Am Samstag habe ich über den Vorfall berichtet, dass das US-Militär User-Daten der muslimischen Gebetsapp Pro Muslim gekauft hat. Dabei beschwichtigten sowohl die App-Betreiber als auch das US-Militär die Skandalträchtigkeit dieses Vorfalls damit, dass die Daten angeblich anonym wären.
Es ist eine schwache Ausrede, denn Geheimdienste und das Militär selbst arbeiten vermutlich schon seit Jahrzehnten mit solchen Daten. In diesem Artikel möchte ich ein paar Methoden vorstellen, mit denen Daten de-anonymisiert werden können. Die Methoden stammen aus Studien, die ich euch ebenfalls verlinken werde. Grundsätzlich werden diese Methoden als “Identity Inference Attacks”, also Identitäts-Rückschluss-Angriffe bezeichnet.
Unicity Analysis (Einzigartigkeitsanalyse)
Die einfachste und grundsätzlichste Form eines solchen Angriffs läuft über die Analyse der Einzigartigkeit von Datensätzen. Je größer die Einzigartigkeit eines Datensatzes ist, desto eher ist die Person identifizierbar, zu der diese Daten gehören. Unicity-Analysen sind eigentlich das Grundschema von allen De-Anonymisierungen. Anhand eines Beispiels lässt sich gut veranschaulichen, wie diese funktionieren:
Nehmen wir zum Beispiel an, es wäre bekannt, dass in einer Station in einem Krankenhaus 20 Personen an einem Tag behandelt wurden. Um die Identität der Patienten zu schützen, werden ihre Namen, ihre Geburtsdaten sowie ihre Adressen gelöscht, viele weitere sensible Daten bleiben aber erhalten und außerdem noch das Geschlecht der Patienten, da dies für die Statistik wichtig und relevant ist.
Nehmen wir nun an, ein Angreifer möchte sich über die Daten einer bestimmten Person hermachen, um beispielsweise eine gefakte Behandlungsrechnung an diese Person zu schicken. Der Angreifer hat sich dabei Zugriff auf den Server verschafft, bei dem die Patienten-Daten gespeichert sind. Der Angreifer wüsste gerne, welche Behandlung und welche Krankheit und Symptome beim Patienten vorliegen. Er weiß bereits, wann die Person in der Station behandelt wurde, wo die Person wohnt, wie sie heißt, wie alt sie ist und außerdem noch, dass diese Person ein Mann ist.
Die Daten des Patienten wären für den Angreifer jetzt ziemlich leicht zuzuordnen, wenn er der einzige Mann gewesen wäre, der an diesem Tag auf der Station behandelt wurde. Die Anonymisierung der Daten wäre in diesem Fall also zwecklos. In der Praxis sind solche Angriffe aber viel komplexer, weshalb das Daten-Matching eine weitere wichtige Methode ist. (Eigentlich fand sie in diesem Beispiel auch schon statt, da wir das Vorwissen des Angreifers auch als Datensatz betrachten könnten).
Daten-Matching
Nun ist es aber so, dass Datensätze von Apps viel komplexer und viel zahlreicher sind. Apps werden von Millionen von Menschen benutzt, dass also alleine euer biologisches Geschlecht eure Identität verrät, ist bei Apps wie z.B. Pro Muslim, die von 98 Millionen Menschen heruntergeladen wurde, unmöglich.
Dafür speichern solche Apps aber viel mehr Daten über euch. In einer Studie von 2017 von Wissenschaftlern der Pennsylvania State University waren das beispielsweise 15 Faktoren/Daten, die den Wissenschaftlern als Anhaltspunkt dienten. Es ging den Wissenschaftlern hier darum
Aus diesen Daten haben die Wissenschaftler Gleichungen erstellt, um die Daten zuordnen zu können. Dabei kommen nicht immer definitive Antworten zutage, sondern Ergebnisse mit Wahrscheinlichkeiten. Je größer der Zeitraum und die Datenmenge aber wird, desto größer wird auch die Wahrscheinlichkeit, dass die Daten erfolgreich deanonymisiert werden können. In der Studie “Deanonymizing Mobility Traces With Co-Location Information” waren die Ausgangspunkte Co-Location-Daten (also die Angabe, von wo ihr gerade zum Beispiel einen Tweet versandt habt).
In dieser Stude wurden Location-Daten dazu genutzt, um ein Bewegungsprofil einer Person zu schaffen. In dem Fall eines Tweets oder eines Posts mit der Angabe eines Standorts ist euer Name, falls ihr euch mit Klarnamen im Netz bewegt ja ohnehin schon bekannt und es geht nur darum, eure Daten eurer Person zuordnen zu können.
Mit zwei verschiedenen oder noch mehr Datensätzen, in denen noch mehr Daten über uns gespeichert werden, wird das Tracing dann noch präziser und umfänglicher wie die Studie “Towards matching user mobility traces in large-scale datasets ”darlegt.
Die Daten waren insofern anonym als, dass sie durch ein Pseudonym geschützt waren. Pseudonymisierung ist an sich ein legitimes aber selten ausreichendes Mittel zur Anonymisierung – die Daten sind nämlich alle immer noch einer einzigen pseudonymisierten Identität zuzuordnen – je mehr Daten ich hinter dem Pseudonym freilege und mit anderen Daten matche, desto höher wird die Wahrscheinlichkeit, die Daten de-anonymisieren zu können.
Das gleiche Prinzip trifft zum Beispiel auch auf unsere IP-Adressen hinzu, die für Außenstehende Pseudonyme sind. Je mehr Daten wir im Netz hinterlassen, desto einfacher wird es aber, diese Daten uns zuzuordnen. Ein klassisches Beispiel ist, dass ihr euch bspw. mit zwei verschiedenen Pseudonymen in zwei unterschiedlichen Foren anmeldet und dieses eure IP-Adresse speichert.
Ihr hinterlasst in beiden Foren persönliche Informationen über euch zum Beispiel in einem Forum, dass ihr gerade 10.000 € in der Lotterie gewonnen habt und jetzt nach finanziellen Rat fragt. Ihr gebt an, dass ihr einen 9-to-5-Job habt und bittet um Rat, ob es klug ist, euren Fiat Punto gegen einen Tesla einzutauschen. Im anderen Forum beschwert ihr euch, dass in eurer Straße an eurem Wohnort freitags zu viel Lärm gemacht wird, obwohl ihr am Samstag noch zur Arbeit fahren müsst. Bringt ihr diese Daten zusammen, kann das durchaus heikles Wissen sein.
Wer könnte solche De-Anonymisierungen vornehmen?
Wenn ihr euch die Studien durchlest, wird klar, dass es sehr viel technisches/mathematisches Wissen braucht, um diese Daten de-anonymisieren zu können. In meinen Beispielen gehe ich von individuellen Angreifern aus, die eine kriminelle Absicht haben, um einfach den Sachverhalt gut veranschaulichen zu können. In der Praxis der meisten App-Daten müsste das technische Know-How aber viel höher sein als das eines gewöhnlichen Kriminellen. Die Aufwandsbarriere, sich überhaupt Zugang zu solchen Daten zu verschaffen (oder sie zu kaufen) ist sehr hoch. Es ist also etwas, das nur professionelle Hacker machen können.
