l-Diversität
Was ist l-Diversität?
l-DiversitätErweiterung der k-Anonymität von Machanavajjhala et al., die in jeder Äquivalenzklasse mindestens l gut repräsentierte Werte für jedes sensible Attribut verlangt.
Die 2007 vorgeschlagene l-Diversität behebt zwei Schwächen der k-Anonymität: Homogenitätsangriffe (alle Datensätze einer Klasse teilen denselben sensiblen Wert) und Hintergrundwissensangriffe. Durch mindestens l unterschiedliche, gut repräsentierte Werte für sensible Attribute in jeder Klasse kann ein Angreifer den sensiblen Wert nicht eindeutig zuordnen, selbst wenn das Ziel auf eine Klasse eingegrenzt ist. Varianten sind distinct l-diversity, Entropie-l-Diversität und rekursive (c, l)-Diversität, die Datenschutzstärke und Informationsverlust unterschiedlich abwägen. l-Diversität wird häufig mit k-Anonymität und t-Closeness kombiniert und in Werkzeugen wie ARX, sdcMicro und Amnesia für Gesundheits-, Zensus- und Umfragedaten umgesetzt.
● Beispiele
- 01
Jede Alter/PLZ-Gruppe von Patient:innen muss vor der Veröffentlichung mindestens drei verschiedene Diagnosen enthalten.
- 02
Anwendung von Entropie-l-Diversität auf einen Gehaltsdatensatz, sodass keine Klasse von einer einzelnen Einkommensspanne dominiert wird.
● Häufige Fragen
Was ist l-Diversität?
Erweiterung der k-Anonymität von Machanavajjhala et al., die in jeder Äquivalenzklasse mindestens l gut repräsentierte Werte für jedes sensible Attribut verlangt. Es gehört zur Kategorie Datenschutz der Cybersicherheit.
Was bedeutet l-Diversität?
Erweiterung der k-Anonymität von Machanavajjhala et al., die in jeder Äquivalenzklasse mindestens l gut repräsentierte Werte für jedes sensible Attribut verlangt.
Wie funktioniert l-Diversität?
Die 2007 vorgeschlagene l-Diversität behebt zwei Schwächen der k-Anonymität: Homogenitätsangriffe (alle Datensätze einer Klasse teilen denselben sensiblen Wert) und Hintergrundwissensangriffe. Durch mindestens l unterschiedliche, gut repräsentierte Werte für sensible Attribute in jeder Klasse kann ein Angreifer den sensiblen Wert nicht eindeutig zuordnen, selbst wenn das Ziel auf eine Klasse eingegrenzt ist. Varianten sind distinct l-diversity, Entropie-l-Diversität und rekursive (c, l)-Diversität, die Datenschutzstärke und Informationsverlust unterschiedlich abwägen. l-Diversität wird häufig mit k-Anonymität und t-Closeness kombiniert und in Werkzeugen wie ARX, sdcMicro und Amnesia für Gesundheits-, Zensus- und Umfragedaten umgesetzt.
Wie schützt man sich gegen l-Diversität?
Schutzmaßnahmen gegen l-Diversität kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für l-Diversität?
Übliche alternative Bezeichnungen: k-Anonymität mit l-Diversität.
● Verwandte Begriffe
- privacy№ 576
k-Anonymität
Privacy-Modell von Latanya Sweeney, das verlangt, dass jeder Datensatz anhand seiner Quasi-Identifikatoren von mindestens k-1 anderen Datensätzen ununterscheidbar ist.
- privacy№ 1126
t-Closeness
Privacy-Modell von Li, Li und Venkatasubramanian, das die l-Diversität verstärkt, indem es begrenzt, wie stark sich die Verteilung eines sensiblen Attributs in einer Klasse von der globalen Verteilung unterscheiden darf.
- privacy№ 274
Datenanonymisierung
Unwiderrufliche Umwandlung personenbezogener Daten, sodass keine Person mehr direkt oder indirekt – auch nicht durch Verknüpfung mit anderen Informationen – identifizierbar ist.
- privacy№ 317
Differenzielle Privatsphäre
Mathematisches Rahmenwerk, das den Privacy-Verlust bei Statistik-Veröffentlichungen oder Modelltraining quantifiziert und durch kalibriertes Rauschen den Beitrag jeder einzelnen Person beweisbar begrenzt.
- privacy№ 875
Pseudonymisierung
Verfahren, das direkte Identifikatoren in personenbezogenen Daten durch umkehrbare Aliasse ersetzt, sodass die Daten ohne separat verwahrte Zusatzinformationen keiner Person mehr zugeordnet werden können.
- privacy№ 280
Datenminimierung
Datenschutzgrundsatz, der vorschreibt, nur die personenbezogenen Daten zu erheben, zu verarbeiten und aufzubewahren, die für einen definierten, rechtmäßigen Zweck notwendig sind.