Geheimdienste, Patientendaten und IoT
Die Rückkehr der Anonymizer
Werkzeuge für anonyme Kommunikation im Internet wurden in unserer Kultur lange Zeit misstrauisch beäugt. Geheimdienstaffären, geschwätzige Geräte im Web und andere Faktoren bewirken, dass sich diese Haltung langsam ändert. Personenbezogene Informationen nur noch dosiert weiterzugeben - das könnte ein Standard-Feature moderner Identitäts-Management-Systeme werden.
Manchmal kommen sie wieder. Sie schleichen sich unmerklich an, aber dann sind sie plötzlich überall. Nein, hier ist nicht von Hollywood-Untoten die Rede und auch nicht vom Film "The Revenant". Es geht um IT-Security-Themen, deren nahen Durchbruch man irgendwann einmal erwartete, die dann doch wieder untergegangen sind, die man deshalb fast schon vergessen hat - und die unversehens doch noch Fahrt aufnehmen.
"Anonymizer im Unternehmenseinsatz" ist so ein Sujet. Es ist jetzt elf Jahre her, da gab es in der LANline nicht nur einen Beitrag unter dem gerade genannten Titel [1], sondern ein ganzes Sonderheft befasste sich primär mit dem Thema Identitäts-Management und -verschleierung. Eine Reihe von Beiträgen im Sonderheft V/2005 zierte damals ein Maskensymbol, das wir für diesen Artikel wieder ausgegraben haben. Der Hintergrund für diese Wahl: Manchmal bedeutet Identitäts-Management nicht nur Authentifizierung und Autorisierung, sondern auch festzulegen, wieviel oder besser wie wenig man von seiner Identität in einem bestimmten Kontext preisgeben muss (siehe [2] und [3]).
Damals war das exotisch. Jetzt, in der Post-Snowden-Ära, werden die "Anonymizer" als Tools der informationellen Selbstbestimmung wieder interessant - auch angesichts des "Internets der Dinge" und aufgrund der Einsicht, dass Ansätze wie "Whistleblowing" möglicherweise vor unerwarteten Pannen maroder Kernkraftwerke und vor betrügerischen Manipulationen umweltrelevanter Produktmesswerte schützen können. Die IT-Welt wittert "Business Cases". In diesem Beitrag geht es darum, welche Ansätze bereits zur Verfügung stehen.
Wir sind heute zurecht stolz auf jene Errungenschaft der westlichen Demokratien, die es jedem erlaubt, seine Meinung in weiten Grenzen frei äußern zu dürfen, ohne Sanktionen befürchten zu müssen. Eine Maske aufzusetzen, um etwas zu verbergen, gilt deshalb entweder als verdächtig oder als feige. Wohl deshalb muss man schon explizit ans Prinzip der freien und geheimen (!) Wahlen erinnern, die Schutzgesetze für Betriebsräte erwähnen, auf nach wie vor existente politische Verfolgung hinweisen - oder das Thema "Medizin" auf den Tisch bringen, um Verständnis für den Wunsch nach anonymer Kommunikation zu wecken: "Nehmen Sie an, Sie hatten einen Herzinfarkt oder Krebs, sind geheilt und stehen noch voll im Berufsleben. Möchten Sie nicht selbst entscheiden, wie leicht ein künftiger Arbeitgeber von Ihrer Krankheit erfährt?"
Pilotprojekte
Interessanterweise tummeln sich auch zwei prominente Pilotprojekte des IBM-Identitätsverschleierungskonzepts "Identity Mixer" oder "Idemix" [4] in den Bereichen "Meinungsäußerung" und "Medizin". Identity Mixer gibt in einem passenden Kontext nur diejenigen Identitäts- oder Profilmerkmale einer Person an einen Kommunikationspartner weiter, die zur Prüfung einer individuellen Berechtigung oder zu anderen Nachweiszwecken notwendig sind. Der Trick dabei ist, dass mittels stringenter Zertifikats- und Verschlüsselungsketten trotz des Fehlens exakter Personendaten die Existenz bestimmter Eigenschaften eines Akteurs zweifelsfrei belegt werden kann - etwa das Alter durch Rückgriff auf einen digitalen Personalausweis oder die Mitgliedschaft in einer wie auch immer gearteten Gemeinschaft durch Kopplung an deren digitale "Credentials".
In einem der Pilotprojekte weisen Schüler eines Landes die Berechtigung für psychologische Beratungen auf diese Weise nach, ohne ihren Namen nennen zu müssen. In einem anderen bewerten Studenten Vorlesungen. Auch sie geben ihre Identität nicht preis, können aber anhand eines digitalen Registers belegen, dass sie die fraglichen Lehrveranstaltungen auch wirklich besucht haben.
Weitere Einsatzwecke dieser Art leuchten unmittelbar ein - etwa für den Bezug bestimmter Medikamente, bei der betrieblichen Mitbestimmung und beim heiklen Thema "internes Whistleblowing". Gerade dort ist es ja notwendig, Informationen erst einmal zu bekommen, dann aber auch deren Wert einschätzen zu können: Nur wer wirklich zu einer Organisation gehört, kann fundiert auf interne Missstände hinweisen. Generell ist die Arbeitswelt zurzeit ohnehin ein Bereich, in dem die Balance zwischen der Transparenz individuellen Tuns und der Privatsphäre der Akteure permanent neu ausgemittelt werden muss [5].
Für die Privatwelt ist als Newcomer das Unternehmen Anonyome Labs mit seiner "Sudoapp" [6] zu nennen. Sie erlaubt für Onlinekäufe und Kommunikation den Einsatz von bis zu vier modellierten Identitäten samt eigener Onlineadresse und "maskierter" Kreditkarte sowie anonymes Surfen.
Wenn Apparate zuviel plaudern
Der nächste Sektor, der derzeit Diskussionen über Anonymisierungsmodelle provoziert, ist das "Internet der Dinge". Der US-Sicherheitsguru Bruce Schneier zeigt in seinem Cryptogram-Newsletterbeitrag "The Internet of Things that Talk About You Behind Your Back" vom 15. Januar 2016 [7], wie Unterhaltungsgeräte und Computer dazu missbraucht werden können, die Reaktion von Menschen auf Werbung zu verfolgen: Läuft der Fernsehkonsument X nach Austrahlung eines Spots zum Kaltgetränk C etwa sofort zum Kühlschrank, um es dort zu entnehmen, holt er sich per Tablet-PC vielleicht Informationen dazu oder bestellt er das Produkt gar beim Online-Händler A?
Angesichts dieses Szenarios fällt es selbst hartgesottenen Verfechtern der profil- und kontextbezogenen Werbung schwer zu verlangen, dass jeder auf den Schutz personenbezogener Daten bedachte Käufer manuell die "Opt-outs" für die Datentransferoptionen jedes neuen Toasters, Kühlschranks, Tablets, PCs, Haartrockners, Heizkörpers, Fernsehers oder Relax-Sessels mit Web-Zugriff separat festlegen muss. Außerdem kursieren längst Horrorgeschichten wie jene, in denen Mikrowelle, Couch und Jogging-Smartwatch gemeinsam die Ess- und Bewegungsgewohnheiten ihrer Besitzer protokollieren und gegebenenfalls an die Krankenkasse weiterleiten, wenn die Daten auf ein erhöhtes Gesundheitsrisiko schließen lassen. Geräte mit restriktiven Grundeinstellungen und eingebauten Mechanismen zum Schutz der Nutzeridentität könnten hier drohende Akzeptanzprobleme verringern. Kommen hier auch Anonymizer ins Spiel, dürften sie wohl kaum auf die erwähnte kulturell bedingte Ablehnung stoßen, da sie in diesem Kontext weitgehend unbemerkt vom Endanwender "unter der Motorhaube" arbeiten.
Dies lässt sich übrigens auch wörtlich nehmen: Fahrzeuge sollen in der Zukunft miteinander kommunizieren, um einander gegenseitig Wetterinfos, Straßenzustände und aktuelle Fahrdaten zugänglich zu machen und so Unfallrisiken zu reduzieren - gleich, ob die Autos dabei schon automatisch fahren oder traditionell noch von ihrem Besitzer gelenkt werden. Dabei will man durch den Einsatz der Anoymizer vermeiden, dass die Auto-Computer Bewegungs- und Fahrstilprofile voneinander bilden oder ihren Fahrer durchleuchtbar machen [8].
Wie die Idemix-Beispiele oder die Sudoapp zeigen, bedeutet es nicht das Ende aller modernen Service- und Werbeformen, wenn sich Nutzer im Internet ganz oder teilweise anonymisert bewegen. Das Modell lässt sich außerdem weitertreiben und beispielsweise auf ortsbezogene Werbung ausdehnen. Man nehme etwa an, ein Berufsreisender trifft spät nachmittags in einer Stadt ein, die er eigentlich gar nicht besuchen wollte. Er will herausbekommen, wo er übernachten und essen und vielleicht noch etwas Unterhaltung genießen kann. Werbung nimmt er in Kauf, aber eine digitale Profilbildung will er vermeiden.
Eine App auf seinem Telefon könnte nun seiner Umgebung Folgendes preisgeben: Hier bewegt sich ein Mensch im 30-km-Umkreis des Ortes M, der volljährig ist (Detail aus dem Personalausweis), Mitglied in Hotelkette A, B und C (mit Nachweis, aber ohne Namen), Vegetarier (ohne Nachweis), Allergiker gegen Nahrungsmittel X (ohne Nachweis), Inhaber bestimmter Kredit-, Konto- und Tankkarten (Nachweise) und Mitglied im Deutschen Programmkino-Verein (fiktives Beispiel). Daraufhin könnten ihn Hotels, Kinos etc.mit gezielten Angeboten versorgen, die durchaus Aussicht auf Erfolg hätten.
Der letzte Sektor, den die Fachwelt derzeit breiter denn je als Anwendungsfall für Anonymizer diskutiert, ist der Bereich der Internet-Recherchen. Da diese fast immer international stattfinden, bewegen sich die Akteure - sowohl Privatpersonen als auch Unternehmensmitarbeiter mit Business-Interesse - in einem inhomogenen Rechtsraum, der die Durchsetzung von Schutzmaßnahmen erschwert und somit den Griff zu passiven Selbstverteidigungsmitteln wie Anonymizern zwangsläufig nahelegt. Hinzu kommt, dass Fach- und Marktrecherchen mitunter selbst von grundsätzlich befreundeten Institutionen abgehört und zu Profilen verarbeitet werden, um finanzielle Vorteile oder einen Vorsprung beim "Go-to-Market" zu erringen. Welche Tools zur Abwehr solcher Spionageansätze nützlich sind und für welche Personenkreise sie speziell im Business-Umfeld geeignet sind, dazu gab und gibt es in der LANline zurzeit Tests: "TOR" und "Tails" waren schon auf dem Prüfstand [9], anonymisierende Suchmaschinen werden folgen.
Lesen Sie mehr zum Thema
