Privatsphäre: Großteil der Bevölkerung fehlt Bewusstsein für Risiken im Internet
Für eine sichere Datennutzung braucht es technische Maßnahmen, aber auch ein Gefahrenbewusstsein der Bevölkerung. Dazu diskutierten Experten auf dem AnoSiDat.
Teilnehmer der Podiumsdiskussion auf dem AnoSiDat von links nach rechts: Engelbert Beyer, Leiter der Unterabteilung "Technologieorientierte Forschung für Innovationen" beim Bundesministerium für Bildung und Forschung; Esfandiar Mohammadi, Leiter des Kompetenzclusters AnoMed und der Arbeitsgruppe Privacy and Security von der Universität Lübeck; Matthias Steffen, CEO der Fuse-AI GmbH; Matthias Marx, ein Sprecher des Chaos Computer Clubs und Christian Zimmermann, Experte für Cybersecurity bei Bosch.
(Bild: Thore Suthau)
Wie kann die Gesellschaft für Datenschutz und mögliche Risiken für die Privatsphäre sensibilisiert werden und welche Techniken können zum Schutz der Privatsphäre eingesetzt werden? Darüber diskutierten Experten auf dem Anonymisierungskongress AnoSiDat. Für verschiedene Anwendungsfälle, etwa bei der Schwärzung von Gerichtsakten oder bei der Nutzung von Mobilfunkdaten, sind nach Ansicht der Experten unterschiedliche technische Maßnahmen erforderlich. Andernfalls könne die Privatsphäre der Bürgerinnen und Bürger nicht ausreichend geschützt werden und in der Folge könnte auch deren Vertrauen leiden. Problematisch sei, dass das Thema nicht leicht zugänglich sei, aber auch die mangelnde IT-Bildung der Bevölkerung spiele eine Rolle.
Die Entscheidung für den Förderschwerpunkt Anonymisierung fiel 2021, wie Engelbert Beyer, Leiter der Unterabteilung "Technologieorientierte Forschung für Innovationen" im Bundesministerium für Bildung und Forschung (BMBF), im Rahmen einer Podiumsdiskussion erläuterte. Damals bot sich die Chance, einen solchen Förderschwerpunkt zu setzen. Das BMBF beschäftigt sich schon seit vielen Jahren mit dem Thema Anonymisierung, aber noch nie so wie jetzt. "Daten sind der zentrale Rohstoff der vor uns liegenden Jahre und Jahrzehnte.
Daten können nur genutzt werden, wenn Gesundheitsrechte gewahrt werden", so Beyer. Daher sei das Thema Anonymisierung ganz zentral. "Das Bundesforschungsministerium investiert strategisch in Themen und Technologien, die an der Schwelle zur praktischen Realisierung stehen. Der Transfer aus der Wissenschaft in die Anwendung ist uns sehr wichtig. Wir erwarten, dass aus dem Forschungsnetzwerk Anonymisierung wichtige Impulse für die Datenökonomie entstehen", sagt Beyer gegenüber heise online.
Bevölkerung ist sich Risiken nicht bewusst
Nach Ansicht der Diskussionsteilnehmer ist sich ein Großteil der Bevölkerung der Risiken der digitalen Welt nicht bewusst. Dies liege unter anderem daran, dass das Fach Informatik in den Bundesländern erst in den vergangenen Jahren schrittweise als Pflichtfach startet. In neun von 16 Bundesländern gibt es jedoch keinen verpflichtenden Informatikunterricht. Wichtig sei es, die Bevölkerung zu sensibilisieren und besser zu informieren. Dies müsse bereits in der Schule vermittelt werden. Kinder sollten lernen, wie ein Computer funktioniert, so Matthias Marx, einer der Sprecher des Chaos Computer Clubs.
Marx berichtete, wo er kürzlich Datenlecks gefunden und gemeldet habe. Dazu gehörten zum Beispiel 3,4 Millionen Fluggastdatensätze, die zur Risikobewertung bei Zahlungsausfällen verwendet wurden, oder die Daten einer Fitness-App. Bei ihm sei inzwischen ein Gewöhnungseffekt eingetreten, so dass es ihn weniger erschrecke, wenn grundlegende Prinzipien des Datenschutzes und der Datensicherheit missachtet würden. Zudem würden häufig Daten erhoben, bei denen nicht klar sei, wofür.
Stand der Technik wichtig
Cyberkriminelle entwickeln dabei stetig neue Angriffsmodelle, daher ist der Stand der Technik von großer Bedeutung. Was heute noch als ausreichender Schutz gilt, ist übermorgen schon überholt. Daher sei laut Marx "eine jährliche Prüfung wichtig", die Matthias Steffen, der Chef der Fuse-AI GmbH, die medizinische KI-Produkte entwickelt, zuvor bemängelt hatte. Marx verstehe auch, dass das Arbeit bedeute. Als Medizinproduktanbieter muss Steffen regelmäßig überprüfen lassen, ob die Daten, die seine Systeme produzieren, angemessen geschützt werden.
Daten lassen sich viel besser schützen als bislang, wie auch die zahlreichen Projekte aufzeigen. Wichtig sei der aktuelle Stand der Technik: "Es kann morgen sein, dass meine Daten abfließen, und übermorgen werden sie deanonymisiert", so Marx. Für den Datenschutz seien bei datenverarbeitender Software daher technische Schranken unabdingbar, denn Kriminelle halten sich nicht an gesetzliche Vorgaben. Der Angreifer interessiere sich nicht dafür, "was wir dem System für Schranken setzen". Oft fehle es jedoch schon an den grundlegendsten Sicherheitsmaßnahmen, wie auch der noch amtierende Bundesdatenschutzbeauftragte, Ulrich Kelber, immer wieder betont.
Vieles noch in den Kinderschuhen
Laut Christian Zimmermann, Experte für Cybersecurity bei Bosch, arbeite man auch lieber mit anonymisierten Daten, "weil man da auch weniger Regulierungen einhalten muss". Viele Techniken stecken allerdings noch in den Kinderschuhen. Die Datensatzreinigung, beziehungsweise die klassische Anonymisierung von Datensätzen, ist laut dem Leiter des Kompetenzclusters AnoMed und der Arbeitsgruppe Privacy and Security von der Universität Lübeck, Esfandiar Mohammadi, "enorm schwer".
Ziel ist es, die Daten zu nutzen, sodass persönliche Informationen auch später noch geschützt bleiben. Dafür müssten die Methoden kontinuierlich evaluiert und weiterentwickelt werden. Machine Learning biete sehr viele Techniken, die dafür sorgen, dass die Privatsphäre besser geschützt wird. "Sofern man sich in der Gesellschaft dafür entscheidet, dass nichts über die persönlichen Informationen bekannt werden soll, dann müssen wir das ernst nehmen", appelliert Mohammadi.
Forscher keine Datenräuber?
Aus dem Publikum brach ein Hochschullehrer eine Lanze für die "akademische Welt" und griff dabei den CCC an, von dem er nicht als Datenangreifer bezeichnet werden wolle. Aus seiner Sicht sei es der Wissenschaft "völlig fremd", Daten zu missbrauchen; schließlich drohen ansonsten viele Risiken, etwa Strafzahlungen. "Der Ruf wäre ruiniert", das wolle er gar nicht. "Die Motivation, Daten zu klauen", bestünde nicht. Er sei es leid, dass alle Wissenschaftler wie "potenzielle Datenräuber" behandelt werden. Er wolle keine Daten, ihm würde es reichen, wenn die Daten dezentral verteilt werden, aber zur Verfügung stünden.
Verschiedene Arten von Datenräubern
Marx erwiderte daraufhin, dass es da keinen Zielkonflikt gebe. "Forschung muss möglich sein", beteuerte Marx. Er würde allerdings zwischen verschiedenen Arten von Datenräubern unterscheiden: Zwischen denen, die Daten stehlen und im Darknet verkaufen und "zwischen den Leuten vom Chaos Computer Club, die auf die Schwachstellen hinweisen, damit das in Zukunft nicht mehr passiert."
"Nach dem Vorfall von Cambridge Analytica, wo eine Uni benutzt und missbraucht wurde, um an Daten von Facebook zu kommen" und diese Daten dann an Cambridge Analytica für Zwecke weitergegeben hat, "zu denen Facebook eventuell nicht zugestimmt hätte", wolle Mohammadi nicht stehen lassen, dass alle Forschenden vorbildlich seien. Aus seiner Sicht tue sich für die Wissenschaft mit verschiedenen Gesetzen wie dem Gesundheitsdatennutzungsgesetz und weiteren Gesetzen, die sich in der Umsetzung befinden, schon viel. Es sei zunehmend wichtiger, Daten besser zu schützen.
Daten für mehr Sicherheit
Zimmermann hofft, dass es die Projekte auch zur Marktreife schaffen. Für ihn gibt es beim Thema Daten zwei Sicherheitsaspekte: Zum einen die Datensicherheit (Security), aber dann auch Daten, die verhindern könnten, dass Unfälle, beispielsweise beim automatisierten Fahren, nicht passieren (Safety). Da existiere natürlich, wie auch in anderen Bereichen, der Wunsch, Daten auch zur Sicherheit verwenden zu können.
(mack)