/ Security / 33C3: Wissenschaftler fordern Maßnahmen für Datenschutz

33C3: Wissenschaftler fordern Maßnahmen für Datenschutz

Moritz Rosenfeld on December 31, 2016 - 7:59 am in Security

Während die Bundesregierung Datenreichtum predigt, fordern Wissenschaftler auf dem Hamburger Kongress in einer vom Bundesjustizministerium in Auftrag gegebenen Studie wirkungsvolle Grenzen.

“Öffentliche Daten nützen, private Daten schützen” – das war schon immer das Credo des Chaos Computer und Thema des Chaos Communication Congress. In der jetzt im Hamburg auf dem 33c3 vorgestellten Studie fordern die Professoren Rüdiger Weis (Beuth-Hochschule für Technik Berlin, Cryptolabs Amsterdam), Volker Grassmuck (Leuphania Universität Lüneburg) und Stefan Lucks (Bauhaus-Universität Weimar) eine größere Rolle des Staates bei dem Schutz vor den negativen Folgen des rapiden Datenaustauschs. Die Arbeit zum Thema “Technologie für und wider die digitale Souveränität” war vom Bundesjustizministerium in Auftrag gegeben worden und soll im Frühjahr offiziell erscheinen.

Dabei haben die Wissenschaftler schwer verdaulichen Stoff vorgelegt. Während Bundeskanzlerin Angela Merkel und Bundeswirtschaftsminister Sigmar Gabriel Wachstumserfolge durch die Big-Data-Anwendungen erhoffen, sehen die Wissenschaftler Deutschland auf dem falschen Weg. “Ich kann keine Garantie der Bundesregierung vertrauen, wenn die es nicht mal schafft, die Rechner im Bundestag zu schützen”, sagte der Kryptologe Rüdiger Weis in Hamburg.

Staatliche Datenbanken nicht unknackbar

So müsse man sich an den Gedanken gewöhnen, dass Datenbanken gestohlen werden. Die Folgerung daraus wäre: Daten, die nicht sicher geschützt werden könnten, dürften erst gar nicht erfasst werden. Ganz auf Datenerfassung muss man deshalb aber nicht verzichten. So stünden Techniken wie Zero Knowledge Protokolle, Secret Sharing und blinde Signaturen dafür bereit, Daten zu erfassen ohne die Identitäten von Personen offenzulegen.

Angesichts von Fortschritten bei der Gesichtserkennung seien aber Pläne wie eine Ausweispflicht für Sexarbeiter abzulehnen. Selbst wenn die Betroffenen auf den Papieren nicht ihren realen Namen angeben müssten, sei die Deanonymisierung per Foto zu riskant. So wurden erst in diesem Jahr russische Porno-Darstellerinnen mit einer Gesichtserkennungssoftware massenhaft deanonymisiert und danach belästigt.

Mindesthaltbarkeitsdatum für IoT

Staatliche Regeln wünscht sich Weis für die massenhaften Sicherheitslücken in Geräten wie Heimroutern oder Heizungssteuerungen mit Netzanbindung. Wie schon der US-Experte Bruce Schneier spricht Weis von einem Marktversagen, das die Endnutzer gefährde. Damit diese nicht mit unwartbaren und unsicheren Heimgeräten alleingelassen werden, halten es die Wissenschaftler für notwendig, eine Lebensdauer festzulegen, innerhalb derer die Geräte vom Hersteller mit Sicherheitsupdates versorgt werden müsse.

Kryptologe Rüdiger Weis sieht es an der Zeit, dass sich der Staat mehr um Schutz der Endverbraucher kümmert und weniger brisante Daten sammelt
Kryptologe Rüdiger Weis sieht es an der Zeit, dass sich der Staat mehr um Schutz der Endverbraucher kümmert und weniger brisante Daten sammelt Vergrößern

Da jedoch solche Firmen schnell vom Markt verschwinden können, sprechen sich die Studienautoren zudem dafür aus, dass der Quelltext der Geräte zwangsweise bei einer staatlichen Stelle hinterlegt werden muss – und nach Ende der Updatefrist als OpenSource zur Verfügung gestellt werden muss. Weis spricht hier von einem kritischen Punkt, da die vorgeschlagenen Regelungen auch die Software-Entwicklung behindern könnten.

Arm zahlt mehr

Mediensoziologe Volker Grassmuck warnte vor dem fortschreitenden Gebrauch von Scoring-Algorithmen im Alltag. So hatte erst im November eine britische Versicherung Rabatte für Kunden angeboten, die ihre Facebook-Daten für eine Risikoabschätzung zur Verfügung stellten. Zwar hat Facebook den Datentransfer unterbunden, doch viele Versicherer bieten immer mehr Tarife an, die Kunden bevorzugten, wenn sie risikorelevante Daten zur Verfügung stellten.

Auch wenn es sich bisher nur um Rabatte handele, sei eine Preissteigerung bei den datensparsameren Versicherungstarifen zu erwarten. Folge: Insbesondere ärmere Bürger müssten mehr bezahlen. “Wer sich kein Smartphone oder Fitness-Armband leisten kann oder wer ein altes Auto fährt, zahlt mehr – denn die Zeichen von Armut werden mit Risiko korreliert”, erklärte Grassmuck. Diese Entsolidarisierung sei jedoch zu verhindern. So habe der Europäische Gerichtshof im Jahr 2011 entschieden, dass Frauen und Männern nicht unterschiedliche Versicherungstarife angeboten werden dürfen.

Volker Grassmuck kritisiert, welche weitreichenden Schlussfolgerungen aus bisher kaum offengelegten Scoring-Algorithmen resultieren
Volker Grassmuck kritisiert, welche weitreichenden Schlussfolgerungen aus bisher kaum offengelegten Scoring-Algorithmen resultieren Vergrößern

Scoring-Aufsicht gefordert

Die Verantwortung für die Datenauswertung den Verbrauchern zuzuschieben, halten die Studienautoren nicht ausreichend. Selbst wer zustimme, dass seine Daten genutzt werden, müsse geschützt werden. So sollten die Daten so weit wie möglich auf den Geräten unter Kontrolle des Nutzers gesammelt werden – und erst in aggregierter Forma an Versicherungsunternehmen übertragen werden.

Zudem plädieren die Wissenschaftler auch hier für eine staatliche Aufsicht. So sei bei der Bewertung von Scoring-Verfahren ein Verfahren denkbar, bei dem die Algorithmen inklusive der zu Grunde liegenden Trainingsdaten nicht-öffentlich von Experten kontrolliert werden. Zudem sollten Verbraucher mit einem verbesserten Widerspruchsrecht gestärkt werden.

(as)

Read more on: Source

Comments are disabled