Designing privacy-preserving architectures for cloud-based services

Abstract

Privacy is becoming increasingly relevant in society. One reason is the growth in digital networking of people, partly resulting from the increased use of end devices. According to Adam Moore, the definition of privacy includes the "right to control access to and uses of places, bodies, and personal information" [Moo08]. This definition assumes the users themselves can govern the flow of their personal data. In many cases, however, user data is still being stored without consent, partly for commercial purposes or misused by other third parties. One specific case is the Facebook-Cambridge Analytica scandal in 2018 [CG18]. In order to protect personal data, the EU introduced a uniform set of rules: The General Data Protection Regulation (GDPR) [EU16]. Implemented in 2018, it aims to ensure privacy at an early stage of software development ("privacy by design"), and data protection as a default setting ("privacy by default").

In software development, architectural patterns are used for designing a software architecture, each representing "a package of design decisions that is found repeatedly in practice, has known properties that permit reuse, and describes a class of architectures" [BCK03]. These patterns do not address privacy, or address it insufficiently.

The following two questions arise: Which architectural patterns exist that implement privacy requirements in a software architecture? How can these patterns be selected in a given application context?

This thesis proposes privacy-preserving architectural patterns implementing privacy requirements from early on in the software development process. Furthermore, a methodology is presented that assigns appropriate patterns to the respective use case. A use case demonstrates the applicability of the methodology. Finally, the the presented architectural patterns and methodology are discussed.

Die Privatsphäre ist ein Bereich, der aktuell zunehmend an Relevanz in der Gesellschaft gewinnt. Ein Grund hierfür ist die fortschreitende digitale Vernetzung der Menschen, mit bedingt durch die vermehrte Nutzung von Endgeräten. Laut Adam Moore umfasst die Definition von Privatsphäre "ein Recht auf Kontrolle des Zugangs zu und der Nutzung von persönlichen Informationen" [Moo08]. Dem zur Folge wird davon ausgegangen, dass der Nutzer selbst den Datenfluss regulieren kann. In vielen Fällen werden aber bis heute Nutzerdaten ohne Zustimmung gespeichert, die zum Teil für kommerzielle Zwecke oder von anderen Dritten missbraucht werden. Ein konkreter Fall ist der Facebook Cambridge Analytica Skandal aus dem Jahr 2018 [CG18].

Um den Schutz der persönlichen Daten zu wahren, wurde in der EU mit der Datenschutzgrundverordnung (DS-GVO) ein europaweit einheitliches Regelwerk eingeführt, welches seit 2018 Anwendung findet. Ein Bestreben der DS-GVO ist die Sicherstellung der Privatsphäre in einem frühen Stadium der Software-Entwicklung ("privacy by design") und Datenschutz als Grundeinstellung ("privacy by default").

Im Bereich der Softwareentwicklung existieren sogenannte Architekturmuster, die "ein Bündel aus Entwurfsentscheidungen darstellen, die wiederholt in der Praxis vorkommen, bekannte Eigenschaften besitzen, Mehrfachnutzung erlauben und eine Klasse von Architekturen beschreiben" [BCK03]. Jedoch wird die Privatsphäre, mittels dieser Muster, nicht oder in unzureichender Form berücksichtigt.

An dieser Stelle setzt die Thesis an und stellt einen Lösungsversuch für die folgenden zwei Problemstellungen vor: Welche Architekturmuster existieren, die Anforderungen an den Datenschutz in der Architektur umsetzen? Wie können diese Patterns in einem Applikationskontext gewählt werden?

Dazu werden in erster Linie Privatsphäre unterstützende Architekturmuster (engl. "privacy-preserving architectural patterns") vorgeschlagen, die Privatsphäre von früh an im Softwareentwicklungsprozess berücksichtigen. Desweiteren wird eine Methodik vorgestellt, die dem jeweiligen Anwendungsfall entsprechende Muster zuordnet. Ein Machbarkeitsnachweis demonstriert die Methodik anhand eines Anwendungsbeispiels. Abschließend wird die Zweckmäßigkeit der hier vorgestellten Architekturmuster und Methodik diskutiert.