…die Quadratur des Kreises
ACHTUNG: Das aufmerksame Lesen dieses Artikels nimmt mindestens 10 Minuten ihrer Lebenszeit in Anspruch. Sollten sie länger brauchen, werden diese Daten jedoch nicht erfasst und gespeichert! In einer idealen Welt würden wir die nachfolgende Diskussion gar nicht führen – jeder wäre nett und würde vernünftig mit seinen und fremden Daten umgehen. Diese Daten wären zu jeder Zeit sicher abgelegt und vor fremden Zugriff geschützt und sie würden auch immer nur für einen kurzen Zeitraum gespeichert werden und danach unwiederbringlich zerstört. Verlassen wir diese Utopie und kommen zurück in die Realität. Eine Warnung vorab, dieser Artikel wird ihre schlimmsten Befürchtungen übertreffen und er ist wirklich seeehr lang geworden – sorry dafür.Gibt es noch Privatsphäre?
Wenn man gemeinhin der Diskussion in den Medien Glauben schenken würde, dann ist eh schon alles zu spät und wir sind alle dem Untergang geweiht und Orwells 1984 ist schon längst eingetreten. Diese Einschätzung mag ein wenig überzogen sein, aber vielleicht in Teilbereichen auch nicht. Mark Zuckerberg verkündete 2010 (!) bereits, dass Privatsphäre keine soziale Norm mehr wäre und es ein menschliches Bedürfnis wäre auch private Informationen öffentlich zu teilen. Natürlich stelle er ja mit Facebook “nur” die Plattform um dies zu ermöglichen. Dieses libertäre Gelaber ist manchmal wirklich sehr schwer zu ertragen. Aber hat er recht? Stellen wir uns nicht in bester Selbstdarsteller Manier täglich zur Schau? Facebook, Twitter, Instagram, Snapchat, Google Plus, die Amazon Wunschliste, selbst die Spotify Playlisten sind doch eigentlich tatsächlich nur Möglichkeiten unserem Narzissmus freien Lauf zu lassen. Erinnert sich noch jemand an den Werbespot der Sparkassen (!) aus den 2000ern: „Mein Haus, Mein Auto, Mein Boot“? Das moderne Pendant wäre: Meine Facebook Freunde, meine Instagram / Twitter Follower und so viele Leute finden meine Playlisten toll! (Full disclosure – im Selbstversuch hab ich gerade meine Twitter Follower mit einer kleinen Bot-Armee verhundertfacht und Twitter merkt es nicht bzw. tut nix dagegen).Wollen wir keine Privatsphäre mehr? Und wer hat überhaupt Daten?
Im digitalen Bereich könnte man fast davon ausgehen, dass die Nutzer sich dem Schicksal ergeben haben und achselzuckend und resigniert akzeptiert haben, dass Ihre Daten nicht mehr Ihnen gehören. Apple und Google wissen zu jeder Zeit wo ich bin (und zeigen mir das auch recht offenherzig in meiner Maps Historie), Google liest jede meiner eMails mit (natürlich nur um mir die perfekte Werbung zu zeigen – was übrigens weit entfernt von perfekt und optimal ist), Amazon weiß was ich alles kaufe, Netflix alles was ich gucke, Spotify alles was ich höre. Schon auffällig, dass ich hier fast nur US amerikanische Firmen nenne, aber auch United Internet / 1&1 (einer der größten Mail Provider weltweit) liest in der Logik all meinen eMailverkehr und nutzt diesen, um die Werbung, die per United Internet Media ausgespielt wird, zu optimieren. Es gibt halt nur mehr amerikanische Digitalriesen. Aber ist es jetzt die Schuld von Apple, Facebook, Google und Amazon? Was genau tun wir Nutzer weltweit pro Minute? Das hier: Wir versorgen die digital Wirtschaft jede Minute (!) mit Massen an Daten – freiwillig! Mit Ausnahme von Netflix sind alle aufgezeigten Dienste freie Dienste und wie hat Tim Cook, der CEO von Apple so schön gesagt? “Wenn Sie nichts für das Produkt bezahlen, dann sind Sie das Produkt!” Kleiner Hinweis am Rande, dieser Privatsphäre Hinweis ist übrigens gerade dieses Jahr aus dem Unternehmensbericht von Apple verschwunden, nachdem er Jahre lang dort zu finden war. Man gewinnt also schon den Eindruck, dass uns im digitalen Bereich unsere Privatsphäre nicht so wichtig ist. Aber was ist mit dem nicht-digitalen Bereich? Hier sieht es zumindest in Deutschland “noch” etwas beruhigender aus, oder?- Natürlich sammeln alle großen Einzelhändler Daten über unser Einkaufsverhalten, darüber hinaus gibt es dann ja noch Payback, Deutschlandkarte und natürlich noch sowas wie Miles&More, Topbonus und selbst der ADAC sammelt Daten zum Kaufverhalten (durch die ADAC Kreditkarte).
- Die großen Autohersteller sammeln Bewegungsdaten über die CarSharing Angebote und fragen Sie lieber nicht, wie oft ihr Premium Fahrzeug nach Hause telefoniert – ein Teil der Antworten könnte Sie verunsichern.
- Die Banken haben in Theorie und in Praxis vollen Zugriff auf Ihre Finanzen.
- Die Versicherungen holen sich jedes Datum was nicht bei drei auf dem Baum ist um ihr Risiko einzuschätzen.
- Ach ja und die Telefon-Riesen wissen natürlich auch wo sie sind (Funkmast) und mit wem sie wann und wie lange sprechen.
- Zu guter Letzt und weil das alles noch nicht genug war, laufen einige dieser Datenströme dann auch noch zentral bei einigen wenigen Unternehmen zusammen – SCHUFA, Creditreform und Infoscore. Nein die wissen nicht wann ich mit wem wie lange telefoniert habe, aber sie wissen ob und wann ich bezahle und z.T. welchen Betrag – damit Tarif – damit zu viel.
Ich kauf mir einen Alu-Hut!
Es gibt natürlich dann noch die Fraktion Alu-Hut. Die aufgrund der o.g. Realität dann den Umkehrschluss zieht, da mach ich nicht mit und sich allem und jedem verweigert und in die Extreme geht. Kein Facebook, kein Google, kein Amazon, kein Handy, nur Bargeld. So funktioniert es aber nicht. Aufgrund der Meta-Daten (Geld abgehoben am Automaten → Kamera plus Dateneintrag bei der Bank – analog in der Filiale / Einkauf im Supermarkt → Kamera / Einkauf auf dem Wochenmarkt → Kamera) kann man sich leider der Erfassung nicht entziehen – es sei denn, man kauft sich passend zum Alu-Hut noch einen tief sitzenden Schlapphut und eine Maske – aber ich weiss nicht ob dann der Besuch in der Bankfiliale nicht anders ausgeht. Also resignieren wir einfach und ergeben uns dem unvermeidbaren Orwell’schen Überwachungsstaat? Nicht so schnell.Warum sammeln Unternehmen eigentlich Daten?
Das Thema “big data” existiert nicht erst seit Google und Facebook. Die SCHUFA wurde 1927 in Berlin gegründet lange bevor es das ‚böse Internet‘ gab. Es gibt gute Gründe Daten zu erheben und diese für Voraussagen oder Produkt Optimierungen zu nutzen. Bleiben wir bei der SCHUFA. Die SCHUFA oder lang Schutzgemeinschaft für allgemeine Kreditsicherung ist eine privatwirtschaftliche deutsche Wirtschaftsauskunftei deren Geschäftszweck es ist, ihre Vertragspartner mit Informationen zur Bonität Dritter zu versorgen. Zu den Aktionären gehören Kreditinstitute, Handelsunternehmen und sonstige Dienstleister. Im Klartext – die SCHUFA bekommt von Vertragspartnern Daten zu Personen und Unternehmen um deren Kreditwürdigkeit einschätzen zu können und verkauft diese Einschätzungen an andere weiter. Der Sinn liegt auf der Hand. Wenn ich ein Hampelmann bin, der seine Rechnungen nie zahlt, dann meldet einer der Vertragspartner dieses Verhalten an die SCHUFA und Schwups sind alle anderen Vertragspartner, die meine Kreditwürdigkeit bei der SCHUFA anfragen gewarnt, und wissen was ich für ein Hampelmann bin. Die SCHUFA Holding AG verfügt über 797 Millionen Einzeldaten zu 66,4 Millionen natürlichen Personen und zu 5,2 Millionen Unternehmen (Quelle: Wikipedia). Damit hat die SCHUFA Daten zu 2/3 der deutschen Bevölkerung (wenn man Kinder abzieht ist es mehr als 2/3). In Theorie also ein super System und total gut so, dass diese Daten gesammelt werden. In Theorie! Warum das nicht der Fall ist, sprengt den Umfang dieses eh sehr lang werdenden Artikels, aber es sei hinreichend hier zu sagen, dass das Melden von negativem Verhalten natürlich interessanter ist, als das Melden noch positivem Verhalten. Warum sammelt Google Daten? Ganz klar, damit sie meine Bedürfnisse besser einschätzen können (was will der Trottel jetzt schon wieder kaufen), um dann diese Daten an Werbetreibende meistbietend verkaufen können. Nicht nur die Daten an sich, sondern zusätzlich auch noch die 3-4 spärlichen Plätze an denen ich Werbung im Internet sehe. Aus aktuellem Anlass springen wir einmal kurz in die USA – da gibt es eigentlich 3 marktdominierende Firmen – nein nicht Google. Equifax, Experian und Transunion sind die großen Brüder der SCHUFA, Creditreform und Infoscore. Equifax (gegründet 1899) alleine hält die Daten von ca. 800 Millionen natürlichen Personen und 88 Millionen Unternehmen und macht mit dem Verkauf der Kreditauskünfte pro Jahr so lockere 3.1 Mrd US-$ Umsatz. Im September diesen Jahres musste Equifax zugeben, dass Kriminelle durch einen Cyberangriff Zugang zu Daten von läppischen 143 Million U.S. Konsumenten hatten. Darunter die kompletten persönlichen Daten, die Sozialversicherungsnummer und z.T. die Führerscheinnummern (zur Erklärung: Die Sozialversicherungsnummer und die Führerscheinnummer in den USA entsprechen in etwa der deutschen Ausweisnummer. Diese identifizieren eine Person ein-eindeutig). Zusätzlich musste Equifax eingestehen, dass die Angreifer auch noch auf mindestens (!) 209.000 Kreditkartendaten zugreifen konnten (frag da mal einer nach PCI bitte – sorry Nerd Humor). Diese großen amerikanischen Drei (Big Three) dominieren den kompletten US-Markt und haben sich längst davon verabschiedet nur Daten zu Kauf- oder Kreditverhalten zu sammeln.Was kann man mit Daten eigentlich so machen?
Aber da hört es in den USA nicht auf. Dort existiert noch ein weiteres “Tierchen”, eine Spezies die es hierzulande (in Deutschland) offiziell nicht gibt, aber dessen Dienste sehr wohl auch in Europa angeboten und ebenso genutzt werden. Ich spreche von ‚Data Brokern‘ – Datenhändlern. Hört sich niedlich und harmlos an, ist aber der Albtraum für jeden Datenschützer und für jedwede Form von Privatsphäre. Data Broker sammeln und kaufen Daten aus allen erdenklichen Quellen, erstellen daraus Profile (nicht nur zur Kreditwürdigkeit und Kaufwunsch) und verkaufen diese wieder. Die amerikanische FTC (Handelskommission) hat im Jahr 2014 zu der Branche einen Bericht verfasst und dabei die größten 9 (!) Unternehmen identifiziert, die sich in dieser Branche tummeln: Acxiom, Corelogic, Datalogix, eBureau, ID Analytics, Intelius, PeekYou, Rapleaf und Recorded Future. Diese Firmennamen haben US Bürger mit Sicherheit noch nie gehört, dabei haben diese Unternehmen aber Milliarden (!) an Datensätzen und Informationen zu fast jedem (!) US-Bürger. Einer der o.g. Anbieter fügte ihrer Datenbasis im Jahre 2014, 3 Milliarden Datensätze pro Monat (!) hinzu. Diese Anbieter können aufgrund der Daten Aussagen zu einer Vielzahl von Merkmalen treffen u.a. ethnische Herkunft, Geburtsdatum jedes Kindes im Haushalt, welche Sprache im Haushalt gesprochen wird, ob man einen Kamin hat, ob man ein Online Influencer ist, ob man Golf spielt, jemand gerade verstorben ist, ob man viel nach Krankheiten sucht, ob und wieviel man Online einkauft, usw usf. (eine komplette Liste findet man hier. So abstrus sich das alles anhört, so einfach ist es jedoch diese Daten zusammen zu kaufen und diese recht “simplen” Analysen zu erstellen. Die Gefahr liegt weniger in dem Profil der Einzelperson – so widersinnig sich das anhört – sondern in der Aggregation. Wenn einer dieser Data Broker also lernt, dass ich zur Gruppe “Biker Enthusiasts” gehöre, dann kann das sinnvoll eingesetzt werden um mir Rabatte beim Motorrad oder Motorradzubehör Kauf einzuräumen – ABER eine Versicherung kann in einem anderen Kontext diese Klassifizierung hernehmen und mir unterstellen, dass ich risikobereiter bin. Ein weiterer aktueller Fall der zeigt, wie man mit wenig Daten, viel “anstellen” kann: Das Standford AI Program hat ein Programm entwickelt, welches anhand von männlichen oder weiblichen Fotos, deren sexuelle Orientierung “erkennt”. Während Menschen aufgrund eines Fotos die jeweilige sexuelle Orientierung “nur” zu 61% (bei Männern) und zu 54% (bei Frauen) erkannten (oder rieten) – so erkannte das neuronale Netz (nein, das ist keine AI) dies mit einer unglaublichen Wahrscheinlichkeit von 91% bei Männern und über 80% bei Frauen. Ok aber was heisst das jetzt? Das Programm wurde gerade mal mit 7.000 (!!!!) Fotos antrainiert! Wenn man also zum Spaß ein Fünftel der Facebook Nutzer (so ca. 200 Mio) zu Testzwecken nehmen würde, könnte dann ab sofort JEDES Foto gleich mit dem Attribut homo/ hetero ergänzt werden. Nochmal JEDES Foto würde durch ein simples System die sexuelle Orientierung des Fotografierten preisgeben!! Wie weit dies geht und wie alt diese Techniken sind, zeigt dieses Musterbeispiel von Target aus dem Jahre 2012. Nehmen wir folgendes hypothetisches Beispiel: Eine Käuferin, nennen wir sie Jenny Ward, 23, wohnhaft in Atlanta kauft im März Kakao-Butter-Lotion und eine große Tasche, die man auch als Windeltasche nutzen kann. Zusätzlich kauft sie noch Zink und Magnesium Tabletten und eine hellblauen Teppich mit Baby Motiven. Daraus errechnet Target eine 87% Wahrscheinlichkeit, dass unsere Jenny schwanger ist und der Geburtstermin Ende August sein wird. Wahnsinn? Leider nein. Im obigen Artikel wird ein ähnlicher Fall erläutert wo sich eine Familie bei Target beschwerte warum denn ihre minderjährige Tochter plötzlich Post von Target bekommen würde mit Angeboten für Baby-Kleidung, Baby-Nahrung, etc.. Als Target dem Ganzen auf den Grund ging, empfiehl sie dem Vater doch mal mit seiner Tochter zu sprechen. Daraufhin entschuldigte sich der Vater öffentlich bei Target und gab bekannt, dass seine Tochter schwanger wäre und sogar der von Target vorausgesagte Entbindungstermin würde stimmen. Daten lügen nicht ! Ok, das ist jetzt aber alles nur in den USA so, oder? Mitnichten – wie beim CCC Kongress im Dezember 2016 eindrucksvoll durch Svea Eckert (NDR) und Andreas Dewes bewiesen wurde, war es mit simpelsten Methoden des Social Engineering möglich, einzelne Personen über Meta-Daten zu identifizieren und z.T. sogar unangenehme (und unappetitliche) Details in Erfahrung zu bringen. Nehmen wir mal ein offline Beispiel aus Europa. Wie leider jedem bekannt ist, muss die britische Hauptstadt derzeit leider sehr viele Anschläge über sich ergehen lassen. Was dem ein oder anderen auch noch bekannt ist, ist, dass London eine der best überwachtesten Städte weltweit ist (nur geschlagen von Peking) – soviel zu dem Argument, dass CCTV (Kameraüberwachung) Anschläge verhindert – riesen großer Schwachsinn! Die aktuellste Zahl aus dem Jahr 2013 besagt, dass es pro elf Einwohner eine Kamera gibt. Der Vorteil dieser fast nahtlosen Überwachung ist, dass NACHDEM ein Anschlag erfolgt ist, quasi lückenlos der Weg des oder der Attentäter zurück verfolgt werden kann. Man braucht also nicht den ganzen Kram aus “Der Staatsfeind Nummer 1” sondern es reicht eine Kamera aus, die komplett vernetzt ist. Wenn man solche Überwachung mit dem Versuch der Standford Uni koppelt, weiss man immerhin schon mal die sexuelle Orientierung. Wenn man das weiter denkt, landet man bei einer Serie namens “Person of Interest” (auf Netflix verfügbar). Ach ja, Personen und Gesichtserkennung ist nicht mehr nur NSA und Geheimdienste Zeugs. Diese Jungs zeigen hier, wie man das mit Elektronik um die 50€ selbst baut. Soviel zu dem Aufschrei beim Feldversuch in Berlin – weiss der Geier wieviele von diesen Smart Kameras schon längst überall rumhängen.Wie sicher sind meine Daten und wie lange werden die genutzt?
Jetzt nähern wir uns langsam einem echten Problem. Wie nun in epischer Breite erklärt, erzeugen wir bewusst und unbewusst Unmengen an Daten und es werden ohne unser Wissen noch mehr Daten über uns erfaßt. Wenn diese Daten einmal erzeugt wurden, stellen sie einen, wie auch immer gearteten Wert dar. Für Google die Suchanfrage, für Facebook der Like, für Instagram das Foto, für Rewe der Einkauf. Aber was ist mit dem Wert der Videoaufnahme im Späti? Oder im Bahnhof? Solange diesen Daten nicht ein monetärer Wert entgegen steht, ist es unwahrscheinlich, dass jemand diese Daten kauft, oder? In Europa sind Data Broker nicht ganz so aggressiv wie in den USA, aber in Theorie können auch diesen Daten angekauft und aggregiert werden. Aber warum eigentlich? Sollte das Video von mir im Späti nicht gelöscht werden, wenn der Späti nicht überfallen wurde und am Ende der Woche auch sicher ist, dass nix geklaut wurde? Ist das Liken eines Fotos / Posts auf Facebook heute nicht aussagekräftiger als der Like vor 4 Wochen? Ja und ja. ABER – Speicherplatz kostet nichts mehr. Jeder Späti Besitzer kann an seine Kamera eine 1TB Festplatte hängen und speichert so Daten über Jahre. Für Facebook, Google und Co. ist es TEURER einen Datensatz zu löschen als ihn für immer zu speichern! Damit müssen wir davon ausgehen, dass alle Datenpunkte die wir zu jedem Zeitpunkt erzeugen für die Ewigkeit existieren werden. Dies ist etwas was wir Menschen psychologisch gar nicht verarbeiten können. Mutter Natur hat uns mit Absicht das Vergessen gegeben, damit wir uns diesen ganzen Quatsch nicht merken müssen. Der Trennungsschmerz der letzten Beziehung? Suuuuper schlimm, 4 Monate später – war da was? Ach ja, naja nicht so schlimm. Diese dauerhafte Sicherung jedes noch so kleinen Datenpunktes holt einige schneller ein als andere (siehe Donald Trump’s alte Tweets) – aber es ist vor allem eins: Unnatürlich! Der Wert und die Aussagekraft eines Likes mag die Halbwertzeit von einem Monat haben, aber meine Likes von vor 3 Jahren werden immer noch verkauft und oder zur Analyse herangezogen. Nur weil ich damals Nike’s toll fand, heisst das nicht, dass ich die noch heute toll finde.Kommen wir zum Thema Sicherheit
Wie das Equifax Beispiel zeigt, werden auch große Unternehmen zum Ziel von Kriminellen und auch erfolgreich angegriffen (ok die argentinische Datenbank von Equifax war jetzt nur so mäßig mit dem Passwort Admin gesichert, aber in Theorie). Außerdem sammeln diese Unternehmen Daten seit Jahrzehnten und gehen normalerweise vernünftig damit um. Aber was ist mit den anderen Datensammlern? Wenn im Späti eingebrochen wird und die Festplatte geklaut wird, war die sicherlich verschlüsselt. Na klar. Oder nehmen wir unseren persönlichen Umgang mit unseren Daten. Smartphone verkauft – alles brav zurückgesetzt? Laptop verkauft – Festplatte mehrfach überschrieben? Laptop geklaut – sicherlich ein super sicheres Passwort genutzt und die Festplatte verschlüsselt, oder? Was ist mit den Startups? Jedes Pitchdeck welches ich in den letzten 8 Jahren gesehen habe, hatte immer ein “big data play” (gähn) dabei. Aber was passiert mit den Daten wenn diese Firmen pleite gehen? Nimmt die der letzte Mitarbeiter mit nach Hause? Werden die sauber gelöscht oder vielleicht doch noch an jemanden verkauft? Das trifft übrigens auch auf “normale” Unternehmen zu. Zusätzlich zur endlosen Speicherung der Daten und der unzureichenden Sicherung der erfassten Daten, kommt noch der z.T. rücksichtslose Umgang mit ebendiesen. Hat jemals jemand folgende eMail bekommen?Betreff: Datenlöschung Lieber Nutzer, leider müssen wir unseren Dienst X aufgrund von Erfolglosigkeit einstellen, daher können sie hier (Link) die von uns über sie gesammelten Daten herunterladen. Ab Datum XY werden wir alle diese Daten restlos und unwiederbringlich zerstören. MfG Dienst BLAHab ich nicht bekommen, weder von MySpace, noch StudiVz oder sonst einem der tausend Dienste die ich mal genutzt habe. Auch nicht von Wal-Mart – als es die mal in Deutschland gab – oder einem anderen Offline Dienst der Pleite ging. D.h. im Notfall liegen die Daten noch irgendwo oder wurden an wen auch immer verkauft und ich hab keine Ahnung mehr wer die jetzt alle hat.