|
Link-Konventionen: Fette Links öffnen ein fremde Seite in einem neuen Fenster Blau hinterlegte Links bleiben auf der sicherheitskultur.at |
Fehlerhafte Daten
(letzte Ergänzungen: 05.06.2005)
Themenübersicht
Im Original veröffentlicht in der Computerwelt Österreich, Sommer 2004
Ich fürchte mich vor falschen Daten
Philipp Schaumann, Christian Reiser
„Natürlich ist es ein Horror, was über jeden einzelnen an Daten gesammelt wird, aber wirklich Angst habe ich vor falschen Daten“ meint einer der Autoren dieses Artikels (CR) immer wieder, wenn über die derzeit herrschenden Aktivitäten der Datensammler gesprochen wird.
Mit falschen Daten sind hier Daten gemeint, die nicht dem echten Leben entsprechen. Das kann sein, weil sie veraltet sind, oder weil sie falsch erfasst wurden. Diese Daten an sich wären noch nicht schlimm, unangenehm kann es aber werden, wenn diese Daten zu Aktionen führen, oder gewisse Schlüsse zulassen, die zu Aktionen führen.
Eines der kleineren Übel in diesem Zusammenhang sind falsch zugewiesene Leistungen zum Beispiel im Versandhandel. Ein Kunde bekommt eine Rechnung für etwas, was er gar nicht bestellt hat. Derartige Fälle lassen sich meist relativ leicht aufklären, aber Konsumentenschützer wissen auch davon zu berichten, dass falschen Kunden der Gerichtsvollzieher geschickt wurde.
Unangenehmer als eine falsche Rechnung kann schon eine Überweisung sein, die am falschen Konto landet, oder eine Abbuchung, die fälschlicher Weise vom eigenen Konto erfolgt. In Österreich kann man mit relativ geringem Aufwand das Geld wieder zurück bekommen, doch war es eine Auslandsüberweisung, ist es in der Regel weg. Und hat man mit der falschen Überweisung einen Termin verpasst, ...
Doch warum passiert das doch relativ oft? Es wird doch alles menschenmögliche und wirtschaftlich vertretbare für die Sicherheit der Daten gemacht. Firewalls gibt es gegen Hacker, Backup gegen sonstigen Datenverlust, und das Datenschutzgesetz wird auch ganz bestimmt eingehalten.
In diesem Bereich handelt es sich aber nicht primär um eine Schwachstelle der Datenverarbeitung, sondern um die Schnittstelle zwischen Mensch und Maschine und um das Daten-Design.
Es ließe sich eigentlich leicht verhindern, dass eine Kunden- oder Kontonummer falsch eingegeben wird. Man müsste nur jeder Nummer eine Prüfsumme beifügen. Dabei handelt es sich um eine weitere Stelle der Nummer, über die einfache Tippfehler automatisch erkannt werden könnten. Das gibt es aber derzeit bei fast keinen Kontonummern, fast unverständlich, wo es sich doch bei Kreditkarten-Nummern schon längst bewährt hat.
Dieser kleine, einfache Mechanismus könnte die Datenqualität vieler Datenbanken deutlich erhöhen, und so manchen Ärger verhindern.
Bessere Methoden zur Erfassung von Daten könnten ein weiteres tun. Angeblich werden mehrere Abstürze der ersten Airbus-Modelle so einem Design-Fehler im Mensch-Maschine-Interface zugeordnet. Man konnte Sink-Rate oder Sink-Winkel je nach Modus an der selben Stelle eingeben. Eine Verwechslung kann hier fatal sein.
Doch wie sieht das aus, wenn Medikationen im Krankenhaus falsch erfasst werden, oder die Dosis bei Bestrahlungsbehandlungen? Egal ob mit oder ohne Computer, vielleicht in Zusammenhang mit der nicht immer besonders leserlichen Schrift von so manchem Arzt, das könnte eher ungesund sein. Eine Studie aus den USA berichtet für das Jahr 1999 von fast 100 000 vermeidbaren Todesfällen in den Krankenhäusern, viele durch Medikamentierungsfehler.
Aktualisierung Juli 2006:
Die NY Times berichtet über eine US-Studie des "Institute of Medicine", "Preventing Medication Errors", nach der Medikationsfehler jährlich 1.5
Millionen Patienten Schaden zufügen und mehrere Tausend Tote in den USA verursachen, mit Kosten von mindestens $3.5
Milliarden $ pro Jahr.
Eine Studie des gleichen Instituts aus dem Jahr 1999 "To Err is Human" schätzt, dass zwischen 44 000 und 98 000 Amerikaner jedes Jahr durch Fehler in Krankenhäusern sterben, das wären dann mehr als durch Brustkrebs oder Unfälle im Straßenverkehr.
Auch durch den Abgleich und das Zusammenführen von Datenbanken könnten Fehler erkannt und ausgebessert werden. Sie können sich aber auch weiter verbreiten und verstärkt werden. Vielleicht werde ich einmal keine Lebensversicherung und damit keinen Kredit bekommen, weil aufgrund einer falschen Eingabe einer Codierung aus einer harmlosen eine tödliche Krankheit wurde. Und ich werde nichts dagegen machen können, weil ich weder weiß, wo diese falschen Daten gespeichert sind, noch wo sie herkommen.
An anderer Stelle gibt es mehr zur Verantwortung von Technikern und Wissenschaftlern und Business Ethik.
Datenschrott in Datensammlungen
(Juni 2005)
In den USA gibt es kaum Schutz von personenbezogenen Daten. Daher gibt es eine Reihe von sog. Datenaggregatoren. Das sind Firmen, die riesige Datensammlungen (nicht nur von US-Bürgern) anlegen. Die größten sind ChoicePoint, Acxiom und LexisNexis. Eine Studie hat die Korrektheit der Datensammlungen von ChoicePoint und Acxiom getestet. Der Test betraf zwar nur 11 Personen, aber bei allen 11 waren die Daten falsch. Bei 67% der Acxiom- und bei 73% der ChoicePoint-Daten gab es Fehler in den Grundinformationen (Name, Adresse Telefon, Sozialversicherungsnummer). Das ging so weit, dass 2 der 11 Testpersonen als Direktoren von Firmen gelistet waren, von denen sie noch nie gehört hatten. Die Studie ist leider nicht mehr online.
Ein gutes Beispiel zur Fehleranfälligkeit von Personendaten ist in den USA die sog. No-Fly List, das ist eine riesige Liste von Namen von Personen, die entweder gar nicht mehr Flugzeuge benutzen dürfen, oder nur unter extra Schwierigkeiten. Die Liste enthält nur Namen, ohne weitere Angaben. D.h. alle Personen gleichen Namens werden auch am Fliegen gehindert. Prominente Betroffene waren Z.B. Al Gore, Cat Stevens oder Senator Ted Kennedy. Es ist so gut wie unmöglich, von dieser Liste wieder herunter zu kommen, selbst Senator Kennedy hat sehr viele seiner Verbindungen spielen lassen müssen.
Eine große Schwachstelle auch des Datenschutzes in Österreich: Ich habe zwar in Ö das Recht auf Auskunft über meine Daten, aber ich kann dieses Recht nur wahrnehmen, wenn ich überhaupt weiß, welche Kreditauskunftsbüros es überhaupt gibt und dann müsste ich die alle einzeln anschreiben und jeweils eine Auskunft erzwingen. Ein Vorschlag hierzu wäre, dass auf der Website des CIO der ö.Regierung (Chief Information Officer, verantwortlich für Datensicherheit und Datenschutz), wo alle Datenspeicherungen über Personen in Österreich gemeldet werden müssen, eine Liste solcher Unternehmen stände, so dass wir zumindest wissen, wo unsere Daten gespeichert sein könnten. - Noch ein Vorschlag zu Kreditauskünften: Es wäre gut, wenn ich als Betroffener in jedem Fall wenn jemand eine Kreditauskunft über mich einholen will, explizit gefragt würde, ob das auch OK ist.
Philipp Schaumann, http://sicherheitskultur.at/
Home
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz