-
Die Erfindung betrifft ein Verfahren zur Anonymisierung von Bewegungsdaten von mit einer Positionserfassungseinrichtung ausgestatteten Verkehrsteilnehmern, nach der im Oberbegriff von Anspruch 1 näher definierten Art.
-
Die Offenlegungsschrift
DE 10 2015 217 793 A1 beschreibt eine Vorrichtung, ein Verfahren und ein Computerprogramm zum Bereitstellen von Stauinformationen über eine Fahrzeug-zu-Fahrzeug Schnittstelle. Ein Fahrzeug erfasst dabei Stauindikatoren, welche zumindest die Geschwindigkeit des Fahrzeugs und/oder von Fahrzeugen in der Umgebung des Fahrzeugs übermittelte Stauwarnungen umfassen. Die Fahrzeuge sind also in der Lage, die entsprechenden Daten untereinander auszutauschen und weiterzugeben.
-
Die
US 2015/0160023 A1 beschreibt im Rahmen der Individualisierung von Verkehrsflussmeldungen eine Anonymisierung von Bewegungsdaten. Dazu werden die Daten über Dritte an den Backendserver übertragen, um die tatsächliche Herkunft der Daten zu verschleiern.
-
Daneben ist es aus dem allgemeinen Stand der Technik bekannt, dass Fahrzeuge einer Fahrzeugflotte zyklisch Daten mit einem Backend-Server, welcher beispielsweise über das Internet als Cloud-Lösung realisiert ist, austauschen. Auch dort kann dann direkt oder in einem nachgelagerten System aus den Bewegungsdaten der Fahrzeuge, welche ihre Datensätze zyklisch übertragen haben, eine aktuelle Verkehrslage rekonstruiert werden. Dies dient wiederum einer Steuerung des Verkehrsaufkommens und kann Stauinformationen und/oder Warnungen vor Stau beinhalten.
-
Typischerweise ist es so, dass bei der Übertragung der Datensätze an den Backend-Server das Fahrzeug sich entsprechend identifiziert, beispielsweise mit einem TLS-Client-Zertifikat. Die Genauigkeit der Rekonstruktion der Verkehrslage hängt dabei sowohl von der räumlichen als auch der zeitlichen Auflösung der von dem Fahrzeug übermittelten Datensätze ab.
-
Bewegungsdaten von Verkehrsteilnehmern, wie insbesondere Fahrzeugen, müssen jedoch als personenbezogene Daten betrachtet werden, die zum Beispiel seitens des Backend-Servers pseudonymisiert oder anonymisiert werden sollten. Übliche Anonymisierungsansätze wie zum Beispiel das Einbringen einer künstlichen räumlichen und/oder zeitlichen Unschärfe bzw. eines Zufallsrauschens können jedoch einen negativen Einfluss auf die seitens des Backends vorgesehene Verwendung der Datensätze haben, insbesondere im Hinblick auf die Qualität einer Rekonstruktion der Verkehrslage. Dies stellt dabei einen genauso großen Nachteil dar, wie der Verzicht auf eine Anonymisierung, um die Qualität der Rekonstruktion hoch zu halten.
-
Es ist daher die Aufgabe der hier vorliegenden Erfindung, ein Verfahren zur Anonymisierung von Bewegungsdaten gemäß dem Oberbegriff des Anspruchs 1 anzugeben, bei welchem sowohl die Anonymisierung gewährleitstet ist als auch eine hohe Qualität bei der Auswertung der Daten erzielt werden kann.
-
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1, und hier insbesondere im kennzeichnenden Teil des Anspruchs 1, gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen des erfindungsgemäßen Verfahrens ergeben sich aus den hiervon abhängigen Unteransprüchen.
-
Die Lösung entsprechend des erfindungsgemäßen Verfahrens beinhaltet im Wesentlichen zwei Ansätze, welche sowohl einzeln als auch kombiniert miteinander verwendet werden können, um eine Anonymisierung der Bewegungsdaten zu gewährleisten. Erfindungsgemäß bestehen diese Bewegungsdaten dabei zumindest aus einzelnen zeit- und positionsbezogenen Datensätzen, welche also beispielsweise aus einer mit einem Zeitstempel versehenen Position bestehen. Um sicherzustellen, dass die Übertragung an den Backend-Server von einem entsprechend autorisierten Fahrzeug der Fahrzeugflotte erfolgt ist, werden diese Daten typischerweise mit dem privaten Schlüssel des Fahrzeugs signiert, dessen Zugehörigkeit zu diesem Fahrzeug durch eine beispielsweise mitgeschicktes mit dem privaten Schlüssel korrespondierendes Zertifikat, beispielsweise ein TLS-Client-Zertifikat, nachgewiesen wird. Dies würde aber nun gewährleisten, dass in dem Backend-Server eine Zuordnung des entsprechenden Datensatzes zu dem entsprechenden Fahrzeug einfach möglich ist. Um genau dies zu verhindern, lässt sich nun die prinzipiell aus dem eingangs genannten Stand der Technik bekannte Übertragung von Daten zwischen verschiedenen Fahrzeugen nutzen, sodass die in Form der Datensätze gesammelten und an den Backend-Server zu übertragenden Bewegungsdaten so übertragen werden, dass erfindungsgemäß die Übertragung zumindest einiger Datensätze mittelbar über wenigstens ein anderes Fahrzeug erfolgt. Das andere Fahrzeug wird also als eine Art „Proxy“ genutzt, um so die tatsächliche Herkunft der Daten gegenüber dem Backend zu verschleiern, da diese Informationen dann nicht bei dem Backend-Server ankommen, sondern nur lokal bei dem anderen Fahrzeug, welches die Daten dann weiterübermittelt und damit die tatsächliche Herkunft der Daten verschleiert. Damit ist eine Anonymisierung möglich.
-
Ein weiteres Problem bei der Anonymisierung besteht darin, dass für den Fall, das dem Backend-Server eine mehr oder weniger vollständige Menge an Datensätzen von einem Fahrzeug vorliegt, der Backend-Server aus dieser Menge eine gesamte geordnete Bewegungshistorie dieses Fahrzeugs rekonstruieren kann, auch wenn die Teilstrecken gegebenenfalls unsortiert oder mit zurückgelegten Teilstrecken eines anderen Fahrzeugs vermischt sind. Der Grund hierfür ist, dass die einzelnen Teilstrecken sich aus lückenlos zeitlich/räumlich hintereinanderliegenden Datensätzen entsprechend rekonstruieren lassen, wenn diese in ihren Positionen und Zeitstempeln übereinstimmen und deswegen einem Fahrzeug eindeutig zugeordnet werden können.
-
Um dieser Problematik entgegenzutreten, kann es nun ergänzend oder alternativ zu der oben beschriebenen Lösung auch vorgesehen werden, dass der Positions- und/oder Zeitbezug in zumindest einigen Datensätzen vor der Übertragung verrauscht wird. Es wird hier also eine Ungenauigkeit eingebaut, um eine im oben beschriebenen Sinn erfolgende Sortierung der Daten, welche dann wieder Rückschlüsse auf eine Zugehörigkeit des gesamten Bewegungsprofils zu einem bestimmten Fahrzeug erlauben, zu verhindern. Die Stärke des Verrauschens muss dabei nur minimal sein, um so beispielsweise korrespondierende Zeitstempel soweit zu verrauschen, dass diese eben nicht mehr exakt übereinstimmen. Dasselbe gilt für Positionsdaten, welche beispielsweise so verrauscht werden können, dass zwar die Fahrt des Fahrzeugs auf einer bestimmten Straße, bei einer mehrspurigen Straße nicht jedoch die Fahrspur, erkennbar wird. Damit kann nicht mehr eindeutig sichergestellt werden, wie die Daten zueinander gehören, sodass auch hierdurch eine Anonymisierung möglich ist. Dennoch bleibt die Qualität der Daten mit einer relativ hohen Genauigkeit erhalten, um nach wie vor eine qualitativ gute Auswertung der Daten durch den Backend-Server in der gewünschten Art und Weise sicherzustellen. Dabei ist es in vielen Fällen zur Rekonstruktion der Verkehrslage nämlich nicht entscheidend, welches Fahrzeug in welchem exakten Zeitabschnitt an exakt welcher Stelle war, sondern es reicht vielmehr aus zu wissen, dass das Fahrzeug mit in etwa der und der Durchschnittsgeschwindigkeit auf dieser Straße fuhr, ohne dass es von Bedeutung ist, welche Spur genau genutzt worden ist etc.
-
Besonders günstig wird es nun, wenn die Anonymisierung durch eine Kombination beider Lösungsaspekte erreicht wird. Dann wird eine Rückverfolgung der Daten auf ein spezielles Fahrzeug anhand der zu dem Backend-Server übertragenen Daten nochmals schwieriger. Dies erhöht also letztlich die Qualität der Anonymisierung, ohne die Datenqualität bezüglich der Auswertung der Daten nachteilig zu beeinflussen.
-
Gemäß der Erfindung ist es ferner vorgesehen, dass alle Fahrzeuge einer mit dem Backend-Server in Verbindung stehenden Fahrzeugflotte ein gemeinsames geteiltes Fahrzeugzertifikat und einen dazugehörenden privaten Schlüssel aufweisen, wobei mit diesem privaten Schlüssel erstellte Signaturen zusammen mit den Datensätzen direkt oder über wenigstens ein anderes Fahrzeug zu dem Backend-Server übertragen werden. Dieser Austausch der Bewegungsdaten zusammen mit der Signatur, die mit Hilfe des von allen Fahrzeugen geteilten privaten Schlüssels erstellt wurde, gewährleistet seitens des Backend-Servers, dass die empfangenen Daten tatsächlich von einem Fahrzeug der Fahrzeugflotte aufgezeichnet und direkt oder mittelbar an den Backend-Server übertragen worden sind. Damit ist der Sicherheitsanforderung seitens des Backend-Servers genügt, ohne dass Signaturen und zu deren Prüfung verwendete zugehörige Zertifikate eine direkte Zuordnung des jeweiligen Datensatzes zu einem bestimmten Fahrzeug der Fahrzeugflotte möglich werden.
-
Gemäß einer außerordentlich günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es ferner vorgesehen sein, dass das Verrauschen der Datensätze je nach Nähe zu einem Startpunkt der Strecke und/oder bei einer eingeschalteten Zielführung, beispielsweise eines Navigationssystems, zu einem geplanten Endpunkt der Strecke mit unterschiedlicher Stärke erfolgt. Die Stärke oder Größe des Verrauschens, also das Maß der künstlich eingefügten Unschärfe der Position und/oder Zeit in dem jeweiligen Datensatz, lässt sich also insbesondere in Abhängigkeit von Startpunkten und potenziellen Endpunkten einer Strecke anpassen. Da vor allem die Startpunkte und die Endpunkte hinsichtlich des Datenschutzes schutzbedürftiger sind als Punkte, auf denen das Fahrzeug unterwegs ist, gilt für diese eine besonders hohe Schutzfunktion. Deshalb kann es entsprechend vorgesehen sein, dass im Bereich der Startpunkte und Endpunkte, beispielsweise in einem entsprechenden Radius von einigen Kilometern oder einer entsprechenden Zykluszeit von einigen Zyklen, das Verrauschen stärker erfolgt als in den anderen Bereichen, sodass zwar in diesen Bereichen die Qualität gegebenenfalls sinkt, insgesamt jedoch durch das stärkere Verrauschen im Bereich dieser besonders „privaten“ Punkte eine verbesserte Datenschutzfunktion erzielt werden kann.
-
Gemäß einer außerordentlich günstigen Weiterbildung dieser Variante des erfindungsgemäßen Verfahrens kann es sogar vorgesehen sein, dass Datensätze zu Positionen wie dem Startpunkt und bei einer aktiven Zielführung eines Navigationssystems dem Endpunkt nicht an den Backend-Server übertragen werden sowie insbesondere auch in räumlicher Nähe zu dem Startpunkt und/oder Endpunkt erfasste Datensätze nicht übertragen werden. Damit wird also der Schutz des Startpunkts und des Endpunkts einer Strecke, welche gegebenenfalls besonders treffende Rückschlüsse auf das spezifische Fahrzeug und insbesondere die das Fahrzeug nutzenden Personen geben könnte, noch weiter verbessert.
-
Im Falle der Kombination der beiden Varianten, also im Falle des Verrauschens und der Übermittlung zumindest einiger Datensätze über wenigstens ein anderes Fahrzeug, kann es gemäß einer außerordentlich günstigen Weiterbildung der Idee auch vorgesehen sein, dass die Art und die Stärke des Verrauschens in Abstimmung zwischen den beteiligten Fahrzeugen erfolgt. Eine solche Abstimmung der Art des Verrauschens ist insbesondere bei einer Begegnung von Fahrzeugen dann sinnvoll, wenn diese Begegnung zum Austausch von Datensätzen, welche dann das jeweils andere Fahrzeug an den Backend-Server weitergibt, genutzt wird. Insbesondere in solchen Punkten kann dann durch ein vorübergehend etwas stärkeres Verrauschen eine verbesserte Anonymisierung erzielt werden.
-
Gemäß einer außerordentlich günstigen Weiterbildung hiervon kann es bei einer entsprechenden Variante des erfindungsgemäßen Verfahrens auch vorgesehen sein, dass die Datensätze zu Positionen, bei denen sich Fahrzeuge begegnen und die Datensätze von einem zum anderen Fahrzeug übertragen, dementsprechend mit einem stärkeren Verrauschen versehen werden als sonstige Datensätze. Somit werden also die unmittelbar vor und nach dem Tausch liegenden Datensätze stärker verrauscht, so dass die Position und Zeit des Tauschs besser verschleiert werden kann.
-
Für den Fall der Übermittlung einiger Datensätze über wenigstens ein anderes Fahrzeug, bei dem die Fahrzeuge die Datensätze also tauschen, kann es entsprechend vorgesehen sein, dass die Fahrzeuge die Datensätze tauschen und dabei die zum jeweils anderen Fahrzeug versandten Datensätze löschen und die eigene Strecke auf Basis der eingetauschten fremden Datensätze fortschreiben. Damit kann erreicht werden, dass ein Fahrzeug, welches eigentlich von einem Startpunkt A zu einem Endpunkt D unterwegs ist und dazwischen in einem Punkt C dem anderen Fahrzeug begegnet, gegenüber dem Backend-Server so wirkt, als würde es von B welcher eigentlich der Startpunkt des anderen Fahrzeugs ist, nach C und dann von C zum Endpunkt D fahren. Dessen Fahrstrecke vom Punkt B zum Punkt C und dann weiter zum Punkt E wird dahingegen so verfälscht, dass für den Backend-Server eine Fahrt vom Punkt A dem Startpunkt des ersten Fahrzeugs über den Punkt C zum Punkt E vorgetäuscht wird. Auch dies dient nun der verbesserten Anonymisierung der Daten und reduziert gleichzeitig die Anzahl der zu übermittelten Daten, da jedes Fahrzeug nun nicht mehr mehrere eigene und fremde Datensätze übermitteln muss, sondern nur die fremden Datensätze, welche noch nicht übermittelt waren, bis zum Zeitpunkt der Begegnung mit dem anderen Fahrzeug und ab dort wieder die eigenen Datensätze, gegebenenfalls bis zur Begegnung mit einem dritten Fahrzeug, usw.
-
Gemäß dieser besonders günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es dann vorgesehen sein, dass der Tausch oder die Übernahme von Daten zwischen Fahrzeugen dann erfolgt, wenn diese in zeitlich und/oder räumlicher Nähe zueinander sind. Dies kann einerseits über die Übertragungstechnik der Fahrzeug-zu-Fahrzeug-Kommunikation sichergestellt werden, als auch durch die entsprechenden Positionsdaten. Fahren die Fahrzeuge beispielsweise benachbart auf einer mehrspurigen Straße, kann ein entsprechender Austausch erfolgen, um so einerseits eine einfache Kommunikation möglich zu machen und andererseits trotz des Austauschs der Daten und der damit erzielten Anonymisierung die Datenqualität beim Backend-Server entsprechend hoch zu halten.
-
Eine sehr günstige Ausgestaltung des erfindungsgemäßen Verfahrens kann es nun außerdem vorsehen, dass die Übermittlung der Datensätze anhand einer vorgegebenen parametriesierbaren Zeit und/oder Anzahl von Datensätzen erfolgt. So kann beispielsweise eine Zykluszeit vorgegeben sein, sodass alle 60 Sekunden die Daten entsprechend übertragen werden, oder es kann eine Übertragung beispielsweise nach jeweils 10 bis 20 gesammelten Datensätzen erfolgen.
-
Gemäß einer außerordentlich günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es auch vorgesehen sein, dass die anonymisierten Bewegungsdaten als solche gekennzeichnet werden. Der Backend-Server kann dann über entsprechende Markierungen erkennen, dass er hier seine Auswertungen und Rekonstruktionen auf Basis von anonymisierten Daten vornimmt, was gegebenenfalls zu einer veränderten Interpretation der Datenlage führen kann oder muss, weil es eventuell entscheidend sein kann zu wissen, dass einzelne Teilstrecken aber nicht die gesamte Strecke von dem gleichen Fahrzeug gefahren worden ist, beispielsweise wenn für den jeweiligen Fahrzeugtyp spezifische Daten, die Geschwindigkeitsprofile oder dergleichen eine Berücksichtigung finden sollen.
-
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich auch anhand des Ausführungsbeispiels, welches nachfolgend unter Bezugnahme auf die Figur näher dargestellt ist.
-
Die einzige beigefügte Figur zeigt dabei ein Streckenschema von zwei einfachen aus jeweils drei Wegpunkten bestehenden Strecken, welche von zwei unterschiedlichen Fahrzeugen befahren werden.
-
Beispielsweise kann es nun so sein, dass eines der beiden in der Figur dargestellten Fahrzeuge 1, 2 seine Bewegungsdaten als Folge von Positionsdatensätzen, bestehend aus einer Position und einem Zeitstempel, überträgt. Eine solche Folge könnte beispielsweise die Form ((Position 1, Zeitstempel 1), (Position 2, Zeitstempel 2), (Position 3, Zeitstempel 3), ...) vorsehen. Diese Datensätze werden entsprechend zum Backend-Server 3, welcher rein beispielhaft als Cloud dargestellt ist, übertragen. Anschließend gewinnt der Backend-Server 3 die für ihn wertvollen Informationen, beispielsweise die zeitlich-räumliche durchschnittliche Geschwindigkeit des Fahrzeugs 1, 2 aus den einzelnen durch zwei nachfolgende Positionsdatensätze beschriebenen Teilstrecken.
-
Dabei ist zu beachten, dass ein isolierter Datensatz in der oben beschriebenen Form für eine Verkehrsanalyse weitgehend wertlos ist, da er lediglich aussagt, dass sich zum Zeitpunkt des Zeitstempels an der genannten Position ein Fahrzeug 1, 2 befunden hat. Am wertvollsten für den Backend-Server 3 sind also Folgen von möglichst lückenlosen Datensätzen, welche idealerweise im Gegensatz zu einer unsortierten Menge von Teilstrecken bereits entsprechend vorsortiert sind und so schnell und mit geringem Aufwand von dem Backend-Server 3 verarbeitet werden können. Grundsätzlich ist dabei der Informationsgehalt unabhängig von der Sortierung gleich, da die gleichen Informationen rekonstruiert werden können, allerdings ist der Rechenaufwand für den Fall der unsortierten Datensätze entsprechend größer.
-
Somit ist die vom Backend 3 präferierte Form der Übertragung die (lückenlose) Folge von Positionsdatensätzen, die alle zum selben Fahrzeug 1, 2 gehören. Dieses ist aber auch die am wenigsten anonyme Form der erfassten Fahrzeugbewegungsdaten, denn aus dieser Folge kann die gesamte Bewegungshistorie des Fahrzeugs 1, 2 direkt abgeleitet werden.
-
Generell wird bei der Übertragung von Positionsdatensätzen die Anonymität auf zweierlei Weise verletzt.
- 1. Zum einen werden die Positionsdatensätze von den Fahrzeugen 1, 2 selbst an das Backend 3 übertragen. Damit sichergestellt werden kann, dass nur Daten von vertrauenswürdigen Quellen an das Backend 3 übertragen werden, müssen sich die Fahrzeuge 1, 2 vor der Übertragung am Backend 3 authentifizieren, beispielsweise mittels individueller Zertifikate und TLS. Auf diese Weise weiß das Backend 3 immer, mit welchem Fahrzeug 1, 2 es kommuniziert und dadurch auch, von welchem Fahrzeug es die jeweiligen Positionsdatensätze erhalten hat.
- 2. Liegt dem Backend 3 eine (mehr oder weniger) vollständige (gegebenenfalls unsortierte) Menge von einem Fahrzeug 1. 2 zurückgelegten Teilstrecken vor, so kann das Backend 3 aus dieser Menge die (mehr oder weniger) gesamte geordnete Bewegungshistorie dieses Fahrzeugs rekonstruieren, auch wenn diese Teilstrecken unsortiert und ggf. mit den von anderen Fahrzeugen zurückgelegten Teilstrecken vermengt bzw. vermischt sind. Der Grund hierfür ist, dass die einzelnen Teilstrecken einer lückenlosen Bewegungshistorie eines Fahrzeugs 1, 2 aneinander in der Hinsicht anschließen bzw. zueinander „passen“, dass die Endposition bzw. der End-Zeitstempel der Vorgänger-Teilstrecke gleich der Startposition bzw. dem Start-Zeitstempel der nachfolgenden Teilstrecke ist. Da die Position (bspw. GPS-Koordinate) und der (mindestens sekundengenaue) Zeitstempel einen Raum-Zeitpunkt sehr genau identifizieren, ist die Wahrscheinlichkeit sehr gering, besser gesagt, nahezu null, dass eine andere zu einem anderen Fahrzeug gehörende Teilstrecke einen „passenden“, das heißt in der Position und im Zeitstempel vollständig identischen, Start- bzw. Endpunkt, aufweist. Somit können die „zusammengehörenden“, also zu einem Fahrzeug 1, 2 bzw. zu einer Bewegungshistorie gehörenden, Teilstrecken sogar aus einem ggf. sehr großen „unsortierten“ Pool von verschiedenen Fahrzeugen 1, 2 stammenden Teilstrecken immer identifiziert und in eine richtige Reihenfolge gebracht und damit zu einer (vollständigen) Bewegungshistorie zusammengestellt werden.
-
Eine Abhilfe gegen die erste Schwachstelle ist die Nutzung eines „Proxys“ für die Übertragung der Positionsdatensätze, indem das Fahrzeug 1, 2 seine Positionsdatensätze nicht selbst überträgt, sondern für deren Übertragung eine „Zwischenstation“ nutzt, der das Backend 3 ebenfalls vertraut, die aber die Identität des Fahrzeugs 1, 2, von dem sie die Daten entgegengenommen hat, nicht an das Backend 3 weitergibt. Insbesondere könnte ein anderes Fahrzeug 1, 2, das sich in der Nähe befindet, diese Aufgabe übernehmen und die „fremden“ Positionsdatensätze zusammen mit den eigenen Positionsdatensätzen dem Backend 3 zukommen lassen, ohne dabei deren Ursprung anzugeben. Alternativ können Teilstrecken auch zwischen den Fahrzeugen 1, 2 getauscht werden, indem von jedem Fahrzeug 1, 2 zum Teil eigene und zum Teil fremde Teilstrecken oder Teil-Bewegungshistorien übertragen werden.
-
Werden Teilstrecken nur von Fahrzeugen 1, 2 an das Backend 3 übertragen, so muss am Ende jede Teiltrecke, die das Backend 3 erreichen soll, von irgendeinem Fahrzeug 1, 2 übertragen werden. Das Ziel sollte sein, diejenigen Teilstrecken von fremden Fahrzeugen 1, 2 an das Backend 3 übertragen zu lassen, deren „nicht-Zuordenbarkeit“ zu dem diese Teilstrecke gefahrenen Fahrzeug 1, 2 den größten Beitrag zur Anonymisierung leistet. Beispielsweise kann es sinnvoll sein, eine gewisse Anzahl der ersten oder letzten Teilstrecken einer Route, also der unmittelbar nach dem Start bzw. unmittelbar vor dem Ziel gefahrenen Teilstrecken, nicht selbst zu übertragen, denn zum einen können die den Start bzw. das Ziel einer Route betreffenden Informationen besonders sensibel sein und zum anderen können diese Teil-Bewegungshistorien, da sie nur von einem Ende an die Gesamt-Bewegungshistorie angekoppelt sind, nicht mehr mit diesem diese Teil-Bewegungshistorien gefahrenen Fahrzeug 1, 2 in Verbindung gebracht werden. Auf diese Weise kann durch das Übertragen einer gewissen Anzahl der ersten bzw. letzten Teiltrecken einer Route durch ein fremdes Fahrzeug 1, 2 ein besonders hoher technischer als auch semantischer Anonymisierungseffekt erreicht werden. Im Beispiel der Figur ist es nun so, dass das Fahrzeug 1 im Startpunkt A startet und die Wegstrecke A-C-D fährt. Das Fahrzeug 2 startet im Startpunkt B und fährt die Wegstrecke B-C-E. Die Fahrzeuge 1, 2 begegnen sich also im Begegnungspunkt C, in welchem sie zeitlich und räumlich in großer Nähe zueinander sind, beispielsweise auf einer mehrspurigen Straße nebeneinander fahren. Zu diesem Zeitpunkt der großen räumlichen und zeitlichen Nähe der beiden Fahrzeuge 1, 2 zueinander tauschen diese nun ihre Daten aus. Die noch nicht übertragenen Datensätze zwischen den Punkten A und C des Fahrzeugs 1 und zwischen den Punkten B und C des Fahrzeugs 2 werden entsprechend ausgetauscht, wobei jedes Fahrzeug 1, 2 die übertragenen Daten nach der Übertragung an das andere Fahrzeug 2, 1 entsprechend löscht und dann seinen bisher angedachten Weg fortsetzt. Am Ende der Strecke liegen nun vom Fahrzeug 1 im Bereich des Backend-Servers 3 die Bewegungsdaten bezüglich der Strecke B-C-D und vom Fahrzeug 2 entsprechend die der Strecke A-C-E vor. Die Bewegungsdatenhistorie entspricht also nicht mehr der Realität und wurde gegenüber dem Backend-Server 3 entsprechend anonymisiert.
-
Eine Maßnahme gegen die zweite oben beschriebene Schwachstelle wäre ein Verrauschen der in den Teilstrecken enthaltenen Daten, indem Positionen und/oder Zeitstempel vor der Übertragung leicht aber ausreichend verändert werden, um eine Rekonstruktion der Bewegungshistorie und/oder die Zuordnung der einzelnen Teilstrecken zu einem Fahrzeug 1, 2 signifikant zu erschweren oder gar unmöglich zu machen. Das Problem dabei ist, dass die auf diesen Fahrzeugbewegungsdaten basierende anschließende Verkehrsanalyse desto bessere Ergebnisse liefert, je genauer die Daten sind. Das bedeutet, dass ein zu starkes Verrauschen die Ergebnisse der anschließenden Verkehrsanalyse ungünstig beeinflusst. Ein zu schwaches, rein symbolisches Verrauschen, das einen rein syntaktischen Abgleich von Endpunkten unmöglich macht, deren Semantik, also deren Wert, jedoch kaum beeinflusst, reicht aber nicht aus, um eine Rekonstruktion einer Bewegungshistorie und/oder eine Zuordnung einer Teilstrecke zu einem bestimmten Fahrzeug 1, 2 zu verhindern, denn es genügt in diesem Fall, statt der Prüfung auf strenge Gleichheit, ein einfaches zeitlich-räumliches Abstandsmaß für Positionsdatensätze zu verwenden, um korrespondierende unzureichend verrauschte Teilstrecken-Endpunkte trotz ihrer formalen Ungleichheit zu identifizieren und damit die jeweiligen Zuordnungen von Teilstrecken-Endpunkten vornehmen zu können.
-
Somit sollte das Ziel sein, mit dem „Verrauschen“ sparsam umzugehen und nur die Endpunkte der Teilstrecken vor der Übertragung zu verrauschen, deren Verrauschen einen überproportionalen Beitrag zur Anonymisierung leisten würde und die anderen Teilstrecken-Endpunkte unverändert an das Backend 3 zu übertragen.
-
Es wird vorgeschlagen, wie oben bereits dargestellt, im Falle einer ausreichenden räumlich-zeitlichen Nähe von zwei Fahrzeugen 1, 2, also zwei zu einem bestimmten Zeitpunkt räumlich benachbarten Fahrzeugen 1, 2, die bis dahin angefallenen aber bis dahin noch nicht zum Backend 3 übertragenen Positionsdatensätze des einen Fahrzeugs 1 an das andere Fahrzeug 2 (das Nachbarfahrzeug) zu übermitteln und diese danach zu einem unmittelbar anschließenden oder späteren Zeitpunkt von diesem anderen Fahrzeug 2 an das Backend 3 beispielsweise in Form einer (unsortierten) Menge von Teilstrecken-Daten oder in Form einer Folge von (sortierten) Positionsdatensätzen, einer Teil-Bewegungshistorie, übertragen zu lassen.
-
Insbesondere wird vorgeschlagen, im Falle von mehr als zwei räumlich-zeitlich benachbarten Fahrzeugen 1, 2, ein Fahrzeug die Positionsdatensätze von mehr als einem anderen benachbarten Fahrzeug einzusammeln und diese dann an das Backend 3 gemeinsam zu übertragen.
-
Insbesondere wird vorgeschlagen, im Falle von zwei oder mehr räumlich-zeitlich benachbarten Fahrzeugen 1, 2, die benachbarten Fahrzeuge 1, 2 ihre bis dahin angefallenen Daten untereinander tauschen zu lassen und diese fremden Daten danach zu einem unmittelbar anschließenden oder späteren Zeitpunkt an das Backend 3 gemeinsam mit den eigenen Positionsdatensätzen beispielsweise in Form einer (unsortierten) Menge von Teilstrecken-Daten oder in Form einer Folge von (sortierten) Positionsdaten zu übertragen.
-
Des Weiteren wird vorgeschlagen, bei der Entscheidung, welches Fahrzeug 1, 2 die Daten eines welchen anderen Fahrzeugs 1, 2 zum Backend 3 überträgt, die Höhe des dadurch jeweils erzielbaren Anonymisierungseffekts zu berücksichtigen, indem beispielsweise die unmittelbar nach dem Start und unmittelbar vor dem Ziel gefahrenen Teilstrecken bzw. Teil-Bewegungshistorien nach Möglichkeit von fremden Fahrzeugen 1, 2 übertragen werden.
-
Des Weiteren wird vorgeschlagen, dass die räumlich-zeitlich benachbarten Fahrzeuge 1, 2 ihre an diesem Ort und zu diesem Zeitpunkt sehr ähnlichen Positions-Zeitstempel-Daten dahingehend gemeinsam und abgestimmt verrauschen, dass vom Backend 3 nicht mehr unmittelbar erkannt werden kann, welche zukünftige Teil-Bewegungshistorie zu welcher vergangenen (an diesem räumlich-zeitlichen Punkt von einem zum anderen Fahrzeug 1, 2 übertragenen bzw. an diesem räumlich-zeitlichen Punkt unter den Fahrzeugen ausgetauschten) Teil-Bewegungshistorie passt.
-
Des Weiteren wird vorgeschlagen, dass sich alle in diesem Ort-Zeitpunkt zueinander benachbarten Fahrzeuge 1, 2 sich an diesem Verrauschen der Positionsdatensätze beteiligen, indem sie alle einen untereinander abgestimmten Positionsdatensatz (Synchronisationsdatensatz) einführen, der das Ende der jeweils vor diesem Synchronisationspunkt zurückgelegten und den Beginn der jeweils nach diesem Synchronisationspunkt zurückzulegenden Teilstrecke definiert. Auf diese Weise wird es dem Backend 3 signifikant erschwert, die zueinander korrespondierenden, also zum gleichen Fahrzeug 1, 2 gehörenden, zeitlich-räumlich vor dem Synchronisationspunkt liegenden Teil-Bewegungshistorien und die nach dem Synchronisationspunkt liegenden Teil-Bewegungshistorien zu identifizieren.
-
Es wird des Weiteren vorgeschlagen, in allen benachbarten Fahrzeugen 1, 2 den gleichen Synchronisationsdatensatz zu nutzen, und zwar einen der Synchronisationspunkte, also einen der räumlich-zeitlichen Punkte, in denen alle betrachteten Fahrzeuge 1, 2 zueinander benachbart sind. In diesem Fall kann das Backend 3 zwar schnell erkennen, dass es sich um einen Synchronisationspunkt handelt (denn es können sich nicht mehrere Fahrzeuge 1, 2 im gleichen Raum-Zeit-Punkt befinden), eine einfache direkte Zuordnung von den vor dem Synchronisationspunkt liegenden Teil-Bewegungshistorien zu den nach dem Synchronisationspunkt liegenden Teil-Bewegungshistorien ist jedoch nicht mehr möglich.
-
Alternativ wird vorgeschlagen, in den benachbarten Fahrzeugen 1, 2 in einem Synchronisationspunkt leicht verrauschte (nah beieinander legende) aber verschiedene Synchronisationsdatensätze wählen zu können, wobei die Endpunkte der letzten Teilstrecke der potentiell von einem anderen Fahrzeug 1, 2 stammenden vor dem Synchronisationsdatensatz liegenden Teil-Bewegungshistorie an diesen künstlich erzeugten Synchronisationsdatensatz angepasst werden, um dem Backend 3 eine fortlaufende konsistente von einem Fahrzeug 1, 2 stammende Bewegungshistorie vorzutäuschen. Auf diese Weise wird es dem Backend 3 erschwert, einen potentiellen Synchronisationspunkt zu erkennen. Es wird zusätzlich vorgeschlagen, die zur Gruppe der benachbarten Fahrzeuge 1, 2 gehörenden Fahrzeuge 1, 2 die bereits zurückgelegten unmittelbar vor dem Synchronisationspunkt liegenden Teil-Bewegungshistorien zuerst nach dem oben beschriebenen Prinzip der maximalen Anonymisierung oder nach dem Zufallsprinzip untereinander auszutauschen und danach die fremde Teil-Bewegungshistorie an den jeweiligen eigenen Synchronisationsdatensatz anzupassen. Überträgt ein Fahrzeug 1, 2 vor dem Synchronisationspunkt liegende Teil-Bewegungshistorien mehrerer Fahrzeuge 1, 2, so können eine oder mehrere davon mit dem Synchronisationsdatensatz abgestimmt werden.
-
Es wird des Weiteren vorgeschlagen, die Entscheidung, welches Fahrzeug 1, 2 welche Positionsdatensätze bzw. Teil-Bewegungshistorie zum Backend 3 überträgt und welche Teil-Bewegungshistorien miteinander zu Täuschungszwecken zu plausiblen Gesamt-Bewegungshistorien zusammengesetzt werden, voneinander zu entkoppeln.
-
Des Weiteren wird vorgeschlagen, mehrere Fahrzeuge 1, 2 als räumlich-zeitlich benachbart im Synchronisationspunkt (Position, Zeitstempel) anzusehen, wenn beispielsweise für vordefinierte positive Abstandswerte AbstZeit > 0 und AbstRaum > 0 für beliebige zwei Fahrzeuge 1, 2 aus der betrachteten Menge von Fahrzeugen 1, 2 ein Zeitpunkt t aus dem Zeitintervall [Zeitstempel - AbstZeit, Zeitstempel + AbstZeit] existiert, zu dem der räumliche Abstand zwischen den beiden Fahrzeugen kleiner oder gleich AbstRaum ist.