiled data of the electronic data is required.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren den weiteren Schritt, die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten aufzubewahren.In an embodiment of the first aspect of the invention, the method comprises the further one Step to keep the electronic data with the data concealed by the second cryptographic key.
In einer Ausführungsform des ersten Aspekts der Erfindung werden beim Schritt des Aufbewahrens der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten in einem ersten elektronischen Speicher aufbewahrt und beim Schritt des Aufbewahrens der elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten in einem zweiten elektronischen Speicher aufbewahrt.In one embodiment of the first aspect of the invention, in the step of storing the electronic data with the data veiled by the first cryptographic key, the electronic data with the data veiled by the first cryptographic key are stored in a first electronic memory and stored at the step of storing the electronic data Data with the data concealed by the second cryptographic key stored the electronic data with the data concealed by the second cryptographic key in a second electronic memory.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren vor dem Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels den Schritt des Ermittelns der mittels des ersten kryptographischen Schlüssels verschleierten Daten der elektronischen Daten.In one embodiment of the first aspect of the invention, prior to the step of concealing the data concealed by the first cryptographic key by means of the second cryptographic key, the method comprises the step of determining the electronic data concealed by the first cryptographic key.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst der Schritt des Verschleierns der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels den Schritt des Verschlüsselns der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder der Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels den Schritt des Verschlüsselns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels.In one embodiment of the first aspect of the invention, the step of obscuring the determined data associable with a person by means of the first cryptographic key comprises the step of encrypting the determined data associable with a person by means of the first cryptographic key or the step of concealing the data concealed by the first cryptographic key by means of the second cryptographic key comprises the step of encrypting the data concealed by the first cryptographic key using the second cryptographic key.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst der Schritt des Verschleierns der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels den Schritt des Anwendens einer schlüsselbasierten Hashfunktion auf die ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder der Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels den Schritt des Anwendens einer schlüsselbasierten Hashfunktion auf die mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels.In one embodiment of the first aspect of the invention, the step of obscuring the determined data associable with a person by means of the first cryptographic key comprises the step of applying a key-based hash function to the determined data associable with a person by means of the first cryptographic key or the step of concealing the data concealed by the first cryptographic key by means of the second cryptographic key, the step of applying a key-based hash function to the data concealed by the first cryptographic key using the second cryptographic key.
In einer Ausführungsform des ersten Aspekts der Erfindung werden beim Schritt des Verschleierns der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder beim Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels die Daten anonymisiert.In an embodiment of the first aspect of the invention, the data is anonymized by the second cryptographic key in the step of obscuring the determined data associable with a person by means of the first cryptographic key or in the step of disguising the data shadowed by the first cryptographic key ,
In einer Ausführungsform des ersten Aspekts der Erfindung werden beim Schritt des Verschleierns der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder beim Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels die Daten pseudonymisiert.In one embodiment of the first aspect of the invention, the data is pseudonymized by the second cryptographic key in the step of obscuring the determined data associable with a person by means of the first cryptographic key or in the step of obfuscating the data masked by the first cryptographic key ,
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren nach dem Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels den weiteren Schritt des Löschens der mittels des ersten kryptographischen Schlüssels verschleierten Daten.In an embodiment of the first aspect of the invention, after the step of veiling the data concealed by the first cryptographic key by means of the second cryptographic key, the method comprises the further step of deleting the data concealed by the first cryptographic key.
In einer Ausführungsform des ersten Aspekts der Erfindung umfasst das Verfahren nach dem Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels den weiteren Schritt, die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels und des zweiten kryptographischen Schlüssels verschleierten Daten aufzubewahren.In one embodiment of the first aspect of the invention, after the step of concealing the data concealed by the first cryptographic key by means of the second cryptographic key, the method comprises the further step of encrypting the electronic data with the data concealed by the first cryptographic key and the second cryptographic key store.
In einer Ausführungsform des ersten Aspekts der Erfindung wird der erste Schlüssel oder der zweite Schlüssel von einer sicheren Schlüsselverwaltungseinheit bereitgestellt.In one embodiment of the first aspect of the invention, the first key or the second key is provided by a secure key management unit.
In einer Ausführungsform des ersten Aspekts der Erfindung definieren die elektronischen Daten eine Vielzahl von elektronischen Dokumenten und/oder bilden einen kontinuierlichen Datenstrom.In one embodiment of the first aspect of the invention, the electronic data defines a plurality of electronic documents and / or forms a continuous data stream.
In einer Ausführungsform des ersten Aspekts der Erfindung handelt es sich bei den mit einer Person assoziierbaren Daten der elektronischen Daten um einen Namen, eine Identifikationsnummer, eine Telefonnummer, eine E-Mail-Adresse, eine Kundennummer einer Person und/oder ein anderes Datenelement, das zur Identifizierung einer Person geeignet ist.In one embodiment of the first aspect of the invention, the personal data of the electronic data that can be associated with a person is a name, an identification number, a telephone number, an e-mail address, a customer number of a person and / or another data element is suitable for identifying a person.
In einer Ausführungsform des ersten Aspekts der Erfindung wird der erste Schlüssel als nicht mehr sicher angesehen, falls der erste Schlüssel gebrochen worden ist, nicht mehr geheim ist oder ein geplanter Schlüsselwechsel ansteht.In one embodiment of the first aspect of the invention, the first key is considered no longer secure if the first key has been broken, is no longer secret, or a scheduled key change is pending.
Gemäß einem zweiten Aspekt betrifft die Erfindung ein System zum Schutz von elektronischen Daten mit einem Prozessor, der dazu ausgebildet ist, Daten der elektronischen Daten zu ermitteln, die mit einer Person assoziierbar sind, die mit einer Person assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels zu verschleiern, die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten in einem Speicher zu speichern und, falls der erste kryptographische Schlüssel nicht mehr als sicher angesehen werden kann, die mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels zu verschleiern.According to a second aspect, the invention relates to a system for the protection of electronic Data having a processor adapted to determine data of the electronic data associable with a person to disguise personal data associable with the electronic data by means of a first cryptographic key, the electronic data to those by means of the first cryptographic key Key veiled data stored in a memory and, if the first cryptographic key can no longer be considered safe to disguise the information concealed by the first cryptographic key data using a second cryptographic key.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen erläutert. Es zeigen:Further embodiments will be explained with reference to the accompanying drawings. Show it:
1 eine schematische Darstellung eines Verfahrens zum Schutz von vertraulichen elektronischen Daten gemäß einer Ausführungsform; 1 a schematic representation of a method for protecting confidential electronic data according to an embodiment;
2 eine schematische Darstellung eines Systems zum Schutz von vertraulichen elektronischen Daten in Form eines Fileservers gemäß einer Ausführungsform; 2 a schematic representation of a system for the protection of confidential electronic data in the form of a file server according to an embodiment;
3 eine schematische Darstellung eines Systems zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform; 3 a schematic representation of a system for the protection of confidential electronic data according to another embodiment;
4 eine schematische Darstellung des Ablaufs der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform; 4 a schematic representation of the flow of communication in a system for the protection of confidential electronic data according to another embodiment;
5 eine schematische Darstellung des Ablaufs der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform; 5 a schematic representation of the flow of communication in a system for the protection of confidential electronic data according to another embodiment;
6 eine schematische Darstellung des Ablaufs der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform; 6 a schematic representation of the flow of communication in a system for the protection of confidential electronic data according to another embodiment;
7 eine schematische Darstellung des Ablaufs der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform; 7 a schematic representation of the flow of communication in a system for the protection of confidential electronic data according to another embodiment;
8 eine schematische Darstellung des Ablaufs der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform; und 8th a schematic representation of the flow of communication in a system for the protection of confidential electronic data according to another embodiment; and
9 eine schematische Darstellung des Ablaufs der Kommunikation in einem System zum Schutz von vertraulichen elektronischen Daten gemäß einer weiteren Ausführungsform. 9 a schematic representation of the flow of communication in a system for the protection of confidential electronic data according to another embodiment.
In der folgenden ausführlichen Beschreibung wird auf die beiliegenden Zeichnungen Bezug genommen, die einen Teil hiervon bilden und in denen als Veranschaulichung spezifische Ausführungsformen gezeigt sind, in denen die Erfindung ausgeführt werden kann. Es versteht sich, dass auch andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne vom Konzept der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist deshalb nicht in einem beschränkenden Sinne zu verstehen. Ferner versteht es sich, dass die Merkmale der verschiedenen hierin beschriebenen Ausführungsbeispiele miteinander kombiniert werden können, sofern nicht spezifisch etwas anderes angegeben ist. In the following detailed description, reference is made to the accompanying drawings, which form a part hereof, and in which is shown by way of illustration specific embodiments in which the invention may be practiced. It should be understood that other embodiments may be utilized and structural or logical changes may be made without departing from the concept of the present invention. The following detailed description is therefore not to be understood in a limiting sense. Further, it should be understood that the features of the various embodiments described herein may be combined with each other unless specifically stated otherwise.
Die Aspekte und Ausführungsformen werden unter Bezugnahme auf die Zeichnungen beschrieben, wobei gleiche Bezugszeichen sich im Allgemeinen auf gleiche Elemente beziehen. In der folgenden Beschreibung werden zu Erläuterungszwecken zahlreiche spezifische Details dargelegt, um ein eingehendes Verständnis von einem oder mehreren Aspekten der Erfindung zu vermitteln. Für einen Fachmann kann es jedoch offensichtlich sein, dass ein oder mehrere Aspekte oder Ausführungsformen mit einem geringeren Grad der spezifischen Details ausgeführt werden können. In anderen Fällen werden bekannte Strukturen und Elemente in schematischer Form dargestellt, um das Beschreiben von einem oder mehreren Aspekten oder Ausführungsformen zu erleichtern. Es versteht sich, dass andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen.Aspects and embodiments will be described with reference to the drawings, wherein like reference numerals generally refer to like elements. In the following description, for purposes of explanation, numerous specific details are set forth in order to provide a thorough understanding of one or more aspects of the invention. However, it will be apparent to one skilled in the art that one or more aspects or embodiments may be practiced with a lesser degree of specific details. In other instances, well-known structures and elements are shown in schematic form to facilitate describing one or more aspects or embodiments. It is understood that other embodiments may be utilized and structural or logical changes may be made without departing from the concept of the present invention.
Es werden Vorrichtungen beschrieben, und es werden Verfahren beschrieben. Es versteht sich, dass Grundeigenschaften der Vorrichtungen auch für die Verfahren gelten und umgekehrt. Deshalb wird der Kürze halber gegebenenfalls auf eine doppelte Beschreibung solcher Eigenschaften verzichtet.Devices are described and methods are described. It is understood that basic properties of the devices also apply to the methods and vice versa. Therefore, for the sake of brevity, a duplicate description of such properties may be omitted.
1 zeigt eine schematische Darstellung eines Verfahrens 100 zum Schutz von elektronischen Daten, insbesondere von elektronischen Daten, die im Rahmen von "Big Data" anfallen und personenbezogene, d.h. mit einer Person assoziierbare Daten umfassen, gemäß einer Ausführungsform. 1 shows a schematic representation of a method 100 for the protection of electronic data, in particular of electronic data, arising in the context of "big data" and comprising personal data, ie data associable with a person, according to an embodiment.
Das Verfahren 100 umfasst einen Schritt 101 des Ermittelns der Daten der elektronischen Daten, die mit einer Person assoziierbar sind, was beispielsweise mittels geeigneter Such- und/oder Filteralgorithmen durchgeführt werden kann. Bei den mit einer Person assoziierbaren Daten kann es sich beispielsweise um einen Namen, eine Identifikationsnummer, eine Telefonnummer, eine E-Mail-Adresse, eine Kundennummer einer Person und/oder ein anderes Datenelement handeln, das zur Identifizierung einer Person geeignet ist. Die elektronischen Daten können beispielsweise in Form einer Vielzahl von elektronischen Dokumenten, d.h. Files, vorliegen und/oder einem kontinuierlichen Datenstrom entstammen.The procedure 100 includes a step 101 determining the data of the electronic data that can be associated with a person, which can be carried out for example by means of suitable search and / or filter algorithms. At the with Person-associable data can be, for example, a name, an identification number, a telephone number, an e-mail address, a customer number of a person and / or another data element which is suitable for identifying a person. The electronic data can for example be in the form of a plurality of electronic documents, ie files, and / or originate from a continuous data stream.
Das Verfahren 100 umfasst einen weiteren Schritt 103 des Verschleierns der mit einer Person assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels.The procedure 100 includes a further step 103 obscuring the data of the electronic data that can be associated with a person by means of a first cryptographic key.
Das Verfahren 100 umfasst einen weiteren Schritt 105 des Aufbewahrens der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten.The procedure 100 includes a further step 105 storing the electronic data with the data concealed by the first cryptographic key.
Das Verfahren 100 umfasst einen weiteren Schritt 107, falls der erste kryptographische Schlüssel nicht mehr als sicher angesehen werden kann, die mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels zu verschleiern. Dies kann beispielsweise der Fall sein, wenn der erste Schlüssel gebrochen worden ist, nicht mehr geheim ist oder ein geplanter Schlüsselwechsel ansteht.The procedure 100 includes a further step 107 if the first cryptographic key can no longer be considered secure, to disguise the data concealed by the first cryptographic key by means of a second cryptographic key. This may be the case, for example, if the first key has been broken, is no longer secret or if a planned key change is pending.
Gemäß einer Ausführungsform können die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten aufbewahrt werden.According to one embodiment, the electronic data may be stored with the data concealed by the second cryptographic key.
Gemäß einer Ausführungsform können beim Schritt des Aufbewahrens 105 der elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten diese elektronischen Daten, d.h. die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten, in einem ersten elektronischen Speicher, beispielsweise in dem in 2 dargestellten Speicher 207a, aufbewahrt werden und beim Schritt des Aufbewahrens der elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten können die elektronischen Daten mit den mittels des zweiten kryptographischen Schlüssels verschleierten Daten in einem zweiten elektronischen Speicher, beispielsweise in dem in 2 dargestellten Speicher 207b, aufbewahrt werden.According to one embodiment, at the step of storing 105 the electronic data with the data concealed by means of the first cryptographic key of this electronic data, ie the electronic data with the data concealed by the first cryptographic key, in a first electronic memory, for example in the 2 illustrated memory 207a , and in the step of storing the electronic data with the data concealed by the second cryptographic key, the electronic data with the data concealed by the second cryptographic key may be stored in a second electronic memory such as that in US Pat 2 illustrated memory 207b , be kept.
Gemäß einer Ausführungsform umfasst das Verfahren 100 vor dem Schritt des Verschleierns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen weiteren Schritt des Ermittelns der mittels des ersten kryptographischen Schlüssels verschleierten Daten der elektronischen Daten.According to one embodiment, the method comprises 100 before the step of obscuring the data concealed by the first cryptographic key by means of the second cryptographic key, a further step of determining the data of the electronic data obscured by the first cryptographic key.
Gemäß einer Ausführungsform umfasst der Schritt des Verschleierns 103 der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels einen Schritt des Verschlüsselns der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder der Schritt des Verschleierns 107 der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen Schritt des Verschlüsselns der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels. Hierzu sind beliebige schlüsselbasierte Verschlüsselungsverfahren geeignet.According to one embodiment, the step of veiling comprises 103 the determined data associable with a person, by means of the first cryptographic key, a step of encrypting the determined data associable with a person by means of the first cryptographic key or the step of disguising 107 the data concealed by the first cryptographic key by means of the second cryptographic key comprises a step of encrypting the data concealed by the first cryptographic key by means of the second cryptographic key. Any key-based encryption methods are suitable for this purpose.
Gemäß einer Ausführungsform umfasst der Schritt des Verschleierns 103 der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels einen Schritt des Anwendens einer schlüsselbasierten Hashfunktion auf die ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder der Schritt des Verschleierns 107 der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen Schritt des Anwendens einer schlüsselbasierten Hashfunktion auf die mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels.According to one embodiment, the step of veiling comprises 103 the determined data associable with a person, by means of the first cryptographic key, a step of applying a key-based hash function to the determined data associable with a person by means of the first cryptographic key or the disguising step 107 the data concealed by the first cryptographic key by means of the second cryptographic key comprises a step of applying a key-based hash function to the data concealed by the first cryptographic key by means of the second cryptographic key.
Gemäß einer Ausführungsform werden beim Schritt des Verschleierns 103 der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder beim Schritt des Verschleierns 107 der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels die Daten anonymisiert.According to one embodiment, at the step of obfuscation 103 the determined data associable with a person by means of the first cryptographic key or at the step of disguising 107 the data veiled by means of the first cryptographic key anonymizes the data by means of the second cryptographic key.
Gemäß einer Ausführungsform werden beim Schritt des Verschleierns 103 der ermittelten Daten, die mit einer Person assoziierbar sind, mittels des ersten kryptographischen Schlüssels oder beim Schritt des Verschleierns 107 der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels die Daten pseudonymisiert.According to one embodiment, at the step of obfuscation 103 the determined data associable with a person by means of the first cryptographic key or at the step of disguising 107 the data veiled by means of the first cryptographic key pseudonymizes the data by means of the second cryptographic key.
Gemäß einer Ausführungsform umfasst das Verfahren 100 nach dem Schritt des Verschleierns 103 der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels den weiteren Schritt des Löschens der mittels des ersten kryptographischen Schlüssels verschleierten Daten. According to one embodiment, the method comprises 100 after the disguising step 103 the data concealed by the first cryptographic key, by means of the second cryptographic key, comprises the further step of deleting the data concealed by the first cryptographic key.
Gemäß einer Ausführungsform umfasst das Verfahren 100 nach dem Schritt des Verschleierns 107 der mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels des zweiten kryptographischen Schlüssels einen weiteren Schritt, die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels und mittels des zweiten kryptographischen Schlüssels verschleierten Daten aufzubewahren.According to one embodiment, the method comprises 100 after the disguising step 107 the data veiled by the first cryptographic key by means of the second cryptographic key, a further step, the electronic data with the data concealed by means of the first cryptographic key and the second cryptographic key.
Das Verfahren 100 kann beispielsweise durch das in 2 dargestellte System 200 zum Schutz von elektronischen Daten durchgeführt werden. Das System 200 umfasst einen Prozessor 201. Der Prozessor 201 kann auf einem Server 203 implementiert sein und in Form von Hardware- und/oder Softwaremodulen ausgebildet sein. Der Server 203 wiederum kann Teil einer Serverfarm oder eines Datencenters sein.The procedure 100 For example, by the in 2 illustrated system 200 to protect electronic data. The system 200 includes a processor 201 , The processor 201 can on a server 203 be implemented and designed in the form of hardware and / or software modules. The server 203 In turn, it can be part of a server farm or datacenter.
Der Prozessor 201 ist dazu ausgebildet, das in 1 dargestellte Verfahren 100 auszuführen. Dem Fileserver 203 bzw. dem Prozessor 201 können von einer Datenquelle 205 elektronische Daten zugeführt werden. Der Prozessor 201 ist dazu ausgebildet, in diesen elektronischen Daten personenbezogene bzw. mit einer Person assoziierbare Daten zu ermitteln. Der Prozessor 201 ist ferner dazu ausgebildet, die ermittelten mit einer Person assoziierbaren Daten der elektronischen Daten mittels eines ersten kryptographischen Schlüssels zu verschleiern, insbesondere zu verschlüsseln. Der erste kryptographische Schlüssel kann beispielsweise von einer sicheren Schlüsselverwaltungseinheit 209 bereitgestellt werden. Der Prozessor 201 ist ferner dazu ausgebildet, die elektronischen Daten mit den mittels des ersten kryptographischen Schlüssels verschleierten Daten in einem Speicher, beispielsweise dem in 2 dargestellten Speicher 207a und/oder in dem in 2 dargestellten Speicher 207b, zu speichern, und zwar derart, dass in den elektronischen Daten die personenbezogenen Daten durch die verschleierten personenbezogenen Daten ersetzt sind. Der Prozessor 201 ist ferner dazu ausgebildet, falls der erste kryptographische Schlüssel nicht mehr als sicher angesehen werden kann, die mittels des ersten kryptographischen Schlüssels verschleierten Daten mittels eines zweiten kryptographischen Schlüssels zu verschleiern. Dies kann beispielsweise der Fall sein, wenn der erste Schlüssel gebrochen worden ist, nicht mehr geheim ist oder ein geplanter Schlüsselwechsel ansteht. Auch dieser zweite kryptographische Schlüssel kann dem Prozessor 201 von der Schlüsselverwaltungseinheit 209 bereitgestellt werden.The processor 201 is designed to be in 1 illustrated method 100 perform. The file server 203 or the processor 201 can be from a data source 205 electronic data are supplied. The processor 201 is designed to determine personal data or data associable with a person in these electronic data. The processor 201 Furthermore, it is configured to disguise, in particular to encrypt, the determined data of the electronic data that can be associated with a person by means of a first cryptographic key. For example, the first cryptographic key may be from a secure key management unit 209 to be provided. The processor 201 is further adapted to store the electronic data with the data concealed by the first cryptographic key in a memory such as the one shown in FIG 2 illustrated memory 207a and / or in the 2 illustrated memory 207b to save, in such a way that in the electronic data the personal data are replaced by the disguised personal data. The processor 201 is further adapted, if the first cryptographic key can no longer be considered secure, to conceal the data concealed by the first cryptographic key by means of a second cryptographic key. This may be the case, for example, if the first key has been broken, is no longer secret or if a planned key change is pending. This second cryptographic key can also be used by the processor 201 from the key management unit 209 to be provided.
Nachstehend werden weitere Ausführungsformen des Verfahrens 100 und des Systems 200 beschrieben.Below are further embodiments of the method 100 and the system 200 described.
3 zeigt eine schematische Darstellung einer weiteren Ausführungsform des Systems 200 zum Schutz von vertraulichen elektronischen Daten. In dieser Ausführungsform kann von dem Prozessor 201 die Funktionalität eines Daten-Pseudonymisierers, eines Pseudonymisierungsmanagers und eines Daten-Repseudonymisierers bereitgestellt werden. Hierbei kann es sich beispielsweise um auf dem Prozessor 201 ablaufende Software-Module handeln. 3 shows a schematic representation of another embodiment of the system 200 to protect confidential electronic data. In this embodiment, by the processor 201 the functionality of a data pseudonymizer, a pseudonymization manager and a data re-donymizer are provided. This can be, for example, on the processor 201 running software modules act.
Der Daten-Pseudonymisierer nimmt personenbezogene Daten entgegen und ersetzt alle personenbezogenen Daten durch pseudonymisierte Daten. Die pseudonymisierten Daten können dann zunächst im alten Speicher 207a für pseudonymisierte Daten, später auch im neuen Speicher 207b für pseudonymisierte Daten abgelegt werden. Der Daten-Pseudonymisierer übergibt die pseudonymisierten Daten an den alten Speicher 207a für pseudonymisierte Daten. Hier werden sie persistiert und bei Bedarf einer weiteren Datenverarbeitung zur Verfügung gestellt. Anschließend können die pseudonymisierten Daten auch dem Daten-Repseudonymisierer zur Verfügung gestellt werden. Der Pseudonymisierungsmanager orchestriert alle Aktivitäten, die bei einer erfindungsgemäßen Repseudonymisierung in Folge eines Verlusts der Geheimhaltung des Schlüssels, oder nach einem planmäßigen Schlüsselwechsel notwendig sind. Der Pseudonymisierungsmanager kennt darüber hinaus alle, im weiteren Laufe des Verfahrens beschriebenen Schlüssel, z.B. den alten Schlüssel und den neuen Schlüssel und kann diese dem Daten-Pseudonymisierer und dem Daten-Repseudonymisierer zur Verfügung stellen.The data pseudonymizer accepts personal data and replaces all personal data with pseudonymous data. The pseudonymized data can then be stored in the old memory first 207a for pseudonymized data, later also in the new memory 207b for pseudonymous data. The data pseudonymizer passes the pseudonymized data to the old memory 207a for pseudonymised data. Here they are persisted and, if necessary, made available for further data processing. Subsequently, the pseudonymized data can also be made available to the data re-donymizer. The pseudonymization manager orchestrates all activities that are necessary in the case of a pseudonymization according to the invention as a consequence of a loss of secrecy of the key or after a scheduled key change. In addition, the pseudonymization manager knows all the keys described in the further course of the procedure, eg the old key and the new key, and can make these available to the data pseudonymizer and the data reponym anonymizer.
Der Daten Repseudonymisierer liest aus dem alten Speicher 207a für pseudonymisierte Daten die bereits mit dem alten ersten Schlüssel oder im Falle, dass das Verfahren zur Re-Pseudonymisierung von großen personenbezogenen Datenmengen bereits mehrfach durchlaufen wurde, mit den alten Schlüsseln pseudonymisierten Daten aus und verschlüsselt sie mit dem neuen zweiten Schlüssel ein zweites oder im Falle das das Verfahren zur Re-Pseudonymisierung von großen personenbezogenen Datenmengen bereits mehrfach durchlaufen wurde ein weiteres Mal. Die wiederverschlüsselten Daten werden in den neuen Speicher 207b für pseudonymisierte Daten geschrieben. Der Daten-Repseudonymisierer übergibt die erneut pseudonymisierten Daten an den neuen Speicher 207b für pseudonymisierte Daten. Hier werden sie persistiert und bei Bedarf einer Datenverarbeitung zur Verfügung gestellt.The data reponymizer reads from the old memory 207a for pseudonymized data that already pseudonymised data with the old first key or, in the case that the process for re-pseudonymizing large personal data has already passed through several times, pseudonymized data with the old keys and encrypts it with the new second key a second or in case The procedure for re-pseudonymizing large personal data has already been repeated several times. The re-encrypted data will be in the new memory 207b written for pseudonymous data. The data re-donymizer passes the re-pseudonymized data to the new memory 207b for pseudonymised data. Here they are persisted and made available as needed for data processing.
4 bis 9 zeigen Details einer weiteren Ausführungsform des Verfahrens 100 zum Schutz von vertraulichen elektronischen Daten, die auf der in 3 dargestellten Ausführungsform des Systems 200 basiert. 4 to 9 show details of another embodiment of the method 100 for the protection of confidential electronic data published on the 3 illustrated embodiment of the system 200 based.
4 zeigt einen ersten Abschnitt 400 des Verfahrens 100 gemäß einer weiteren Ausführungsform. Personenbezogene Daten werden an den Daten-Pseudonymisierer übermittelt, unter Verwendung eines Schlüssels pseudonymisiert und im Speicher 207a für pseudonymisierte Daten abgelegt. Auf den in diesem Verfahrensabschnitt einzigen Schlüssel wird als "(alter) Schlüssel" und im Folgenden als "alter Schlüssel" referenziert. Das gleiche gilt für den in diesem Verfahrensabschnitt einzigen Speicher 207a, auf den hier als "(alten) Speicher für pseudonymisierte Daten" und im Folgenden als "alter Speicher für pseudonymisierte Daten" referenziert wird. 4 shows a first section 400 of the procedure 100 according to a further embodiment. Personal data is transmitted to the data pseudonymizer, pseudonymized using a key, and stored in memory 207a filed for pseudonymous data. The single key in this section of the procedure is referred to as "(old) key" and hereafter as "old key". The same applies to the only memory in this process section 207a referred to herein as "(old) memory for pseudonym data" and hereinafter referred to as "old memory for pseudonym data".
Der Abschnitt 400 umfasst im Einzelnen die folgenden Schritte:The section 400 includes in detail the following steps:
401: Übermitteln der personenbezogenen Daten. 401 : Transmission of personal data.
Beispielsweise von der in 2 dargestellten Datenquelle 205 werden dem Daten-Pseudonymisierer, der beispielsweise von dem in 2 dargestellten Prozessor 201 bereitgestellt werden kann, elektronische Daten mit personenbezogenen Daten angeliefert.For example, from the in 2 represented data source 205 are the data pseudonymizer, for example, from the in 2 represented processor 201 can be provided, electronic data supplied with personal data.
403: Pseudonymisieren mit dem alten Schlüssel 403 : Pseudonymize with the old key
In den angelieferten, personenbezogenen Daten werden die personenbezogenen Informationen erkannt und verschleiert, insbesondere verschlüsselt. Die Verschlüsselung erfolgt auf Basis des (alten) Schlüssels. Somit sind die personenbezogenen Daten in verschleierte, insbesondere pseudonymisierte Daten überführt.In the personal data supplied, the personal information is recognized and concealed, in particular encrypted. The encryption is based on the (old) key. Thus, the personal data is transferred into veiled, especially pseudonymized data.
405: Übermitteln der pseudonymisierten Daten 405 : Submitting the pseudonymous data
Die pseudonymisierten Daten werden an den (alten) Speicher 207a für pseudonymisierte Daten übermittelt.The pseudonymized data is sent to the (old) memory 207a transmitted for pseudonymous data.
407: Persistieren der pseudonymisierten Daten 407 : Persisting the pseudonymous data
Die pseudonymisierten Daten werden im (alten) Speicher 207a für pseudonymisierte Daten in einer Datenbank persisitiert.The pseudonymous data is stored in (old) memory 207a persisted for pseudonymized data in a database.
5 zeigt einen zweiten Abschnitt 500 des Verfahrens 100 gemäß der weiteren Ausführungsform. Dem zweiten Verfahrensabschnitt 500 geht voraus, dass der im ersten Verfahrensabschnitt 400 verwendete "alte Schlüssel" nicht mehr weiter verwendet werden kann oder soll. Dies ist z.B. durch den Verlust der Geheimhaltung des Schlüssels der Fall, oder bedingt durch einen regelmäßig vorgenommen Schlüsselwechsel. Der Pseudonymisierungsmanager startet mit diesem Verfahrensabschnitt 500 alle notwendigen Aktivitäten für einen Schlüsselwechsel. Genaugenommen "wechselt" dieser Verfahrensabschnitt keine Schlüssel gegeneinander aus. Es wird vielmehr zu dem alten Schlüssel ein weiterer neuer Schlüssel hinzugefügt. Im Falle, dass das Verfahren bereits mehrfach durchlaufen wurde, wird zu den alten Schlüsseln ein weiterer neuer Schlüssel hinzugefügt. Der neue Schlüssel kann beispielsweise vom Pseudonymisierungsmanager generiert und an den Daten-Pseudonymisierer sowie den Daten-Repseudonymisierer weitergeleitet werden. Der Daten-Pseudonymisierer wird angewiesen nunmehr pseudonymisierte Daten nicht mehr im alten Speicher 207a für pseudonymisierte Daten, sondern im neuen Speicher 207b für pseudonymisierte Daten zu persistieren. Der Daten-Repseudonymisierer wird angewiesen, die aus den oben genannten Gründen nicht mehr als pseudonymisiert betrachteten Daten des alten Speichers 207a erneut zu pseudonymisieren und in den neuen Speicher 207b für pseudonymisierte Daten zu übertragen. 5 shows a second section 500 of the procedure 100 according to the further embodiment. The second stage of the procedure 500 assumes that in the first stage of the procedure 400 used "old keys" can not or should not continue to be used. This is the case, for example, due to the loss of secrecy of the key, or due to a key change made on a regular basis. The pseudonymization manager starts with this procedure section 500 all necessary activities for a key change. Strictly speaking, this section of the procedure "does not change keys against each other. Rather, another new key is added to the old key. In case the procedure has already been run through several times, another new key is added to the old keys. For example, the new key may be generated by the pseudonymization manager and forwarded to the data pseudonymizer as well as the data reponymizer. The data pseudonymizer is now instructed pseudonymized data is no longer in the old memory 207a for pseudonymized data, but in new memory 207b to persist for pseudonymous data. The data re-donymizer is instructed not to consider the data of the old memory pseudonymized for the reasons mentioned above 207a pseudonymize again and into the new store 207b for pseudonymous data.
Der Abschnitt 500 umfasst im Einzelnen die folgenden Schritte:The section 500 includes in detail the following steps:
501: Generieren des neuen Schlüssels 501 : Generate the new key
Der Pseudonymisierungsmanager als Teil des Prozessors 201 generiert den neuen Schlüssel, der im weiteren Verlauf des Verfahrens zur Verschlüsselung von Daten eingesetzt wird.The pseudonymization manager as part of the processor 201 generates the new key that will be used later in the process of encrypting data.
503: Schlüssel (neuer Schlüssel) (1) 503 : Key (new key) (1)
Der neue Schlüssel wird an den Daten-Pseudonymisierer übermittelt.The new key is transmitted to the data pseudonymizer.
505: Schlüssel (neuer Schlüssel) (2) 505 : Keys (new key) (2)
Der neue Schlüssel wird an den Daten-Repseudonymisierer übermittelt.The new key is transmitted to the data reponymizer.
507: Speicherwechsel (neuer Speicher) 507 : Memory change (new memory)
Der Daten-Pseudonymisierer wird angewiesen, nunmehr die pseudonymisierten Daten im neuen Speicher 207b zu persistieren.The data pseudonymizer is now directed to the pseudonymized data in the new memory 207b to persist.
509: Starte Re-Pseudonymisierung (alter Speicher, neuer Speicher) 509 : Start re-pseudonymization (old memory, new memory)
Der Daten-Repseudonymisierer wird angewiesen, die im alten Speicher 207a vorhandenen Daten erneut zu pseudonymisieren und im neuen Speicher 207b zu persistieren.The data reponym is directed to the old memory 207a to re-pseudonymize existing data and in the new memory 207b to persist.
6 zeigt einen dritten Abschnitt 600 des Verfahrens 100 gemäß der weiteren Ausführungsform. Anfallende personenbezogene Daten werden an den Daten-Pseudonymisierer übermittelt. Unter Verwendung des alten Schlüssels werden die personenbezogenen Daten wie in Verfahrensabschnitt 400 verschlüsselt. Wurde das Verfahren bereits mehrmals durchlaufen, so werden die Daten unter Verwendung der alten Schlüssel wie im Verfahrensabschnitt 400 verschlüsselt. Die verschlüsselten Daten können allerdings aus den oben genannten Gründen nicht als pseudonymisiert betrachtet werden. Deshalb werden sie ein weiteres Mal, diesmal mit dem neuen Schlüssel verschlüsselt. Nunmehr sind die ursprünglichen und jetzt zweimal verschlüsselten Daten pseudonymisiert. Die pseudonymisierten Daten werden allerdings nicht mehr im alten Speicher 207a für pseudonymisierte Daten, sondern vielmehr im neuen Speicher 207b für pseudonymisierte Daten abgelegt. Dieser Speicherwechsel wurde durch den Aufruf der Nachricht Speicherwechsel (neuer Speicher) aus dem Verfahrensabschnitt 500 initiiert. 6 shows a third section 600 of the procedure 100 according to the further embodiment. Accruing personal data is transmitted to the data pseudonymizer. Using the old key, the personal data will be as in procedure section 400 encrypted. If the procedure has already been run several times, the data will be retrieved using the old keys as in the procedure section 400 encrypted. However, the encrypted data can not be considered pseudonymized for the reasons mentioned above. That's why they are encrypted once more, this time with the new key. Now the original and now twice encrypted data are pseudonymized. The pseudonymous data, however, are no longer in the old memory 207a for pseudonymized data, but rather in the new memory 207b filed for pseudonymous data. This memory change was made by calling the message memory switch (new memory) from the procedure section 500 initiated.
Der Abschnitt 600 umfasst im Einzelnen die folgenden Schritte:The section 600 includes in detail the following steps:
601: Übermitteln der personenbezogenen Daten 601 : Transmission of personal data
Beispielsweise von der in 2 dargestellten Datenquelle 205 werden dem Daten-Pseudonymisierer, der beispielsweise von dem in 2 dargestellten Prozessor 201 bereitgestellt werden kann, elektronische Daten mit personenbezogenen Daten angeliefert.For example, from the in 2 represented data source 205 are the data pseudonymizer, for example, from the in 2 represented processor 201 can be provided, electronic data supplied with personal data.
603: Pseudonymisieren (alter Schlüssel/alte Schlüssel) 603 : Pseudonymize (old key / old key)
In den angelieferten, personenbezogenen Daten werden die persönlichen Informationen erkannt und verschlüsselt. Die Verschlüsselung erfolgt auf Basis des alten Schlüssels. Somit sind die personenbezogenen Daten in pseudonymisierte Daten überführt. Sind diesem Verfahrensdurchlauf bereits Verfahrensdurchläufe vorausgegangen, so werden die bereits pseudonymisierten Informationen, die nunmehr aus den oben genannten Gründen nicht mehr als pseudonymisiert betrachtet werden können, erkannt und erneut verschlüsselt. Diese erfolgt für jeden dieser Verfahrensdurchläufe mit den jeweiligen alten Schlüsseln des Verfahrensdurchlaufs.In the delivered, personal data the personal information is recognized and encrypted. The encryption is based on the old key. Thus, the personal data is converted into pseudonymous data. If this procedure has already been preceded by procedural sequences, the already pseudonymised information, which for the reasons stated above can no longer be regarded as pseudonymised, is recognized and re-encrypted. This is done for each of these process runs with the respective old keys of the process run.
605: Pseudonymisieren (neuer Schlüssel) 605 : Pseudonymize (new key)
Bei der letzten bzw. der in 6 dargestellten zweiten Pseudonymisierung werden die Daten pseudonymisiert. Erst jetzt können die Daten als pseudonymisiert betrachtet werden. At the last or the in 6 the second pseudonymization shown, the data are pseudonymized. Only now can the data be considered pseudonymized.
607: Übermitteln der pseudonymisierten Daten 607 : Submitting the pseudonymous data
Die pseudonymisierten Daten werden an den neuen Speicher 207b für pseudonymisierte Daten übermittelt.The pseudonymous data is sent to the new memory 207b transmitted for pseudonymous data.
609: Persistieren der pseudonymisierten Daten 609 : Persisting the pseudonymous data
Die pseudonymisierten Daten werden im neuen Speicher 207b für pseudonymisierte Daten in einer Datenbank persisitiert.The pseudonymous data will be in new memory 207b persisted for pseudonymized data in a database.
7 zeigt einen vierten Abschnitt 700 des Verfahrens 100 gemäß der weiteren Ausführungsform. Dieser Verfahrensabschnitt 700 wurde durch den Aufruf der Nachricht "Starte Repseudonymisierung (alter Speicher, neuer Speicher)" aus dem Verfahrensabschnitt 500 angestoßen. Daten aus dem alten Speicher 207a für pseudonymisierte Daten, die aus den oben genannten Gründen nicht mehr als pseudonymisiert betrachtet werden können, werden nach und nach dem alten Speicher 207a für pseudonymisierte Daten entnommen. Diese Daten werden mittels eines Verschlüsselungsverfahrens und unter Einsatz des "neuen Schlüssels" verschlüsselt. Nunmehr sind die ursprünglichen Daten jetzt doppelt verschlüsselt und damit pseudonymisiert. Wurde das Verfahren bereits mehrfach durchlaufen, sind die Daten jetzt mehrfach verschlüsselt und damit pseudonymisiert. Die pseudonymisierten Daten werden im neuen Speicher 207b für pseudonymisierte Daten abgelegt. Dieser Verfahrensabschnitt 700 wird so oft wiederholt bis alle pseudonymisierte Daten, die aus den oben genannten Gründen nicht mehr als pseudonymisiert betrachtet werden können, erneut verschlüsselt und damit pseudonymisiert wurden und in den neuen Speicher 207b für pseudonymisierte Daten übertragen wurden. 7 shows a fourth section 700 of the procedure 100 according to the further embodiment. This section of the procedure 700 was called by calling the message "Start Pseudonymization (old memory, new memory)" from the procedure section 500 initiated. Data from the old memory 207a for pseudonymized data, which for the reasons mentioned above can no longer be considered pseudonymized, will gradually become the old memory 207a for pseudonymised data. These data are encrypted by means of an encryption process and using the "new key". Now, the original data is now double-encrypted and thus pseudonymized. If the procedure has already been run through several times, the data is now encrypted several times and thus pseudonymised. The pseudonymous data will be in new memory 207b filed for pseudonymous data. This section of the procedure 700 is repeated until all pseudonymized data, which can not be considered as pseudonymised for the reasons mentioned above, re-encrypted and thus pseudonymized and in the new memory 207b for pseudonymised data.
Der Abschnitt 700 umfasst im Einzelnen die folgenden Schritte:The section 700 includes in detail the following steps:
701: Übermitteln der Daten 701 : Submitting the data
Die Daten aus dem alten Speicher 207a für pseudonymisierte Daten, die nunmehr aus den oben genannten Gründen nicht mehr als pseudonymisiert betrachtet werden können, werden an den Daten-Repseudonymisierer übermittelt.The data from the old memory 207a for pseudonymised data, which can now no longer be considered as pseudonymised for the reasons mentioned above, are transmitted to the data re-donymizer.
703: Pseudonymisieren (neuer Schlüssel) 703 : Pseudonymize (new key)
In den angelieferten Daten werden die bereits pseudonymisierten Informationen, die nunmehr aus den oben genannten Gründen nicht mehr als pseudonymisiert betrachtet werden können, erkannt und erneut verschlüsselt. Die Verschlüsselung erfolgt auf Basis des neuen Schlüssels. Somit sind die Daten wieder pseudonymisiert. In the data supplied, the already pseudonymised information, which can now no longer be regarded as pseudonymised for the reasons stated above, is recognized and re-encrypted. The encryption is based on the new key. Thus, the data is pseudonymized again.
705: Übermitteln der pseudonymisierten Daten 705 : Submitting the pseudonymous data
Die pseudonymisierten Daten werden an den neuen Speicher 207b für pseudonymisierte Daten übermittelt.The pseudonymous data is sent to the new memory 207b transmitted for pseudonymous data.
707: Persistieren der pseudonymisierten Daten 707 : Persisting the pseudonymous data
Die pseudonymisierten Daten werden im neuen Speicher 207b für pseudonymisierte Daten in einer Datenbank persisitiert.The pseudonymous data will be in new memory 207b persisted for pseudonymized data in a database.
8 zeigt einen fünften Abschnitt 800 des Verfahrens 100 gemäß der weiteren Ausführungsform. Mit diesem letzten Verfahrensabschnitt 800 wird der nicht mehr benötigte "alte Speicher" verworfen. In Vorbereitung eines zukünftigen Verfahrensdurchlaufs wird ein neuer Speicher, nämlich der "(neue) Speicher" erzeugt. Mit der Erzeugung des "(neuen) Speichers" wird der (ehemals) "neue Speicher" zum neuen "(alten) Speicher". 8th shows a fifth section 800 of the procedure 100 according to the further embodiment. With this last procedural section 800 the unneeded "old memory" is discarded. In preparation of a future process run, a new memory, namely the "(new) memory" is generated. With the creation of the "(new) memory" the (former) "new memory" becomes the new "(old) memory".
Der Abschnitt 800 umfasst im Einzelnen die folgenden Schritte:The section 800 includes in detail the following steps:
801: Verwerfe Speicher (1) 801 : Discard Memory (1)
Der Pseudonymisierungsmanager stößt das Löschen des alten Speichers 207a an.The pseudonymization manager encounters the deletion of the old memory 207a at.
803: Verwerfe Speicher (2) 803 : Discard Memory (2)
Der alte Speicher 207a wird verworfen. Alle Daten werden gelöscht.The old store 207a is discarded. All data will be deleted.
805: Erzeuge Speicher (1) 805 : Create Memory (1)
Der Pseudonymisierungsmanager stößt die Erzeugung und die Initialisierung des (neuen) Speichers 207b an.The pseudonymization manager encounters the generation and initialization of the (new) memory 207b at.
807: Erzeuge Speicher (2) 807 : Create Memory (2)
Der neue Speicher 207b wird erzeugt und initialisiert.The new store 207b is generated and initialized.
Das vorstehend beschriebene Verfahren 100 kann mehrfach, für jeden Schlüsselwechsel neu durchlaufen werden. In diesem Fall ist der Begriff "neuer Speicher" des vorangegangenen Verfahrensdurchlaufs im neuen Verfahrensdurchlauf durch den Begriff "alter Speicher" zu ersetzen. Mit jedem neuen Verfahrensdurchlauf entsteht eine neuer "neuer Speicher", was in 8 durch die Bezugszeichen 207a' und 207b' angedeutet ist.The method described above 100 can be repeated several times, for each key change. In this case, the term "new memory" of the previous process cycle in the new process cycle is replaced by the term "old memory". With each new process run, a new "new memory" is created, which in 8th by the reference numerals 207a ' and 207b ' is indicated.
Insbesondere verändert sich der Verfahrensabschnitt 600 bei der wiederholten Durchführung des Verfahrens. Sind einem Verfahrensdurchlauf bereits Verfahrensdurchläufe vorausgegangen, so erfolgt eine Pseudonymisierung für jeden dieser Verfahrensdurchläufe mit dem jeweiligen alten Schlüssel des Verfahrensdurchlaufs. Bei der ersten Pseudonymisierung im Rahmen des Verfahrensabschnitts 600 werden die personenbezogenen Daten erkannt und pseudonymisiert. Bei jeder weiteren Pseudonymisierung werden die bereits pseudonymisierten Daten erneut pseudonymisiert.In particular, the method section changes 600 in the repeated execution of the procedure. If a process run has already been preceded by process runs, a pseudonymization takes place for each of these process runs with the respective old key of the process run. At the first pseudonymization in the course of the procedure section 600 the personal data are recognized and pseudonymized. For each additional pseudonymization, the already pseudonymized data is pseudonymized again.
9 zeigt eine schematische Darstellung des Verfahrensabschnitts bei der Pseudonymisierung beim n-ten Verfahrensdurchlauf. Der im Plural stehende Begriff "alte Schlüssel" bezieht sich in diesem Fall auf den 1. bis (n – 1)-ten Schlüssel. Der Begriff "alter Schlüssel" bezieht sich in diesem Fall auf den (n – 1)-ten Schlüssel. Der Begriff "neuer Schlüssel" bezieht sich auf den n-ten Schlüssel. 9 shows a schematic representation of the method section in the pseudonymization at the nth process run. The plural term "old keys" in this case refers to the 1st to (n-1) th key. The term "old key" in this case refers to the (n-1) th key. The term "new key" refers to the nth key.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 werden die personenbezogenen Daten pseudonymisiert. Dies stellt jedoch lediglich eine spezielle Ausführungsform von System und Verfahren dar. In anderen Ausführungsformen können die personenbezogenen Daten auch auf andere Art und Weise verschleiert, z.B. anonymisiert, werden.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 the personal data are pseudonymised. However, this is merely a specific embodiment of system and method. In other embodiments, the personal data may also be obfuscated in other ways, eg, anonymized.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 wird der jeweils neue Schlüssel sowie die alten Schlüssel vom Pseudonymisierungsmanager aufbewahrt. Dies stellt jedoch lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform können der jeweils neue Schlüssel sowie die alten Schlüssel in einer separaten Schlüsselverwaltungseinheit, beispielsweise der in 2 dargestellten Schlüsselverwaltungseinheit 209, aufbewahrt werden. Die Schlüsselverwaltungseinheit 209 kann weiterreichende Sicherheitsanforderungen erfüllen.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 the new key as well as the old keys are kept by the pseudonymization manager. However, this only represents a special embodiment. In another advantageous embodiment, the respectively new key and the old key in a separate key management unit, for example, the in 2 illustrated key management unit 209 , be kept. The key management unit 209 can meet more stringent security requirements.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 wird nach einer Re-Pseudonymisierung der alte Speicher 207a für pseudonymisierte Daten verworfen. Dies stellt lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform kann dieser alte Speicher 207a aufbewahrt werden. Eine Aufbewahrung kann z.B. der Archivierung dienen.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 after a re-pseudonymization, the old memory becomes 207a discarded for pseudonymous data. This is merely a specific embodiment. In another advantageous embodiment, this old memory 207a be kept. A storage can serve eg the archiving.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 ist der neuen Speicher 207b für pseudonymisierte Daten bereits vor dem Schlüsselwechsel vorhanden und initialisiert. Dies stellt lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform kann der neue Speicher 207b auch zu einem anderen, geeigneten Zeitpunkt angelegt und initialisiert werden. Ein solcher Zeitpunkt wäre z.B. vor der Nachricht "Speicherwechsel (neuer Speicher)" im Verfahrensabschnitt 500.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 is the new store 207b for pseudonymized data already exists and initialized before the key change. This is merely a specific embodiment. In another advantageous embodiment, the new memory 207b also be created and initialized at another appropriate time. Such a time would be, for example, before the message "memory change (new memory)" in the procedure section 500 ,
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 werden zwischen den Einheiten jeweils einzelne, individuelle Datensätze übertragen. Dies stellt lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform können Daten auch in Form eines kontinuierlichen Datenstroms übertragen werden.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 In each case, individual individual data records are transmitted between the units. This is merely a specific embodiment. In another advantageous embodiment, data may also be transmitted in the form of a continuous data stream.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 werden Daten in Datenbanken persistiert. Dies stellt lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform können Daten auch in anderer geeigneter Form persistiert werden. Andere geeignete Formen können z.B. Dateien eines Dateisystems sein.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 data is persisted in databases. This is merely a specific embodiment. In another advantageous embodiment, data may also be persisted in other suitable form. Other suitable forms may be, for example, files of a file system.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 werden Daten persistiert. Dies stellt lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform können Daten auch transient gehalten werden.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 data is persisted. This is merely a specific embodiment. In another advantageous embodiment, data may also be kept transient.
Bei den vorstehend im Zusammenhang mit den 3 bis 9 beschriebenen weiteren Ausführungsformen des Verfahrens 100 und des Systems 200 werden Daten im Rahmen der Re-Pseudonymisierung von dem alten Speicher 207a in den neuen Speicher 207b dupliziert. Die Daten sind also in zwei verschiedenen Speichern vorhanden. Dies stellt lediglich eine spezielle Ausführungsform dar. In einer anderen vorteilhaften Ausführungsform können Daten auch in einem einzigen Speicher von ihrem Ausgangszustand in den re-pseudonymisierten Zustand überführt werden. Daten sind dann zu jedem Zeitpunkt in nur einem einzigen Speicher vorhanden.With the above in connection with the 3 to 9 described further embodiments of the method 100 and the system 200 Data is re-pseudonymized from the old memory 207a in the new store 207b duplicated. The data is therefore available in two different memories. This is merely a special embodiment. In another advantageous embodiment, data can also be transferred from its initial state to the re-pseudonymized state in a single memory. Data is then available in only one memory at any one time.
