Illusionen der Kontrolle. Ein kritischer Blick auf den technischen Datenschutz.

Von George Danezis und Seda Gürses stammt der folgende Text über die Illusionen der Kontrolle beim Datenschutz.

Seda Gürses hat über Datenschutz-Anforderungen in Social Networks promoviert (Die Diss. findet man hier) und George Danezis ist einigen vielleicht schon seit seinem Vortrag über Traffic-Analyse beim 23c3 bekannt. Der Text steht unter CC-BY-NC-ND wird im Reader „#puclic_life – Digitale Intimität, die Privatsphäre und das Netz“ erscheinen, den die Böll-Stiftung am 13. April veröffentlicht. Das Buch bekommt man dann hier kostenlos als print und als .pdf.

Illusionen der Kontrolle.
Ein kritischer Blick auf den technischen Datenschutz

Datenschutz spielt sich oft zwischen den Paradigmen der Vertraulichkeit und Kontrolle ab. Heilsbringer sind Werkzeuge zur Verschlüsselung oder Anonymisierung nicht, deswegen aber ganz auf sie zu verzichten, wäre fatal. Ein informationswissenschaftlicher Werkstattbericht über die Grenzen des Identitätsmanagements.

In den vergangenen 30 Jahren hat der Gedanke, so genannte „Privacy Enhancing Technologies“ (PET) 1 zu entwickeln – das sind Technologien, die auf Bedenken hinsichtlich von Überwachung und Datenschutz reagieren –, in Forschung wie auch in der Praxis viel Zuspruch gefunden. Solche Technologien sind von Bedeutung, nicht nur weil sie technische Ansätze dafür bieten, Informationen zu verbergen, preiszugeben und ihren Fluss zu steuern, sondern auch, weil sie unserem Verständnis davon, was Datenschutz ist oder sein kann, auf die Sprünge helfen. 

Auf derartige Technologien wird sehr unterschiedlich reagiert; sie werden sehr unterschiedlich angewendet. Manche halten die PETs für ein Allheilmittel, andere glauben, sie erfüllten den gesellschaftlichen Bedarf an Datenschutz nicht und böten kaum Schutz gegen die immer mehr um sich greifende Überwachung. In diesem Aufsatz wollen wir von einem solchen Entweder–Oder Abstand nehmen. Wir regen stattdessen an, sich mit den PETs in einer Art auseinander zu setzen, der zeigt, dass sie grundlegender Bestandsteil der Debatten zu Überwachung und Datenschutz sind – und umgekehrt.

Datenschutz und Vertraulichkeit

Liegen personenbezogene Daten erst einmal in digitaler Form vor, so ist es, technisch gesehen, sehr schwierig, technisch sicherzustellen, dass Einzelne den Fluss ihrer Daten so steuern können, dass Unbefugte keinen Zugriff darauf haben. Eine Denkrichtung in der Datenschutzforschung folgert daraus, Daten könnten nur dann geschützt werden, wenn PETs die Nutzung von informationsverarbeitenden Diensten erlauben, gleichzeitig aber den Umfang der erfassten Informationen so gering wie möglich halten oder die erfassten Informationen anonymisieren. Entsprechende Technologien setzen auf Verschlüsselung, Datenmischung, Dummy Traffic 2 und andere Mechanismen, um Datenschutznormen wie Anonymität, Nichtrückverfolgbarkeit, unbeobachtbares Handeln und Vertraulichkeit von Kommunikation zu wahren. Technologien, die dieser Logik folgen, bezeichnen wir als Technologien, die Datenschutz mit Vertraulichkeit gleichsetzen.

Ein bekannter, aus dieser Schule stammender Ansatz aus dem Bereich der Sicherheitstechnik setzt sich mit den Bedingungen auseinander, die gegeben sein müssen, damit Kommunikation vertraulich ist, das heißt damit, wer mit wem kommuniziert. Gemeinhin werden solche Techniken Anonymisierer genannt; das bekannteste Beispiel ist TOR 3 . Ein solches System „entlinken“ die Identität einer Akteurin von den Spuren, die sie in Informationssystemen hinterlässt. „Anonymität“ ist dabei dann hergestellt, wenn eine Einzelperson sich innerhalb einer beschränkten Anzahl von Usern, dem so genannten „anonymity set“, nicht mehr ausfindig machen lässt.
Ein anderer Ansatz, der Datenschutz als Vertraulichkeit definiert, setzt auf die Integration kryptografischer Elemente, beispielsweise eines Zero-Knowledge-Protokolls 4 , zusammen mit einem entsprechenden Informationsdesign des geplanten Systems um so die Menge der personenbezogenen Daten zu minimieren. Zwar ist es möglich, in solch einem System User zu identifizieren, versucht wird jedoch, von ihnen gewünschte Funktionalitäten anzubieten ohne dazu gleichzeitig große Mengen personenbezogener Daten an zentraler Stelle abzulegen.

Aus dem Bereich der Analyse von Datenbanken – dem Datenschürfen (data mining) und der Wissensauffindung (knowledge discovery) – kommt ein weiterer Ansatz, der Datenschutz gleich Vertraulichkeit setzt, das Privacy Preserving Data Publishing (PPDP). Ziel von PPDP ist es, die Analyse von Datenbanken, die personenbezogene Informationen enthalten, auf bestimmte Arten zuzulassen und gleichzeitig bestimmte andere Informationen (solche, die die Privatsphäre Einzelner verletzen, indem sie diese eindeutig identifizieren) auszuschließen. 5 Dieses Verfahren ist auch bekannt als „Anonymisierung von Datenbanken“. Eine Alternative zu PPDP, die in interaktiven Systemen mit sicherer Eingabemaske eingesetzt werden kann, ist die so genannte „differential privacy“. Dabei wird die Frage, wie sich Datenschutz wahren lässt, gleichzeitig aber statistische Informationen erhoben werden können, auf eine solide theoretische Grundlage gestellt – wobei dieses Verfahren zeigt, wie sehr Spuren verwischt werden müssen, um Rückschlüsse auf Einzelne unmöglich zu machen. 6

Die Grenzen anonymer Kommunikation und der Anonymisierung Bei anonymer Kommunikation bleibt die Identität von Individuen innerhalb von Informationssystemen vertraulich. Wie öffentlich diese Spuren in der Folge werden, wird dabei jedoch eher nicht berücksichtigt. Die entsprechenden Ansätze gehen folglich davon aus, die Entlinkung der Spuren, die ein Individuum hinterlässt, bedeute einen wünschenswerten und ausreichenden Schutz der Kommunikation dieses Individuums.

Auf den ersten Blick sieht es so aus, als folgten Datenschutzgesetze der Annahme, Anonymität reiche aus, um die Privatsphäre zu schützen, denn per Definition gilt der Datenschutz nur für personenbeziehbare, nicht aber für anonyme Daten – oder anders gesagt, nur für Daten, die sich zuschreiben und einer Person zuordnen lassen. Entsprechend gilt der Datenschutz nicht für Spuren, die anonyme Kommunikation hinterlässt. Wollte man den Datenschutz auf anonyme Kommunikation anwenden, wäre die Voraussetzung dafür paradoxerweise, dass man sich von der Anonymität verabschieden müsste.

Hier stoßen wir auf ein grundlegendes Spannungsverhältnis zwischen den Erfordernissen des Datenschutzes, den Zielen der Anonymisierer und auch den Wünschen der User. Diese Spannung zeigt sich nicht nur im Hinblick auf Anwendungen wie Anonymisierer. Um Datenschutz wirksam wie umfassend umzusetzen, müssen wir zuallererst eine äußerst umfängliche Überwachungs- und Nachverfolgungstechnologie einsetzen.

Die Frage, ob und wie sich Datenschutz auch auf anonyme Spuren anwenden lässt, wird weiter erschwert durch eine grundlegende Verschiebung bei der Forschung zur Anonymisierung von Daten. Anhand von vorhandenen, anonymisierten Datensätzen wurde in mehreren Fällen gezeigt, dass sich diese mit mächtigen Werkzeugen wiederum entanonymisieren lassen. 7 Solche Angriffe lassen ernsthafte Zweifel daran aufkommen, ob es je möglich sein wird, umfangreiche Datensätze, die relationale Daten über User enthalten (beispielsweise Bewertungen von Filmen), je auf sichere Art öffentlich zu machen. Selbst für den Fall, dass dies möglich wäre, bliebe immer noch unklar, in welche Kategorie anonymisierte Daten fallen, ob Datenschutz für sämtliche Daten gilt, und ob es für Verfahren wie PPDP oder „differential privacy“ irgendeine rechtliche Grundlage gibt. Die Antwort auf diese Fragen wird sich wahrscheinlich auch auf die Frage auswirken, ob anonyme Kommunikation rechtlich geschützt ist.

Hinzu kommt, dass der Schutz, den Systeme zur anonymen Kommunikation bieten, in dem Maße schwindet, in dem sie genutzt werden, das heißt, bei häufiger, anhaltender Nutzung werden die kommunizierenden Parteien sichtbar. Anders ausgedrückt bietet anonyme Kommunikation bestenfalls einen taktischen Schutz, da sich auf lange Sicht Profile erstellen lassen. Die Ergebnisse der PPDP, die zeigen, dass Anonymität auf Dauer nicht möglich ist, verstärken dieses Problem noch. Je mehr data mining betrieben wird und in dem Maße, in dem es möglich ist, Daten aus unterschiedlichen Quellen miteinander abzugleichen, wird sich auch die Wahrscheinlichkeit erhöhen, dass User doch identifiziert oder anonyme Spuren zu konkreten Sendern zurückverfolgt werden können.

In einer vernetzten Welt, in der sich das Augenmerk weniger auf wesenhafte Eigenschaften und mehr auf Verbindungen richtet, müssen die Wirksamkeit anonymer Kommunikation und der Anonymisierung von Datenbanken zum Schutz der Privatsphäre sorgfältig analysiert werden. Zwick und Dholakia beispielsweise behaupten, dass PETs „Kunden“ nur in der falschen Sicherheit wiegen, autonom zu handeln. 8 Ontologisch unterscheidet sich das Wesen des Konsumenten nicht von seinem Abbild auf dem elektronischen Marktplatz. Der Konsument wird durch Sprache zu dem gemacht, was er oder sie ist, und die in dieser Sphäre gängige Sprache wird von (Marketing-) Datenbanken bestimmt. Anonymisierer oder anonymisierte Datenbanken können gegen diese Sprache und ihre Spielregeln nichts ausrichten. Solche Überlegungen zeigen, dass Lösungen, die Datenschutz mit Vertraulichkeit gleichsetzen, ihre Versprechungen womöglich nicht einlösen können.

Es wäre jedoch zu kurz gegriffen, auf Anonymisierer und Techniken zur Anonymisierung ganz zu verzichten, nur weil sie Mängel aufweisen. Vielmehr zeigen die hochgradige Zunahme beim Sammeln personenbezogener Daten, die Erfordernis, sich an persönlichen Netzwerken zu beteiligen, wie auch die Beliebtheit der Anonymisierer, wie schwierig aber auch wie wichtig es ist, in einer überwachten Welt die Privatsphäre durch Vertraulichkeit zu schützen. Die mindeste Reaktion auf diese Herausforderungen ist, dass die Forschung neue Lösungen findet, die den Fortschritten beim Datenschürfen gewachsen sind. Wie Philips zeigt, ist Anonymität von großer Bedeutung, um die Grenzen zwischen Privatem und Öffentlichen abzustecken. Allerdings warnt er auch davor, dies mit der Notwendigkeit zu verwechseln, zum Schutz der Privatsphäre diese wahrende Normen zu benennen und ihre Einhaltung einzufordern. 9

Privatsphäre und Selbstbestimmung

Ein weitergehender Begriff von Privatsphäre begreift diese nicht nur als die Geheimhaltung persönlicher Informationen, sondern auch als die Fähigkeit, selbst zu bestimmen, was mit ihnen geschieht. Dieser Begriff, der nicht auf eine strenge Datenarmut abzielt, rührt daher, dass es in vielen Fällen notwendig und vorteilhaft ist, Daten preiszugeben. Eine selbstbestimmte Verfügung über Daten könnte entsprechend dabei helfen, den Missbrauch von so angehäuften Informationen abzuwenden.

Das Bundesverfassungsgericht hat diese Vorstellung in dem Begriff „informationelle Selbstbestimmung“ ausgedrückt. Auch eine Reihe internationaler Richtlinien zum Datenschutz, beispielsweise die Datenschutzdirektive der EU, gehen auf diese Vorstellung zurück.

Das Konzept der Selbstbestimmung stützt jene Art von Privatheit auf die gegenwärtig Systeme zum Identitätsmanagement (IDM) abzielen. Mit solchen Systemen soll es Einzelnen möglich sein, sich sichere Identitäten zu schaffen, diese Identitäten mit Attributen auszuzeichnen, die Aktivitäten ihrer Identitäten für sie nachvollziehbar zu machen und Identitäten zu löschen.

Die Forschung in diesem Bereich arbeitet daran, Verschlüsselungstechniken und Protokolle zu entwickeln, die anonyme oder pseudonyme Profile möglich machen, und die möglichst zusammen mit den bereits genannten Anonymisierern genutzt werden sollten. Sie sind außerdem angewiesen auf Richtlinien, die, hinsichtlich der preiszugebenden Informationen, den Zugang zu Diensten regeln. 10 Es handelt sich hierbei um ausgereifte Technologien, und einige ihrer technischen Kernbestandteile werden aktuell schon für kommerzielle Vorhaben genutzt.

MS Passport, das erste Identitätsmanagementsystem, das breite Anwendung fand, war gleichzeitig der erste Fehlschlag. Das System wurde von Dritten abgelehnt, da es sie zwang, einen einzigen Identitätsprovider zu nutzen, nämlich Microsoft. 11 Dass dies dem Identitätsprovider die Möglichkeit gab, die Surfgewohnheiten und Interaktionen sämtlicher Nutzer einzusehen – und die sich daraus ergebenden Bedenken, was Überwachung und eine mögliche Verletzung der Privatsphäre anbelangen –, haben bei dieser Debatte allerdings nur am Rande eine Rolle gespielt.

Die Industrie reagierte indem sie die Liberty Alliance gründete, ein Konsortium, das auf offene Standards innerhalb eines föderal organisierten Identitätsmanagements setzt. Wert gelegt wurde dabei darauf, dass unterschiedliche Identitätsprovider (und nicht ein einziger Big Brother) zusammenarbeiten und Attribute eines Individuums (eines Datensubjekts) beschreiben können. Diese Attribute werden dann vom Datensubjekt an Parteien, die diesen Angaben vertrauen, weitergegeben, worauf dem Subjekt von der dritten Partei bestimmte Privilegien eingeräumt werden. Diese aus drei Parteien bestehende Architektur, bei der das Individuum die Mittelposition einnimmt, ist inzwischen zum führenden Modell für userzentrierte IDM-Systeme geworden.

Allerdings kann das föderale Modell des Identitätsmanagements nicht all die Bedenken ausräumen, die MS Passport hervorgerufen hat. Zwar setzt dieses Modell auf mehrere Identitätsprovider und darauf, dass die User die Kommunikation zwischen ihnen vermitteln, sollte jedoch ein Identitätsprovider mit einer dritten Partei zusammenarbeiten, könnten sämtliche Aktivitäten der User nachvollzogen werden. Das föderale Modell basiert demnach darauf, dass die beiden anderen Parteien klar voneinander getrennt sind, das heißt, dass sie nicht zusammenarbeiten und so die Privatsphäre verletzen. Diese Modelle werden deshalb auch als „vertrauensbasierte Systeme“ bezeichnet. Vom technischen Standpunkt aus stellen sie einen eher schwachen Schutz der Privatsphäre dar.

Eine entsprechende Funktionalität kann auch umgesetzt werden, wenn so genannte „selective disclosure credentials“ (d.h. ausgewählt offen gelegte Legitimationen) benutzt werden, ohne dass dabei zu befürchten wäre, Identitätsprovider und ihnen vertrauende Parteien würden gemeinsame Sache machen. Verschlüsselungssysteme lassen es zu, dass ein Identitätsprovider einem Datensubjekt eine Legitimation ausstellt, die dieses dann einer vertrauenden Partei gegenüber offen legen kann, um so nachzuweisen, dass bestimmte Teile der Legitimation authentisch sind. Die Verschlüsselung stellt dabei sicher, dass Ausgabe und Offenlegung der Legitimation nicht miteinander in Beziehung gesetzt werden können. Dadurch ist wirksam sichergestellt, dass der Datenschutz nicht ausgehebelt werden kann, sollten zwei Parteien gemeinsame Sache machen. Erreicht wird so etwas scheinbar Unvereinbares, nämlich dass einerseits eine Rückverfolgung nicht möglich, andererseits eine Fälschung ausgeschlossen ist. Usern ist es so möglich, Pseudonyme zu erstellen und zu nutzen, die keinen Rückschluss auf ihre eigentliche Identität zulassen und einer vertrauenden Partei nur bestimmte, beglaubigte Eigenschaften zu übermitteln, beispielsweise eine Altersangabe. Systeme, die mit „selective disclosure credentials“ arbeiten, sind im großen Stil in Prototypen 12 umgesetzt worden und werden mittlerweile, beispielsweise von Microsoft, auch ausgeliefert.

Unbestreitbar stellen IDMs, die mit „selective disclosure credentials“ arbeiten, im Vergleich zu herkömmlichen, vertrauensbasierten Systemen, einen bedeutenden Fortschritt dar. Welchen Begriff aber haben sie von Selbstbestimmung und Datenschutz?

Der falsche Glaube an die Selbstbestimmung

Die vorherrschenden IDM-Systeme – und dazu gehören auch diejenigen, die auf höheren Datenschutz setzen – stellen die User in den Mittelpunkt der Kommunikation, von wo aus sie oder er den Fluss beglaubigter Attribute vom Identitätsprovider zur vertrauenden Partei steuert. Man kann davon ausgehen, dass so ein größtmöglicher Datenschutz erreicht wird, da theoretisch die User den Informationsfluss vollständig selbst bestimmen können. In vielen Fällen wird so allerdings die Privatsphäre nicht geschützt und stattdessen den Usern der falsche Glaube vermittelt, sie könnten über die Abläufe selbst bestimmen.

Passport, der Name des ersten IDM-Systems, das weite Verbreitung fand, deutet auf das Problem hin. Einer Bürgerin wird ein Pass ausgestellt, in dem beglaubigt wird, in welchem Verhältnis sie zu dem ausstellenden Staat steht. Bestimmte Eigenschaften werden beglaubigt und mit biometrischen Angaben verbunden. Dieser Pass oder Ausweis geht dann in den Besitz der Bürgerin über, und sie muss ihn an einer Reihe von Kontrollstellen vorlegen. Bei all diesen Abläufen steht das Subjekt im Mittelpunkt – ohne dadurch aber allzu selbstbestimmt handeln zu können. Ganz im Gegenteil kann man diese Abläufe auch so verstehen, dass den Subjekten hier zweifach Unannehmlichkeiten bereitet werden – sie müssen sich nicht nur anmelden und überwachen lassen, sie sind auch für den Identitätsapparat nichts als bloße Träger von Informationen.

Aktuelle eingesetzte IDM-Systeme haben keinen so ausgeprägten Zwangscharakter, wodurch bei Usern der falsche Glaube aufkommen mag, sie könnte selbstbestimmt handeln. Über spezielle Nutzeroberflächen können User auswählen, welche Informationen sie preisgeben und wann sie einen Vorgang abbrechen wollen, da die vertrauende Partei zu umfangreiche Informationen abfragt. Wahlmöglichkeiten auf dieser Ebene wie auch die Möglichkeit, bestimmte Onlinedienste oder -räume nicht zu nutzen, sind nicht das Gleiche wie Selbstbestimmung. Denken wir dies im Vergleich mit Personaldokumenten weiter, entspricht es der Wahlmöglichkeit, sich per Pass oder Ähnlichem auszuweisen – oder auf das Reisen zu verzichten.

In der Praxis diktiert das Machtverhältnis zwischen einer vertrauenden Partei und einem Datensubjekt in welchem Maß Informationen von der einen oder von der anderen Seite offen gelegt werden müssen. Persönlich aushandeln lässt sich dies im Alltag fast nie. Die Privatsphäre wird hierbei, so die gängige, schiefe Sichtweise, zu einer Anstrengung des Einzelnen hinter der sich der falsche Glaube verbirgt, es gebe einen individuellen Entscheidungsspielraum.

Die Versuchungen des Treuhänders

In Kreisen des E-Governments wird IDM-Systemen trotz ihrer Nachteile der Vorzug gegeben. Das mag an der Macht der Mittler liegen, die in solchen Systemen festgeschrieben ist: Vom Identitätsprovider ausgestellte Merkmale bestimmen sämtliche Abläufe zwischen Subjekten und Diensteanbietern und das, obwohl doch die User den Kommunikationsknoten bilden. Diese Mittlerposition, die der Provider durch die von ihm ausgestellten Merkmale einnimmt, macht Überwachung im großen Stil möglich.

IDM-Systeme, die den Datenschutz hochhalten, arbeiten mit der Offenlegung ausgewählter Legitimationen, was bedeutet, dass die „Ausstellung einer Identität“ und die „Nutzung einer Identität“ nicht miteinander in Verbindung gesetzt werden können. Es ist so möglich, selbst Angriffe, die mit unbegrenzter Rechenleistung arbeiten, abzuwehren. Im Gegensatz dazu, und ganz besonders innerhalb der europäischen Forschungslandschaft, wird in der Regel „vertrauenswürdigen Dritten“, sollte dies notwendig erscheinen, die Befugnis eingeräumt, Abläufe zu deanonymisieren. Von den Befürwortern wird eine solche Schwächung des Datenschutzes durch Begriffe wie „Rechenschaftspflicht“ und „Betrugsabwehr“ verschleiert. Für Kritiker handelt es sich dabei um „Treuhandverfahren“ oder schlicht um eine „systematische Überwachung“.
Mechanismen für die treuhänderische Hinterlegung von Identitäten arbeiten mit weiteren dritten Parteien, die Abläufe nachvollziehen und Identitäten annullieren können. In der wissenschaftlichen Literatur wird gemeinhin davon ausgegangen, dass solche dritten Parteien Teile der Judikative oder Exekutive sind, Organe die rechtsstaatlich handeln. Herkömmlich jedoch hat die Justiz mit Verschlüsselungstechniken nichts zu tun. In der Praxis wird es sich bei diesen dritten Parteien um Geheim- oder Nachrichtendienste handeln, um Einrichtungen also, denen Regierungen im allgemeinen den Umgang mit Chiffren und Codes übertragen.

Eine Treuhänderschaft kommt dem Prinzip, ausgewählte Legitimationen offen zu legen, in die Quere, und IDM-Systeme ohne eine solche eingebaute Überwachung sind ohne weiteres denkbar. Erforderlich wäre es dazu, sich von einigen der ergebnisoffenen Pläne für IDM-Systeme zu verabschieden, die es unmöglich machen, vorherzusagen, ob anstelle einer kompletten treuhänderischen Hinterlegung auch spezifische Mechanismen, Missbräuche zu verhindern, wirksam sind. Für jeweils spezifische Sicherheitsmerkmale könnten dann angemessene und geeignete Maßnahmen gegen Missbrauch entwickelt werden, beispielsweise um Doppelbuchungen zu verhindern, um User sperren zu können ohne deren Identität aufdecken zu müssen und, um Spam zu blockieren, ein System, mit dem sich User bewerten lassen. Für ergebnisoffene IDM-System ist dergleichen nicht möglich, denn in ihnen kann man, will man jede Art von Missbrauch verfolgen können, den Datenschutz nur komplett außer Kraft setzen.

Die Dreiecksbeziehung beim Identitätsmanagement beenden

Wenn auch die Wunschvorstellung eines Allzweck-IDMs zum Schutz der Privatsphäre auf Wahlfreiheit und Selbstbestimmung setzt, könnte dieses Gefahr laufen eben diese Werte zu pervertieren und eine gegenteilige Wirkung zu entfalten. Ein Ausweg aus der Gefahr, dass sich ein System, mit dem die Privatsphäre geschützt werden soll, in ein mächtiges, autarkes Überwachungssystem verwandelt, könnte es sein, die Zahl der drei beteiligten Parteien auf zwei zu reduzieren. Möglich wäre dies, ließe man die User im Internet weiterhin ihre Identitäten und Eigenschaften selbst authentifizieren. Für bestimmte, wichtige Eigenschaften der Identitäten reicht dies vollkommen aus. Durch das OpenID-System wie auch durch die selbst ausgestellte Authentifizierung ist es beispielsweise möglich, dass zwei ansonsten anonyme Transaktionen von der selben Person durchgeführt werden können. Die Forschung hat auch gezeigt, dass Crowdsourcing eine gute Möglichkeit ist, Authentifizierungen durchzuführen, beispielsweise indem ein engmaschiges Netzwerk die von einem Einzelnen für sich behauptete Identität bestätigt. 13

Für das Ziel, User möglichst selbstbestimmt handeln zu lassen, ist es wahrscheinlich am besten, nicht eine Vielzahl von Providern ins Spiel zu bringen, sondern es den Usern selbst zu überlassen, über die Userdaten zu bestimmen. Dadurch wird es günstig und einfach möglich, zwischen einer Vielzahl von Diensten zu wechseln und Daten lokal zu verarbeiten. Datenschutzregeln und viele Datenschutzprogramme, die scheinbar für die User gemacht sind, sind für eine derartige, simple Architektur nur ein schwacher Ersatz. User und von Usern gesteuerte Software sollten jederzeit dazu in der Lage sein, vollständig auf Informationen, die vorgehalten werden, damit sie bestimmte Dienste nutzen können, zugreifen zu können, diese zu bearbeiten, kopieren und zu löschen.
Zudem müssen die technischen Schranken der IDM-Systeme eingestanden werden. Befinden sich Daten erst einmal im Besitz einer dritten Partei, können IDM-Systeme diese nicht mehr schützen. In solchen Fällen beschränkt sich die Selbstbestimmung der User darauf, zu entscheiden, welche Organisation ihre Privatsphäre verletzten darf, sei es böswillig oder durch Nachlässigkeit.

Die Vielzahl der Anbieter von Diensten und die flüchtige Art, in der wir mit vielen von ihnen zu tun haben, macht es Usern nahezu unmöglich, zu überschauen, wo ihre Daten vorgehalten werden. IDM-System haben hierfür keine Lösung. Da es zudem schwierig ist, vielschichtige Interaktionen zu anonymisieren, ist die in pseudonymen Profilen enthaltene Information heikel.

Zwar können IDM-Systeme dabei helfen, Authentifizierungsvorgänge nachzuvollziehen, die bei Anbietern von Diensten tatsächlich hinterlegten Nutzerdaten werden von ihnen jedoch nicht tangiert. Entsprechend sind IDM-Systeme, geht es darum, strenge Datenschutzregeln umzusetzen, nur ein Teil der Lösung.

Schließlich gehen IDM-Systeme auch nicht darauf ein, wie Menschen ihre im Fluss befindlichen Identitäten aufbauen und mit ihnen spielerisch umgehen, sei es zwischenmenschlich, sei es im Umgang mit Firmen oder Behörden. Der aktuelle, monolithische Ansatz des Identitätsmanagements stößt in dieser Hinsicht prinzipiell an seine Grenzen.

Schlussfolgerungen

Wir haben die jüngere Geschichte der Datenschutzforschung und ihrer Anwendungen nachvollzogen und einen, notwendig verkürzten, Überblick über wesentliche Ansätze gegeben, uns mit anonymer Kommunikation beschäftigt, mit datenarmen Prozessen, der Anonymisierung von Datenbanken und mit Systemen zum Identitätsmanagement und ihren Hintergründen. In allen Fällen haben wir festgestellt, dass breit angelegte Konzepte zum Schutz der Privatsphäre, kommt es zur technischen Umsetzung, sehr speziell und einseitig ausgelegt werden. Zwar ist es unvermeidlich, für eine praktische Umsetzung Kriterien enger zu fassen, jedoch haben wir gezeigt, dass das Übergewicht, das bestimmte Konzepte oder Annahmen dabei zu Ungunsten anderer bekommen, die Möglichkeiten Einzelner oder auch großer Bevölkerungsgruppen stark beeinträchtigen und die beabsichtigten Zwecke von PETs abschwächen oder gar in ihr Gegenteil verkehren kann.

Im Besondere haben wir gezeigt, dass bei der anonymen Übermittlung von Informationen Datenschutz verstanden wird als ein individuelles Bedürfnis, Spuren zu verwischen und Datenschutz in Datenbanken als ein Prozess dargestellt wird, bei dem individuelle Informationen verborgen, statistische Informationen aber genutzt werden können – wodurch eine Logik des wirtschaftlichen Nutzens alle anderen Aspekte übertrumpft. In Systemen zum Identitätsmanagement wird Datenschutz als die technische Möglichkeit verstanden, Authentifizierungen in einer nicht rückverfolgbaren Weise erstellen und nutzen zu können, wodurch, im Namen des Datenschutzes, ein umstrittenes und sehr starres Modell von Identität als Form von Überwachung wiederum geltend gemacht wird.

Die Folge ist, dass Dienste zur anonymen Kommunikation und zur Anonymisierung nur bestimmte Aspekte des Datenschutzes unterstützen. IDM-Systeme hingegen, die auf den Schutz der Privatsphäre setzen, sind in eine wesentlich vielschichtigere gesellschaftliche Wirklichkeit eingebettet, die die erreichten datenschützerischen Errungenschaften oft wieder in Frage stellt oder, schlimmer noch, sie möglicherweise in ein verborgenes Überwachungssystem verwandelt.

Aus dem Englischen übersetzt von Bernd Herrmann.

Claudio A. Ardagna, Jan Camenisch, Markulf Kohlweiss, Ronald Leenes, Gregory Neven, Bart Priem, Pierangela Samarati, Dieter Sommer, and Mario Verdicchio. Exploiting cryptography for privacy-enhanced access control. Journal of Computer Security, 18(1), 2009.

John G. Brainard, Ari Juels, Ronald L. Rivest, Michael Szydlo, and Moti Yung. Fourth-factor authentication: somebody you know. In Ari Juels, Rebecca N. Wright, and Sabrina De Capitani di Vimercati, editors, ACM Conference on Computer and Communications Security, pages 168–178. ACM, 2006.

Latanya Sweeney. k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10(5):557–570, 2002.

Daniel Kifer and Johannes Gehrke. l-diversity: Privacy beyond k-anonymity. In IEEE 22nd International Conference on Data Engineering (ICDE’07, 2006.

Ninghui Li and Tiancheng Li. t-closeness: Privacy beyond k-anonymity and â„“-diversity. In IEEE 23rd International Conference on Data Engineering (ICDE’07, 2007.

David Rebollo-Monedero, Jordi Forné, and Josep Domingo-Ferrer. From t-closeness to pram and noise addition via information theory. In PSD ’08: Proceedings of the UNESCO Chair in data privacy international conference on Privacy in Statistical Databases, 2008.

Arvind Narayanan and Vitaly Shmatikov. Robust de-anonymization of large sparse datasets. In IEEE Symposium on Security and Privacy DBL (2008), pages 111–125.

David J. Phillips. Privacy policy and PETs. New Media and Society, 6(6):691–706, 2004.

Sebastian Clauß, Dogan Kesdogan, Tobias Kölsch, Lexi Pimenidis, Stefan Schiffner, and Sandra Steinbrecher. Privacy enhanced identity management: Design considerations and open problems. In ACM CCS2005 Workshop on Digital Identity Management, 2005.

Haifeng Yu, Phillip B. Gibbons, Michael Kaminsky, and Feng Xiao. Sybillimit: A near-optimal social network defense against sybil attacks. In IEEE Symposium on Security and Privacy DBL (2008), pages 3–17.

George Danezis and Prateek Mittal. Sybilinfer: Detecting sybil nodes using social networks. In NDSS. The Internet Society, 2009.

Detlev Zwick and Nikhilesh Dholakia. Whose identity is it anyway? comsumer representation in the age of database marketing. Journal of MacroMarketing, 2003.


1 Privacy Enhancing Technologies bedeutet etwa „den Datenschutz stärkende Technologien“.

2 Dummy Traffic bezeichnet automatisch generierte Scheininformationen, die zusammen mit den eigentlichen Daten übertragen werden, um es schwieriger zu machen, Informationen aus dem Datenverkehr herauszufiltern.

3 Das Tor-Netzwerk überträgt den Datenverkehr verschlüsselt und zufällig über ein Netzwerk von Servern. Für einen Überblick siehe: http://de.wikipedia.org/wiki/Tor_%28Netzwerk%29

4 Das Zero-Knowledge-Protokoll ist ein interaktives Beweissystem, bei dem sich zwei Parteien wechselseitig dadurch authentifizieren, dass sie sich indirekt über ein beiden bekanntes Geheimnis austauschen – ohne dieses jedoch offen zu legen. Für einen Überblick siehe: http://de.wikipedia.org/wiki/Zero_Knowledge

5 Beispiele hierfür finden sich z.B. bei Sweeney (2002), Kifer and Gehrke (2006), Li und Li (2007) und Rebollo-Monedero etc. (2008).

6 Ein Überblick über die mathematische Komplexität der Methode findet sich hier: http://en.wikipedia.org/wiki/Differential_privacy

7 Siehe Narayanan and Shmatikov (2008)

8 Zwick und Dholakia (2003)

9 Phillips (2004)

10 Beispiele finden sich bei Ardagna etc. (2009) und Clauß etc. (2005).

11 Siehe http://underthehood.ironworks.com/2009/12/single-point-of-failure.html

12 PRIME PRI (2008)

13 Yu et al. (2008), Danezis and Mittal (2009), Brainard et al. (2006)

10 Ergänzungen

  1. Tor geht gar nicht.

    Es gibt User, die ihren Rechner nicht mit deresgleichen beschmutzen möchten. Man kann aber trotzdem sehr gut anonym über die Runden kommen, denn es gibt ein paar Nette, die sich zur Verfügung stellen.

    Anonymität ist ein Grundrecht. Und zwar auch online!

    Hier, auf dieser Plattform, zeige ich meine IP. Das mache ich aber nur in Ausnahmefällen, wenn ich Vertrauen habe. Es geht nicht darum, etwas Ungesetzliches zu machen oder Mist zu schreiben, sondern mir geht es vor allem darum, daß meine persönlichen Daten, technische Daten, Wohnort, Provider etc.. die Seitenbetreiber nichts angehen. Ich hänge mir auch kein Schild mit meinen Daten um den Hals, wenn ich unterwegs bin. Und auch Anrufer (Festnetz) bekommen nicht von meinem Provider vor dem Gespräch zu hören: Ist bei unserer Firma Kunde, wohnt genau dort und hat ein Telefon von Firma XY.

    Das würde mir ebenfalls gewaltig stinken. Und ist natürlich RECHTSWIDRIG.

    Dauergast

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.