Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

Teil 2: Einige Aspekte zum Thema Anonymität und Pseudonyme

Welche Rolle spielen Anonymität, Pseudonymität und wann muss diese (teilweise) aufgehoben werden?

 

Hier geht es um die Bedeutung von Anonymität, mehr zu De-Anomymisierung in meinem Artikel zu Data Mining.

Autor Philipp Schaumann - Stand Juli 2014

Die Diskussion rund um Google+, Klarnamenzwang und den Nymwar

Mit der Einführung von Google+ im Herbst 2011 ist eine heftige Diskussion rund um Pseudonyme entstanden. Google hat nämlich verkündet und damit begonnen, aktiv gegen alle vorzugehen, von denen sie glauben (oder von denen jemand der ihnen nicht wohlgesonnen ist, z.B. die Regierung eines autoritären Staates, behauptet) sie würden nicht ihren richtigen Namen verwenden.

    Einschub - Juli 2014: Google meldet, dass der Kampf um Klarnamen ein Fehler war und erlaubt jetzt auch Pseudonyme in Google+ (und damit auch in den damit verbunden Youtube, Google Play, etc. Das entwertet aber nicht den grundsätzlichen Artikel hier, denn die Forderung zum Klarnamenzwang wird ja auch noch von anderen Dienst-Anbietern erhoben und von Facebook noch sehr aggressiv durchgesetzt.

Der folgende Abschnitt bezieht sich stark auf den sehr lesenswerten Beitrag On Pseudonymity, Privacy and Responsibility on Google+. Der Autor beginn mit einem Zitat aus einem Urteil des US-Supreme Court 1995:

    . . . Anonymity is a shield from the tyranny of the majority. . . . to protect unpopular individuals from retaliation . . . at the hand of an intolerant society.

Und an dieser Notwendigkeit hat sich leider noch nie etwas geändert. Der Autor zitiert auch die berühmt/berüchtigten Äußerungen von Zuckerberg "Having two identities for yourself is an example of a lack of integrity" und "The days of you having a different image for your work friends or co-workers and for the other people you know are probably coming to an end pretty quickly".

Dann beschreibt er sehr eindringlich und überzeugend warum diese Einstellung extrem naiv ist und nur von jemandem kommen kann, der noch nie für einen Arbeitgeber gearbeitet hat und der offenbar auch in all seinen anderen Interessen absolut "Mainstream" ist. Er bringt viele Beispiele warum es viele Nutzer des Internets gibt, die es sich z.B. nicht leisten können, dass ihr Arbeitgeber, oder die gesamte Öffentlichkeit ihr Privatleben im Detail mitverfolgen kann, obwohl ihre Aktivitäten legal sind und die daher auch unter einem Pseudonmy aktiv sein wollen. Das sind z.B. Lehrer die Angst haben müssen, dass die Eltern ihrer Schüler sich an ihren Datin-Aktivitäten stören, das sind aber auch Opfer von häußlicher Gewalt, die Angst haben, von dem früheren Verfolger gefunden zu werden (und viele andere mehr).

Der Autor trennt dabei zwischem dem was er "persistent pseudonym" nennt und einer Wegwerfidentität (oder Wegwerf-Account), unter der sich jemand in einem Netzwerk anmeldet und dann Spam verbreitet oder als Troll die anderen Teilnehmer nervt. Mit einem Persistent Pseudonym baut sich jemand ein Netzwerk von anderen Menschen auf, mit denen er sich z.B. Themen austauscht, von denen seine direkte Umwelt (Arbeitgeber, die Kinder, Kirchengemeinde, Kunden) nicht wissen sollen, z.B. die Politik oder auch Sexualität, um damit dem Zwang zur ständigen Anpassung an die Mehrheitsmeinung zu entgehen.

Die Tyrannei der Mehrheit ist aber nicht der einzige Grund, es sind auch die "Störungen" von Einzelnen, z.B. gestörte "Verehrer" die zum Stalker werden, die abgewiesenen Liebhaber mit der Einstellung "wenn ich sie nicht haben kann, dann soll sie keiner haben" und alle, die Gewalt in der Ehe irgendwie entkommen sind. Die sind über die riesige Datenbank die das Internet mit Social Networking und Diskussions- und Selbsthilfeforen heute darstellt sofort aufzufinden wenn sie z.B. gezwungen werden (wie Facebook und Google+ das versucht), mit ihrem "richtigen Namen" aufzutreten. Der Autor schildert sehr viele Beispiele wo das Aufdecken eines Pseudonyms bis zum Tod des Opfers geführt hat. Auch die jetzt überall eingeführte Gesichtserkennung kann zur Entdeckung führen (z.B. durch "getaggt werden" durch andere).

Aber auch schon der Wunsch, in einer Diskussion nicht ständig belästigt zu werden, ist ein ausreichender Wunsch nach der Legitimität von Pseudonymen: Female-Name Chat Users Get 25 Times More Malicious Messages: "A study by the University of Maryland's A. James Clark School of Engineering found that chat room participants with female usernames received 25 times more threatening and/or sexually explicit private messages than those with male or ambiguous usernames."

 

Mehr zu Nick-Names und Klarnamen-Zwang an anderer Stelle.

Und wiederum an anderer Stelle, wie Facebook gegen Pseudonyme kämpft.

2014 schreibt Violet Blue eine heftige und fundierte Kritik über das, was sie bereits 2011 als Nymwars bezeichnete: der Kampf gegen die Anonymität im Internet, bei der es durchaus Opfer zu beklagen gibt.

Der Kampf ist seit 2011 in kleinen Schritten immer weiter getrieben worden:

    "On November 6 2013, Google changed its YouTube property to only allow comments from Google+ accounts, thus de-anonymizing commenters, as the principal element of its site-wide comments overhaul. In the background, Google+ began "unifying" people's identities (combining its background matching of users names and profiles) in Android address books."

Auch Menschen, die gar keinen Google Plus Account angelegt haben, sind davon betroffen. Denn Google hat alle Accounts bei ihren Diensten, d.h. die Pseudonyme in gmail, g+, youtube, google talk und die Android Photo integration und Android SMS-accounts mehr oder weniger heimlich zusammengeführt und die Korrespondenz- oder Kommunikationspartner bekamen/bekommen entweder die Klarnamen oder umgekehrt, Arbeitskollegen bekommen/bekommen Messages mit den Nicknames als Absender, Kommentare in Youtube waren auf einmal mit den Klarnamen versehen. Zwangsouting von Homosexuellen, Dissididenten, Menschen die sich vor gewaltätigen Ex-Partnern verstecken und anderen, bei denen sich Job und private Identität (in einer Welt voller Vorurteile) nicht gut vertragen.

 

Definition(en) und Bedeutung von Anonymität aus soziologischer Sicht

Ursprünglicher Anlass für diesen Beitrag war ein Artikel von Gary T. Marx zur Anonymität aus soziologischer Sicht. Auf meiner Seite zu Privatsphäre beklage ich ausführlich den immer stärker werdenden Verlust an Privatsphäre. Dies ist aber sehr eng mit dem Konzept der Anonymität verknüpft. G. Marx hinterfragt in seinem Artikel, wie die Abwägung zwischen diesen beiden Polen eigentlich abläuft.

Er fordert seine Studenten heraus, sich eine Welt vorzustellen, in der es keine Anonymität gibt, jeder weiß alles über jeden. Welche Konsequenzen hätte das? Und dann fragt er, was wäre, wenn wir über keinen unserer sozialen Kontakte Informationen bekommen könnten, wäre das eine wünschenswerte Situation, vollkommene Anonymität. Sehr schnell merkt man, dass das natürlich ebenfalls eine Katastrophe wäre.

Ausgehend davon schlägt er eine Kategorisierung von verschiedenen Aspekten von Anonymität vor und unterscheidet dabei:

  • Anonymität im eigentlichen Wortsinne: ich kenne den Namen (den 'nomen') meines Gegenübers nicht
  • Ich weiß nicht, wie ich den Anderen erreichen kann, sei es über die Wohnanschrift, oder eine E-Mail-Adresse, oder eine Telefonnummer. So bin ich zwar im Online-Dating normalerweise zu Beginn anonym, aber andere Menschen können mich über eine (für diese Personen anonyme) E-Mail-Adresse erreichen
  • Ich weiß zwar weder Namen noch Kontaktinfo, aber der Andere weist sich durch etwas aus (ein Symbol), was ihm eine andere Stelle gegeben hat (trusted third party). Z.B. eine Kundennummer, Kundenkarte, Sozialversicherungsnummer, etc. Auf diese Weise bin ich oft in der Lage, festzustellen, ob der Andere Anspruch auf eine Leistung hat, ohne dass ich ihn wirklich kennen muss. Dieses Symbol lässt sich zwar theoretisch zur Person zurückverfolgen, aber dies setzt oft erheblich Ressourcen voraus, der Verkäufer an der Kasse hat vermutlich nicht die Möglichkeit. So etwas wird manchmal statt Anonymität Pseudonymität genannt
  • Pseudonyme sind eine andere Möglichkeit, mit dem Wunsch nur Anonymität umzugehen und trotzdem eine Zuordnung zu genau einer Person zu haben. So werden anonyme HIV-Tests oft durchgeführt, indem der Betroffene sich ein Pseudonym ausdenken kann und unter diesem kann er später auf die Testergebnisse zugreifen. Hier ist eine Rückführung auf die Person selbst nicht möglich
Ja, es ist manchmal überraschend, was man in der Öffentlichkeit alles mithören kann, bzw. muss. Der Grund ist, dass Privatsphäre die beiden Aspekte Vertraulichkeit und Anonymität hat. Die Telefonierer in der U-Bahn halten sich für anonym und deswegen geben sie die Vertraulichkeit ihrer Telefonate freiwillig auf.

  • Wann immer ich mich in der Öffentlichkeit bewege, verliere ich einen gewissen Teil meiner Anonymität. Die Leute, die mich sehen, kennen zwar vermutlich weder Namen noch Wohnort, aber sie wissen "das ist der ältere Mann, der jeden Morgen gegen 8 Uhr in der U-Bahn im letzten Wagon fährt". Graffitikünstler werden evtl. an ihrem Stil erkannt, ohne als Person erkannt zu werden, manchmal gibt es anonyme Spender, die wegen ihres speziellen Stils nicht 100% anonym sind, obwohl niemand ihren Namen kennt. Zum Teil ergeben sich Aspekte meiner Person einfach dadurch, dass ich zu einer bestimmten Zeit an einem bestimmten Ort bin, z.B. in der Kirche einer bestimmten Religion
  • Manchmal bin ich zwar fast anonym, aber es ist doch für die soziale Interaktion wichtig, dass gewisse Aspekte meiner Person dem Gegenüber bekannt sind. Z.B. mein ungefähres Alter, wenn ich Zigaretten oder Alkohol kaufen möchte. Oder mein Geschlecht.
  • Eine andere Situation liegt vor, wenn ich mich mit einer vorher gekauften Kinokarte ausweise. Der Kontrolleur am Eingang des Saals weiß nichts von mir, außer dass ich berechtigt bin, jetzt diesen Film zu sehen. D.h. ich besitze ein Artefakt, das zwar nichts über meine Person aussagt, aber über die Rechte, die ich an diesem Ort habe. Auch die Kenntnis eines Passwortes kann eine solche Tatsache sein

Wie wir daraus sehen, deckt der Begriff Anonymität einen sehr weiten Bereich ab. Total anonym bin ich höchstens, wenn ich tief verschleiert durch die Straßen gehe. In unterschiedlichen Situationen gebe ich andere Aspekte meiner Person preis, damit ich in soziale Interaktion treten kann.

Wie schwierig es auf Grund der heutigen Technologien ist, anonyme Daten zu erzeugen, zeigt der Skandal rund um die Suchanfragen von AOL. Sie haben, um Wissenschaftlern zu helfen, auf einer speziellen Website 20 Millionen Suchanfragen von 657 000 Kunden zur Verfügung gestellt, und zwar in anonymer Form. Die Anfragen sind nach Kunden geordnet, aber IP-Adresse und Name des Kunden wurden durch Nummern ersetzt. Diese Daten sind mittlerweile ausgewertet worden und sie bieten einen guten Überblick, was einzelne Personen so alles gesucht haben. Reporter haben einzelne Personen identifiziert und kontaktiert, quasi als Demonstration, wie wenig anonym wir heute sind.

Das Sammeln von Metadaten durch die Geheimdienste ist eine typische Verletzung der Anonymität, mehr zur flächendeckenden Überwachung an anderer Stelle.

Ein wichtiger Aspekt beim Thema "Anonymität" ist, dass es früher so etwas wie "practical obscurity" (praktische Verborgenheit) gab. Viele Informationen über Mitbürger waren zwar nicht wirklich geheim, aber das meiste war nur für sehr clevere Privatdetektive zu finden. Heute ist das anders: Wir haben das Internet und Google und Informationen sind heute leicht für jeden zu finden. D.h. die Welt ist viel viel transparenter und die Informationen werden immer besser miteinander verlinkt auf aufzufinden.

 

Wann sollte oder muss komplette Anonymität (teilweise) aufgehoben werden?

Welche sozialen Konzepte oder Interaktionen erfordern eine (teilweise) Aufhebung der Anonymität?

  • ganz wichtig ist, was man im Englischen als "Accountability" nennt, die Möglichkeit, jemanden zur Rechenschaft ziehen zu können oder zur Verantwortung, dies ist der Kern des sog. Vermumungsgebots bei Demonstrationen in D., aber auch die Nummern, die Polizeibeamte in manchen Ländern tragen und andere Namensschilder
  • um die Reputation meines Gegenübers abschätzen zu können, z.B. durch Austausch von Visitenkarten oder das Tragen von Namensschildern auf Kongressen
  • für die Reziprozität, d.h. eine Form der kooperativen Wechselwirkung, bei der einer der Partner erst später dafür belohnt werden wird, was er dem Anderen vorher Gutes getan hat, d.h. er muss wissen, von wem er noch etwas zu erwarten hat
  • um die Effektivität von Dienstleistungen zu erhöhen. Dies wird heute manchmal auch nur als Vorwand gebraucht, um mehr Informationen über einen Kunden erheben zu können, andererseits kann der Service durchaus gezielter geleistet werden, wenn ich mehr vom Anderen und seinen Wünschen und Problemen weiß
  • um zu klären, ob jemandem ein (behördlich vergebenes) Recht zusteht, z.B. das Recht zu wählen, ein Auto zu fahren, Alkohol oder Zigaretten zu kaufen, jemanden zu operieren, elektrische Leitungen zu verlegen. Dies setzt aber nicht unbedingt voraus, dass ich den Namen der Person kennen muss. Wie oben erklärt, reicht für das Recht, Alkohol zu kaufen, der Augenschein, dass ich über 18 bin.
  • um über eine Entfernung oder in einem zeitlichen Abstand Handlungen vornehmen zu können, z.B. der Einkauf im Internet über Kreditkarte, aber auch hier muss der Name auf der Kreditkarte nicht unbedingt mein eigener sein. Ein Beispiel für den zeitlichen Abstand ist das Vornehmen einer Reservierung im Lokal. Oft genügt dafür, dass ich mir einen Namen ausdenke, der dann quasi als Codewort dient, manchmal wird auch eine Telefonnummer verlangt, d.h. das Lokal hat schlechte Erfahrungen gemacht und verlangt eine Verringerung meiner Anonymität von mir
  • wissenschaftliche Zwecke
  • gesundheitliche Aspekte. Es gibt Situationen, in denen es wichtig ist, dass der behandelnde Arzt, auch in einer Notfallsituation, weiß, welche Allergien ich evtl. habe
  • als grundlage von menschlichten Beziehungen. Beziehungen können sich nur bilden, wenn ich weiß, mit wem ich es zu tun habe
  • als Hilftestellung in sozialen Situationen. Dies wird oft erreicht, indem z.B. das Personal durch eine bestimmte Kleidung von den anderen Kunden zu unterscheiden ist

Kern dieser Aufzählung ist, dass in der sozialen und gesellschaftlichen Interaktion Trust (d.h. Vertrauen in mein Gegenüber) und die Möglichkeit, andere zur Verantwortung zu ziehen, in vielen Situationen eine Einschränkung der Anonymität verlangt. Wünschenswert ist dabei, wenn ich dabei nur so viel von meiner Privatsphäre preis geben muss, wie gerade für diese Situation notwendig ist.

Ein gutes Beispiel, wie dies technisch implementiert werden kann bietet der (mittlerweile leider gescheiterte) SET-Standard für Kreditkartentransaktionen im Internet. Einer der Ziele dieser Standards war, dass jeder Beteiligte, d.h. der Händler, die Kreditkartengesellschaft und meine Bank, jeweils nur so viel Informationen bekommt, wie für sie notwendig ist. So muss der Händler nicht wissen, was mein Bankkonto ist, nicht mal meine Kreditkartennummer braucht er, wenn er sicher sein kann, dass er sein Geld bekommt, d.h. dass ich für diesen Betrag kreditwürdig bin. Falls die Lieferung elektronisch, z.B. durch Download, passiert, so muss er nicht mal wissen, wie ich heiße und wo ich wohne. Andererseits muss die Bank und die Kreditkartengesellschaft nicht wissen, was ich mir für diesen Betrag gekauft habe.

Das heißt, bei optimaler Implementierung einer Interaktion entsteht eine Teilanonymität, die gerade so viel preis gibt, wie für eine für alle Beteiligten sichere Durchführung notwendig ist.

 

 

 

Zurück nach oben

Schein-Anonmyität, Anonymisierungen und Pseudonymisierungen

April 2011 berichten die Zeitungen, dass Apple im iPhone eine Datei mit allen Aufenthaltsorten des iPhones speichert. ". . . . Apple said it collects the location data anonymously . . . .". In der gleichen Woche wird folgendes berichtet: Google Says It Collects Location Data on Phones. Und wieder: ". . . Google said Friday that it collected location data from Android phones, but that it did so anonymously . . ."

Aufenthaltsdaten über eine Person die sich über einen längeren Zeitraum, z.B. eine Woche erstrecken sind NIEMALS wirklich anonym. Mal angenommen, die Daten betreffen eine Person die regelmäßig zur Arbeit fährt und abends irgendwann nach Hause. In diesem Fall gibt der Standort im 3 Uhr morgens mit einer hohen Wahrscheinlichkeit den Wohnort an, genau bis auf das Haus. Wenn die Person jeden Tag der Woche an einem anderen Ort ist, so ist dies mit hoher Wahrscheinlichkeit die Arbeitsstätte. Und die Kombination dieser beiden Orte ist für 98% oder 99% aller Personen eindeutig. D.h. mit etwas Aufwand lässt sich die Person bei Bedarf jederzeit identifizieren.

Dies ist nur 1 Beispiel was im Rahmen von Data Mining an Erkenntnissen gewonnen werden kann (der Link führt zu einem ganzen Artikel dazu). Dort wird auch berichtet, dass Untersuchungen zeigen, dass 87% aller Amerikaner durch die Verknüpfung von Geburtsdatum, Geschlecht und Postleitzahl eindeutig identifiziert waren.

Das heißt, wirklich Anonymität ist eigentlich heute nur sicher herzustellen, wenn KEINE Daten erhoben werden. Was bedeutet dies aber für die notwendige Anonymisierung, z.B. wenn Gesundheitsdaten für Forschungszwecke verwendet werden sollen (was ja durchaus sehr sinnvoll ist)? Die Antwort ist, dass ein Anonymisierung (oder auch Pseudonymisierung) sehr gut geplant sein muss. Wie das obige Beispiel zeit reicht es ja nicht, den Namen und die Straße zu entfernen wenn das Geburtsdatum unverändert drin bleibt. D.h. jemand der Daten anonymisieren möchte muss sich sehr überlegen wie er(sie) mit jedem einzelnen Datenelement umgehen darf. Es hängt von der Kombination der Elemente ab, ob die Daten wirklich anonym sind.

Es gibt spezielle Software die bei diesen Vorgängen helfen kann. Wenn z.B. das Alter der Patienten sehr wohl von wissenschaftlichem Interesse ist, so kann bei diesen Programmen eingestellt werden, dass sich Geburtstdatum mit einer vorgegebenen Bandbreite zufällig variiert werden soll. Oder es wird einfach nur das Geburtstjahr (oder Jahrzehnt) verwendet. Aber auch Postleitzahlen können gefährlich sein. Die deutschen 5-stelligen Postleitzahlen geben in einem Dorf sehr oft sehr genaue Hinweise, speziell wenn es in dieser Straße nur 1 90-jährigen gibt.

Pseudonymisierung nennt man solche Vorgänge, wenn jeder Datensatz mit einer eindeutigen Zufallskennung (dem Pseudonym) versehen wird, so dass es später möglich ist, z.B. nach einer Auswertung wieder zur Person zurückzufinden. Dies kann verwendet werden wenn die auswertende Stelle keinen Zugang zur Identität der Personen haben darf, die Stelle die die Daten gesammelt hat (und die Auswertung beauftragt hat) aber sehr wohl.

Was bedeutet das für Stellen, die Daten anonymisieren sollen? Der wichtigste Aspekt ist für mich, dass die Erfahrung zeigt, dass die meisten Anonymisierer die Kreativität und die Möglichkeiten der De-Anonymisierer falsch einschätzen. Beispiele dafür finden sich im obigen Link zu Data Mining.

 

 

 

Zurück nach oben

Die Unterscheidung zwischen Autorisierung, Identifizierung und "Claims"

Ein wichtiges Konzept ist bei der Diskussion der Anonymität die Unterscheidung zwischen Autorisierung und Identifizierung. Bei der Identifizierung wird die Identität einer Person festgestellt, z.B. durch Vorlegen eines Ausweises, der an diese Person gebunden ist. Autorisierung dient dazu, festzustellen, ob ich ein Anrecht auf einen bestimmten Service habe. Um z.B. meine Berechtigung zum Workout in einem bestimmten Fitness-Center nachzuweisen muss im Prinzip nur meine Mitgliedskarte geprüft werden, nicht meine Identität festgestellt werden.

    Einschub zu Identität: (Hauptquelle dieser Gedanken ist Identity and its verfication von Bohm und Mason (pdf))
    Der Begriff Identität selbst ist nicht einfach zu definieren. Sehr oft wird Identität am Namen im Pass festgemacht. Aber Namen ändern sich oft, z.B. bei Heirat. Selbst die Namen in Geburtsurkunden werden bei einer Adoption geändert. Das einzige das wirklich konstant bleibt ist die leibliche Person und die könnte man höchstens an Hand einer DNA-Probe feststellen (zur Problematik von DNA-Proben an anderer Stelle), selbst Fingerabdrücke verändern sich im Alter, bzw. werden schwächer.
    Das Feststellen der Identität an Hand eines Passes besagt eigentlich nur, dass zum Zeitpunkt der Pass-Ausstellung jemand mit einer Geburtsurkunde (echt oder gut nachgemacht) und einem Passfoto auf einem Amt war und einen Pass beantragt hat - so einfach ist es, einen Pass für einen bestimmten Namen und das eigene Gesicht zu bekommen. Dieser Pass enthält eine Passnummer, die das Problem der Nicht-Eindeutigkeit des Namens lösen soll, aber mit Ablauf des Passes durch eine andere Nummer ersetzt wird. Deutsche Staatsbürger dürfen bei entsprechender Begründung sogar 2 Pässe gleichzeitig besitzen, mit unterschiedlichen Passnummern. Wenn also z.B. in einem Handyshop mit diesem Pass ein Handy angemeldet wurde, so besagt diese Identitätsfeststellung nicht wirklich viel. Es ist lediglich eine logische Verlinkung dieser SIM-Karte mit einem Akt bei der Stelle wo der Pass beantragt wurde.
    In vielen Fällen kann ich aber noch viel einfacher eine (scheinbare) Identität annehmen, z.B. indem, wie leider immer wieder passiert, im Namen eines anderen eine Email-Adresse oder ein Facebook-Account angemeldet wird. Und auf einem Facebook-Account beweist nicht mal ein Foto irgend etwas, Fotos gibt es im Internet reichlich zu finden. Solche "Tricks" werden immer wieder verwendet, um anderen Personen zu schaden. Dies ist eine der Techniken des Cyber-Bullying, z.B. Payout for false Facebook profile.

Was aber in der Regel wirklich notwendig ist, das ist nicht Identifizierung, sondern Autorisierng. Übertragbare Fahrscheine sind ein weiteres gutes Beispiel für Autorisierung. Der Fahrschein belegt, dass irgendjemand eine Gebühr gezahlt hat und dass diese oder eine andere Person die Fahrt durchführen kann.

Ein anderes Beispiel, wo eine Autorisierung ausreicht ist der Kauf von Zigaretten an einem österreichischen Zigarettenautomaten. Dafür muss eine (österreichische) Bankomatkarte eingeführt werden, weil diese die Informationen "Geburtsdatum" enthält und darüber festgestellt werden kann, ob der Käufer 18 istund damit die Autorisierung für den Zigarettenkauf hat. Es wäre unangemessen, wenn die Anwendung hinter dieser Prüfung die Namen und Bankdaten ausliest und speichert. Dies ist vom Datenschutz her nicht gerechtfertigt, weil keine Notwendigkeit für die Verarbeitung dieser Daten besteht. Leider wird das heute bei vielen Implementierungen, wo eigentlich nur eine Autorisierung gefragt ist, vergessen und es werden lieber gleich alle Personalien gespeichert (je mehr ich über meine Kunden weiß, desto besser).

Vom Geschäftsmodell her ergibt sich in ganz vielen Fällen aber keine wirkliche Notwendigkeit, die (scheinbare?) Identität einer Person zu kennen. Das gleiche gilt im Prinzip für Treue-Karten (Kundenkarten) von Supermärkten. Es soll nachgewiesen werden, dass die Person Stammkunde ist. Dafür genügt aber die Verknüpfung aller Einkäufe mit einer anonymen Kundennummer, d.h. einem Pseudonym, ohne dass die Kenntnis der wirklichen Identität dafür erforderlich ist. Pseudonyme können eine ganz wichtige Rolle bei der Wahrung der Anonymität und Privatsphäre spielen. Sie werden in der Regel rollen- oder sogar nur transaktions-basiert sein. D.h. eine Person kann unterschiedliche Pseudonyme in unterschiedlichen Situationen einsetzen und manche gelten nur die Abwicklung einer bestimmten Transaktion, z.B. der Abwicklung eines Online-Kaufes, der aus dem Kaufvorgang selbst, dem Bezahlvorgang und evtl. einem Liefervorgang besteht. Diese 3 Vorgänge können durch ein temporäres Pseudonym verknüpft sein. Die Identität des Käufers sollte nämlich für den Internet-Shop uninteressant sein, solange sichergestellt ist, dass er sein Geld bekommt. Dafür müssen die Kreditkartendaten an den Payment-Dienstleister geliefert werden, aber der muss nicht wissen, was gekauft wurde (eine Rechnungsnummer reicht aus). So ungefähr war das bereits im mittlerweile historen SET-Konzept vorgesehen, die Autorisierungen werden über sog. Tokens, deren Echtheit durch digitale Signaturen bestätigt werden, garantiert. Die Lieferadresse wiederum ist nur für den Lieferservice wichtig, der aber in vielen Fällen den genauen Inhalt der Lieferung auch nicht kennen muss (speziell innerhalb eines Landes oder der EU gibt es dafür kaum Gründe).

Claims

Kim Kameron von Microsoft fasst in seinem White Paper LAWS OF IDENTITY das Thema noch weiter. Er sagt, letztendlich braucht man als Teilnehmer im Internet vom Gegenüber (in beiden Richtungen) lediglich die Verifizierung von sog. Claims. Darunter versteht er: "An assertion of the truth of something, typically one which is disputed or in doubt." Beispiele sind z.B.

  • die Behauptung, man sei eine bestimmte Person - dies ist der Spezialfall bei dem eine wirklich Identifizierung einer Person notwendig ist, z.B. zum Eröffnen eines Bankkontos

  • die Behauptung, man sei über 18 (und darf damit z.B. in Ö Zigaretten oder Alkohol kaufen) - dies benötigt keine Identifizierung, sondern dies ist lediglich eine Autorisierung

  • die Behauptung, man sei Bürger eines bestimmten Staates, habe einen bestimmten Wohnort oder verfüge über eine Gewerbezulassung - dies setzt nicht wirklich voraus, dass die Person identifiziert sein muss, sondern nur eine Eigenschaft dieser Person

  • die Behauptung, man habe eine bestimmte Berechtigung, z.B. mit einem öffentlichen Verkehrsmittel zu fahren, einen Service im Internet zu nutzen oder auf eine Datei lesend oder schreibend zuzugreifen

Nur im ersten Fall muss die Identität wirklich festgestellt werden, in allen anderen Fällen würde es genügen, wenn eine geeignete Autorität den Claim, d.h. die Behauptung des Benutzers, bestätigen könnte. D.h. der Benutzer könnte dann sehr wohl weiterhin anonym bleiben und ein Pseudonym benutzen, im z.B. gegenüber anderen Teilnehmern in einem Blog als adressierbar zu sein. Gleichzeitig könnte in (juristisch kontrollierten) Konfliktfällen die Anonymität aufgehoben werden, so dass z.B. eine straf- oder zivilrechtliche Verfolgung möglich ist. Ein praktisches Beispiel dafür ist das Autokennzeichen: Wir haben nicht Namen, Anschrift, etc. am Fahrzeug, sondern nur ein Pseudonym, das aber mit der entsprechenden Berechtigung zur Identifizierung verwendet werden kann.

Ein weiterer Kritikpunkt betrifft die fehlende "Direktionalität" von heute genutzten Identitätsmechanismen. Für eine öffentliche Website ist es angemessen, dass ihr SSL-Zertifikat für alle Welt ihre Identität erklärt, d.h. die Offenlegung ist ungerichtet, geht an alle. Für Privatpersonen ist das weitgehend unangemessen, trotzdem ist ein RFID-Chip für jeden lesbar, der ein dafür geeignetes Gerät benutzt. Das gleiche gilt für Bluetooth-Geräte und ihre Identifizierung.

Kameron fordert einen Mechanismus, durch den der Benutzer bestimmen kann, wem gegenüber er oder sie welche seiner Daten preisgeben möchte, bzw. welchen Claim er oder sie etablieren will. Derzeit wird dieses Problem ad-hoc gelöst, jede Website implementiert ihr eigenes Identity Management System und sammelt so viele Informationen, wie der Kunde bereit ist, preis zu geben. Der Kunde hat keinerlei Kontrolle darüber, was später mit diesen Daten passiert.

Solche Systeme sind heute technisch möglich. Eines der Probleme ist dabei: wer wird diese Autorität sein und wie können Benutzer und Unternehmen dazu gebracht werden, dieser Autorität zu vertrauen.

Ein weiteres Problem scheint noch schwieriger zu sein und lässt sich sehr gut am Beispiel der Location Privacy zeigen, nämlich dem Trend, dass unsere Aufenthaltsorte z.B. durch unsere Handys ständig publiziert werden. Es gibt von Seiten der Anbieter und Implementierer solcher Dienste ein großes wirtschaftliches Interesse, diese Aufenthaltsdaten ihrer Kunden nicht nur in anonymer Form zu besitzen, denn diese Daten haben wir Werbezwecke einen erheblichen finanziellen Wert. Die Electronic Frontier Foundation (EFF) stellt in einem Dokument 2009 sehr schön dar, wie Dienste die auf der Ortsbestimmung durch Handys beruhen (und z.b. die Restaurants im Umkreis nennen) auch anonym erbracht werden könnten. Dabei müsste genau diese "Autorisierung" zur Nutzung des Dienstes stattfinden, ohne dass eine "Identifizierung" des jeweiligen Handys notwendig ist. Der Text beschreibt die Fragestellung in wenigen Seiten Text.

Mehr zu den technischen Implementierungsmöglichkeiten im nächsten Abschnitt.

 

 

 

Zurück nach oben

Technische Möglichkeiten zur Datenkontrolle

Es gibt in der EU ein interessantes Projekt des Consortiums PRIME - Privacy and Identity Management for Europe: privacy-enhancing Identity Management System. Es geht darum, einen Prototypen für ein sog. "federated user-centric identity management" (PDF, 1 MB) zu entwickeln (Juli 2007).

Kern der Überlegungen ist, dass derzeit der Käufer im Internet auf jeder einzelnen Website eine unnötige Menge an persönlichen Daten hinterlassen muss. Und das für Transaktionen, die im "richtigen Leben" in einem physischen Laden vollkommen anonym möglich sind. Grund für diese Datenerfassungswut auf allen E-Commerce-Websites ist nicht nur der Wunsch der Betreiber, möglichst viel über den Kunden zu erfahren und das für Marketing-Zwecke auszunutzen, sondern auch, dass die oben erwähnte "Accountability", nämlich der Nachweis der Transaktion z.B. gegenüber dem Kreditkartenunternehmen im Falle einer Anfechtung durch den Kunden, sonst nur schwer gegeben ist. Ziel ist es, ein internet-weites System zu implementieren, bei der jeder Nutzer sich gegenüber einer "trusted authority" authentifiziert, und ab dann ganz gezielt und granular entscheiden kann, wer welche seiner Daten bekommt. Und der Betreiber der E-Commerce-Website kann sich darauf verlassen, dass der Kunde wirklich identifiziert ist und im Streitfall erreicht werden kann. Dies entspricht dem im vorigen Abschnitt vorgeschlagenen Konzept.

Basis dieser Implementierungen sind die Konzepte der Pseudonyme, Private Crededntials und Sticky Policies. Implementiert werden soll dies über eine beim Benutzer ablaufende PRIME Console und eine auf der Website implementiert PRIME Middleware. Mittels der PRIME Console kann der Benutzer auf der Grundlage eines Master Zertifikats ein sog. Private Credential erstellen, bei der sein Name durch ein Pseudonym ersetzt wurde und das als echtes Datenelement nur die Tatsache enthält, dass er über 18 ist (der sog. Claim, der durch dieses Credential belegt wird). In den meisten Fällen ist nämlich die genaue Altersangabe nicht relevant, nur die Tatsache, dass die Person älter oder jünger als ein bestimmtes Alter ist. Diese Console führt Buch, welche Daten welcher Stelle übermittelt wurden und erlaubt sog. Sticky Policies. Dies soll das Problem lösen, dass der Kunde einer E-Commerce Website derzeit der dort angezeigten Privacy Policy zustimmen muss (sonst kann er nicht kaufen), aber

  • er keinen Einfluss darauf hat, ob diese wirklich eingehalten wird

  • er kaum die Möglichkeit hat, flexible Details auszuhandeln (Weitergabe an Dritte, Speicherung und Auswertung eines Profils um gezielte Empfehlungen abgeben zu können, Löschung nn Monate nach Abschluss der Transaktion, etc.)

  • er nicht verhindern kann, dass die Policy nachträglich ohne sein Wissen geändert wird

  • er keine technische Möglichkeit hat, seine Zustimmung zurückzunehmen (was ihm vom Datenschutzgesetz her zusteht, EU-weit durch die Richtlinie Data Protection Directive 95/46/EC)

All das kann die Console zusammen mit der Middleware sicherstellen (vorausgesetzt, dass die Website die Middleware einsetzt). Und dies wird dann Sticky Policies genannt.

Die Unterscheidung zwischen Autorisierung und Identifizierung ist ein Punkt, der sich auch durch die empfehlenswerte Studie (März 2007) der englischen Royal Academy of Engineering zum Thema Dilemmas of Privacy and Surveillance zieht (PDF, 50+ Seiten). Ihre These ist, dass die neuen Technologien der Vernetzung, der drahtlosen Datenübertragung, aber auch der Software-Algorithmen wie Suchmaschinen, Spracherkennung und Bildauswertung die Privatsphäre stark bedrohen, dass andererseits mit Technologien wie digitaler Signatur, Einmal-Passworten u.ä. auch die Technologien vorhanden sind, mit denen die Autorisierung zu Diensten, z.B. Nutzung von öffentlichen Verkehrsmitteln oder auch "Treuekarten" in Supermärkten von der Identifizierung der Person entkoppelt werden kann.

Sie schlagen z.B. vor, dass vertrauenswürdige Organisationen Autorisierungs"token" herausgeben könnten, die sehr wohl dem Serviceanbieter, z.B. einem Online-Shop im Internet die Sicherheit gegen könnte, dass er sein Geld bekommt, dass aber die Identität des Kunden erst dann von der vertrauenswürdigen Organisation preis gegeben wird, wenn der Kunde nicht zahlt.

Hier ist ein Bericht über eine konkrete Implementierung eines Systems auf der Basis von Claims, das genau das bieten, dass jeder nur genau das sieht, was er wissen muss, z.B. braucht der Wirt nicht das Alter zu wissen, sondern nur, dass der Jugendliche älter ist, als das Gesetz für den Alkoholkauf vorschreibt. Ob dieses System sich durchsetzen wird, bleibt abzuwarten.

 

 

 

Zurück nach oben

Verwandte Themen

Aspekte der Privatsphäre und wie sie langsam verloren geht. Dort gibt es auch Beiträge zu den Versuchen, Anonymität im Internet herzustellen, z.B. durch Anonymisierungsservices. Mehr Details zu De-Anonymisierung auch in meinem Artikel zum Gläsernen Menschen.

Im Artikel zu Privatsphäre gibt es noch ein paar andere Aspekte der Anonymität und wie wir sie aus unterschiedlichen Gründen auch gern freiwillig aufgeben.

Interessant ist auch, wie die Privatsphäre durch Social Networking im Internet freiwillig aufgegeben, bzw. zumindest stark gefährdet wird.

Hier interessante Informationen zum Thema Identification and Authentication von einer kritischen US-Organisation.

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.