Prof. Dr. Kai Rannenberg

Zukunft der Datensicherheit mit Digitalen Medien – Mehrseitige Sicherheit als Notwendigkeit und Enabler

Medien sind in den letzten Jahren überwiegend digital geworden. Dies hat einerseits Auswirkungen darauf, wie man sie sichern kann, andererseits darauf, welche Sicherheitsziele sie wie gut unterstützen. Dieser Beitrag betrachtet deshalb zunächst das Thema Sicherheit, denn es kann sehr verschieden verstanden werden, und führt in das Gebiet Mehrseitige Sicherheit ein. Dies bildet die Grundlage für eine genauere Betrachtung der Sicherung digitaler Medien, die ihrerseits eine Analyse des Ansatzes Sicherheit durch Jagen und Sammeln motiviert. Die Auswirkungen dieses Ansatzes auf den Datenschutz und die Privatsphäre legen eine Einführung in Ansätze zur Reduktion und vor allem Nutzerkontrolle von Datenflüssen nahe. Ein Fazit, das auch kurz auf das Thema Medienkompetenz eingeht, schließt den Beitrag ab.

Sicherheit

Sicherheit hat mehrere Facetten. Für das Thema Zukunft der Datensicherheit mit Digitalen Medien bietet sich eine Konzentration auf Datensicherheit an, außerdem auf den Aspekt Schutz vor beabsichtigten Angriffen, der im Englischen Security genannt wird. Auch hier gibt es noch mehrere Blickwinkel. Zwei habe ich ausgewählt:

Ein erster Blickwinkel zeigt einen sehr menschlichen Zwiespalt: Auf der einen Seite stehen die eigene Privatsphäre und der Schutz der eigenen (immateriellen und materiellen) Werte; auf der anderen Seite steht Verbindlichkeit, die man erreichen will, indem man Vertrauen von Partnern gewinnt und unter Umständen auch Werte und Geld transferiert.

Ein eher technischer Blickwinkel führt zu einer Gliederung in vier Teilbereiche: Vertraulichkeit, denn Information soll nicht an die falschen Leute kommen. Integrität, denn Information soll nicht verfälscht werden. Verfügbarkeit, denn Ressourcen (speziell Informationsressourcen) sollen nicht ausfallen. Zurechenbarkeit, denn Handlungen sollen nicht unverantwortet sein.

Bezogen auf den Menschen gibt es also einen Zwiespalt, und auch die technischen Ziele sind nicht widerspruchsfrei. Entsprechend ist Sicherheit kein Ziel, das man einfach mit schneller, höher, weiter erreichen kann. Man braucht eine auf den jeweiligen Einzelfall abgestimmte Kombination aus technischen, organisatorischen und rechtlichen Maßnahmen.

Sicherheit muss mehrseitig sein, weil es die Interessen aller Beteiligten zu berücksichtigen gilt (Rannenberg, Pfitzmann, Müller 1996; Rannenberg 2000). Im Bereich Telekommunikation sind das zum Beispiel Netzbetreiber (wie etwa die Deutsche Telekom) und Nutzer, aber oft auch Dienstanbieter (wie z. B. mobilcom-debitel), die als Zwischenhändler zwischen den Netzbetreibern und den Nutzern agieren. Schon in diesem sehr vereinfachten Szenario zeigen sich Beispiele für widerstreitende Interessen: Beispielsweise wollen Nutzer nicht für Leistungen zahlen, die sie gar nicht in Anspruch genommen haben; umgekehrt wollen Netzbetreiber für erbrachte Leistungen bezahlt werden und sicherstellen, dass sie nicht betrogen werden. Die Situation wird aber noch komplizierter, speziell durch das Zusammenwachsen von Telekommunikation und Mediendiensten, etwa im Internet. Damit kommen viele weitere Akteure und Beteiligte dazu. Entsprechend müssen viele verschiedene Parteien berücksichtigt und ihre Interessen balanciert und geschützt werden. Das stellt auch erhebliche Anforderungen an die verwendete Technik, die nicht immer erfüllt werden.

Sicherung digitaler Medien

Betrachtet man die Sicherung digitaler Medien entlang der eben eingeführten technischen Gliederung, zeigt sich folgendes:

Verfügbarkeit und breite Verteilung sind in Zeiten des Internets vergleichsweise einfach zu realisieren; zumindest sind Beschränkungen und Zensur viel schwieriger durchzusetzen als früher. Gleichzeitig lässt sich Vertraulichkeit bei der Mediennutzung schwerer herstellen, denn grundsätzlich sind Aktivitäten im Internet, auch das schlichte Nutzen von Beiträgen, viel einfacher zu protokollieren als zum Beispiel beim klassischen funkbasierten Rundfunk, dessen Nutzung nur im Ausnahmefall Spuren hinterlässt.

Integrität und Authentizität digital dargestellter Medieninhalte sind nur schwer nachzuweisen, aber leicht zu beeinträchtigen. Oft fällt dies nicht oder erst (zu) spät auf. Eines der jüngsten Beispiele zeigt Abb. 1.

Links zu sehen ist ein Foto, das am 14. November 2015 nach dem Anschlag in Paris im Internet kursierte. Rechts zu sehen ist das Original. Jemand, der gut mit Photoshop umgehen kann, hat aus dem iPad, mit dem das Selbstportrait erstellt wurde, einen Koran gemacht und dem Portraitierten einen Selbstmörderbombengürtel „umgelegt“. Das manipulierte Bild hat sich im Internet sehr schnell als vermeintliches Selbstportrait eines der Attentäter verbreitet und ist auch von als seriös eingeschätzten Medien als authentisches Bild verbreitet worden. Das Beispiel zeigt, wie schnell eine Fotomanipulation in einem bestimmten Klima zu Fehleinschätzungen führen kann und weiterverbreitet wird, selbst wenn sie Fehler hat, die hätten auffallen können (z. B. sind die Steckdosen im Badezimmerspiegel keine französischen). Es zeigt sich, dass die Unterscheidung zwischen Original und Fälschung schwer fällt. 
Allgemein ist digitalisierten Bildern oder anderen digitalen Dateien nicht durch einfache Draufschau anzusehen, ob sie authentisch sind oder manipuliert (insofern ist das linke Bild in Abb. 1 noch ein einfacher Fall). Das Problem, die Authentizität von Daten oder von Informationen sicherzustellen, hat sich als ein hoch komplexes erwiesen. Es gibt Fortschritte wie digitale Signaturen, Zeitstempel und andere Zertifikate, aber sie setzen sehr komplexe Infrastrukturen voraus. Letztendlich funktionieren sie nur insoweit, dass sie das Vertrauen auf die Instanz verlagern, die die jeweilige Datei signiert, gestempelt oder zertifiziert hat. Also müssen die Betrachter dann dreifach Vertrauen aufbauen beziehungsweise entsprechend prüfen:

Betrachter müssen der Instanz vertrauen, die die jeweilige Datei signiert, gestempelt oder zertifiziert hat, beziehungsweise sie müssen dies prüfen.

Betrachter müssen darauf vertrauen beziehungsweise prüfen, dass bzw. ob die Signatur, der Stempel oder das Zertifikat der besagten Datei wirklich von der Instanz stammt, von der sie/er/es angeblich stammt. 
Betrachter müssen zusätzlich noch ihrem eigenen Gerät, das die digitalen Stempel, Signaturen und Zertifikate interpretiert, vertrauen beziehungsweise dieses Gerät prüfen.

Sicherheit durch Jagen und Sammeln

Problematischerweise wird die Authentizität digitaler Inhalte, also die Frage, ob ein Dokument echt ist, oft verwechselt mit der Identifizierung derer, die die Inhalte des Dokumentes präsentieren: „Wenn man den kennt, der einem das Dokument zeigt, dann ist es hoffentlich auch echt.“ Dieser Verwechslung folgend werden immer mehr Identifizierungsinformationen über Nutzer gesammelt. Diese Daten sind meist nicht beweiskräftig, können aber auf Personen hindeuten. Hinzu kommt, dass Nutzer im Internet ohnehin schon sehr viele Spuren hinterlassen, denn weil es technisch einfach ist, Daten zu speichern, wird es oftmals gern gemacht.

Beim Identitätsmanagement ist es ähnlich: Weil es im Zeitalter der umfassenden Vernetzung technisch einfach ist, bei einer dritten Partei über jemanden rückzufragen, der gerade eine Anfrage stellt, wird es mehr und mehr gemacht. Klassisch ist es so, dass Ausweise und Berechtigungen lokal geprüft werden können. Das ist nicht neu. Wenn jemand in einem Hotel ankommt, sein Zimmer beziehen will und seinen Personalausweis vorlegt, wird der Ausweis im Regelfall vom Hotelpersonal vor Ort geprüft. Eine Rückfrage, etwa beim Aussteller des Ausweises, findet nur in sehr seltenen Ausnahmefällen statt. Im Internet ist das vielfach anders: Wenn sich jemand bei einem Internetportal anmeldet, wird oft an anderer Stelle (etwa bei Facebook oder Google) nachgefragt, zum Beispiel ob der Account bekannt und das eingegebene Passwort korrekt ist. Man nennt das Calling home zum „Identity Provider“. Für das kommende europäische eID-System (EU 2014) ist es ähnlich. Dort wird in vielen Fällen beim Aussteller nachgefragt, außerdem sollen die Anfragen über jeweils einen Zwischenrechner (Gateway) pro EU-Mitgliedsstaat laufen.

Problematisch daran ist, dass sich bei denen, die die Nachfragen bekommen, ein ausführliches Profil der Internetaktivitäten der Nutzer ansammelt, nämlich eine Auflistung der Webseiten, bei denen die jeweiligen Nutzer sich anmelden. Für zum Beispiel Facebook und Google ist das deshalb hochinteressant, weil sie dann genauer wissen, was welche ihrer Nutzer sonst noch im Internet tun und ihr Angebot darauf abstimmen können. Aber die Daten können natürlich, wenn sie einmal vorliegen, technisch auch anderweitig genutzt werden.

Weil es also schwierig ist, elektronische Dokumente (etwa Ausweise, aber auch Medieninhalte) aus sich heraus auf Authentizität zu prüfen, und es einfach ist, Kommunikationsverbindungen für automatisierte Rückfragen aufzubauen, werden viele, teilweise sehr sensitive Daten erzeugt und übermittelt.

Datensammeln und Datenschutz/Privatsphäre

Inzwischen gibt es sehr viele Beispiele, wie aus Daten, die man zunächst für nicht personenbeziehbar hielt, Rückschlüsse auf Personen gezogen werden konnten. In einem recht frühen Beispiel verknüpfte Latanya Sweeney veröffentlichte medizinische Daten von Angestellten des US-Bundesstaates Massachusetts mit einem öffentlichen Wählerverzeichnis und identifizierte den Gouverneur und seine Krankheiten (Sweeney 2002). In anderen Beispielen wurden eigentlich anonyme Netflix-Nutzer über ihre Filmbewertungen identifiziert (Narayanan, Shmatikov 2008) beziehungsweise Anonymisierungsalgorithmen überwunden, die Nutzer vernetzter Autos schützen sollten (Troncoso et al. 2011). Mobilitätsdaten lassen sich aus Mobilkommunikationsdaten ableiten: Wird der Aufenthaltsort von Nutzern stündlich mit der Präzision einer Mobilfunkzelle dokumentiert, reichen vier Werte, um 95 Prozent der Nutzer eindeutig zu identifizieren (de Montjoye et al. 2013). Bei Kreditkartentransaktionsdaten reichten vier zufällig gewählte Kombinationen aus Kauftag und Geschäft aus, um 90 Prozent der Kunden eindeutig zu identifizieren. Nimmt man eine Kaufpreisspanne hinzu, sind 95 Prozent identifizierbar (de Montjoye et al. 2015). Frauen waren dabei aufgrund ihres individuelleren Einkaufsverhaltens leichter identifizierbar.

Aus aktuellem Anlass noch ein verwandtes Beispiel zur Vorratsdatenspeicherung von Ortsdaten in Mobilfunknetzen. Ortsdaten in Mobilfunknetzen sind persönliche Daten, die normalerweise nicht allgemein zugänglich sind. Aber im Sinne der Transparenz hat sich der Bundestagsabgeordnete Malte Spitz 2009, als die Vorratsdatenspeicherung zulässig war, „seine vorratsgespeicherten“ Daten geben lassen und sie mit Zeit Online zusammen medial aufgearbeitet (Zeit Online). Man kann daraus sehr präzise sehen, wo er sich wann aufgehalten und wie er sich bewegt hat. Solche Daten sind üblicherweise nicht allgemein verfügbar, aber in den letzten 30 Jahren sind viele Daten, von denen es hieß, sie blieben unter Verschluss, irgendwann allgemeiner verfügbar oder öffentlich geworden. Insofern ist nicht ausgeschlossen, dass dies bei solchen Daten auch passieren wird, und sei es nur über den Weg, dass irgendjemand die Daten bei der Telekommunikationsfirma entwendet.

Reduktion und Nutzerkontrolle von Datenflüssen

Angesichts dieser Situation ist eine Reduktion von Datenflüssen und mehr Kontrolle der Datenflüsse seitens der von ihnen betroffenen Nutzer nötig. Beispiele für einschlägige Strategien sind:

  • Information und Kommunikation möglichst unbeobachtbar und anonym zu ermöglichen;
  • Nutzer entscheiden zu lassen, für welche Dienste sie welche Informationen preisgeben wollen, etwa mittels partieller Identitäten (ISO/IEC 24760:2011);
  • Identifizierung und Berechtigungskontrolle auf die wirklich nötigen Informationen zu beschränken, wie es zum Beispiel das Projekt ABC4Trust praktiziert, bei dem Nutzer den Grad ihrer Identifizierung selbst bestimmen und digitale Ausweise selbst entsprechend umrechnen können (ABC4Trust; Rannenberg, Camenisch, Sabouri 2015);
  • gegen Abhören geschützte Kommunikationsmöglichkeiten breiter verfügbar zu machen.

Als Maßnahmen, um die Nutzung von Informations- und Kommunikationssystemen möglichst anonym und unbeobachtbar zu machen, empfehlen sich etwa die folgenden:

Rundfunk (Broadcast) und anonymes Bezahlen: Das Internetangebot der öffentlich rechtlichen Sender, etwa Radio Bremen, ist oft attraktiv und wertvoll, aber der ursprüngliche Rundfunk im Broadcastsystem (terrestrisch oder via Satellit), ist weiter von Bedeutung, denn dabei ist es sehr schwer festzustellen, dass ein Nutzer das jeweilige Programm empfängt. Diese Art von einfacher (fast) spurloser Mediennutzung kann das Internet bislang nicht bieten. In diesem Zusammenhang wird anonymes Bezahlen besonders dann bedeutsam, wenn die Mediennutzung einzeln abgerechnet werden soll. Anonymes Bezahlen im Internet ist noch nicht so weit, wie vielfach angenommen wird, speziell das vieldiskutierte Bitcoin-System ist nicht wirklich anonym.

Mehrere Systeme im Internet helfen bei der Vermeidung von Datenspuren im Internet, etwa das Tor-Network (http://tor.eff.org), die Java Anonymous Proxy (JAPhttp://anon.inf.tu-dresden.de), das Mixmaster-System (http://mixmaster.sourceforge.net) und auch der Dienst Cookie Cooker (www.cookiecooker.de), der Einweg-/Wegwerf-E-Mail-Adressen zur Verfügung stellt.
Suchmaschinen, die ohne die Speicherung von Suchanfragen und Suchenden auskommen, sind insbesondere ixquick.com und duckduckgo.com.

Für viele Schutzmaßnahmen sollte auch gesetzlich vorgeschrieben sein, dass sie zu allgemein erschwinglichen Bedingungen anzubieten sind, etwa für sichere verschlüsselte Kommunikation. Hierzu bietet sich die gegenwärtig in Überarbeitung befindliche Universaldienstrichtlinie (EU 2002 ff.) zur Bereitstellung elektronischer Kommunikationsdienste innerhalb der EU an, denn sie regelt eine ganze Reihe von Pflichten und Rechten, zum Beispiel: Verpflichtungen bezüglich der Bereitstellung bestimmter Pflichtdienste (Universaldienste), Rechte der Endnutzer sowie die entsprechenden Pflichten von Unternehmen, die öffentlich zugängliche elektronische Kommunikationsnetze und -dienste bereitstellen. Bislang werden unter anderem drei Dinge geregelt: ISDN-artige Telefondienste zu erschwinglichen Preisen, der Wechsel des Anbieters binnen eines Arbeitstages unter Mitnahme der Rufnummern, und die Erreichbarkeit der Notrufnummer 112. Zu ergänzen wären zum Beispiel verschlüsselte Kommunikation (E-Mail, Sprache etc. ), sichere Endgeräte (speziell ein vertrauenswürdiges bezahlbares Smartphone) und nicht beobachtbare Zugänge zum Internet.

Fazit

Datensicherheit ist nicht geeignet, um Medienkompetenz zu ersetzen. Im Gegenteil: Das Wissen um Informations- und Kommunikationssicherheit beziehungsweise -unsicherheit, muss Teil von Medienkompetenz sein. Wenn man Nutzer und ihre Daten nicht schützt, werden sie mit den Daten von anderen auch nicht gut umgehen. Es gibt sehr viele Fälle, in denen Daten in unbefugte Hände gelangten, weil die Personen, die offiziell damit umzugehen hatten, nicht verstanden hatten, dass die Daten sensitiv waren: In England sind einmal mehrere Millionen Gesundheitsdatensätze von den Zuständigen auf CDs gebrannt und ohne weitere Schutzmaßnahmen mit der normalen Post verschickt worden. Die CDs wurden bis heute nicht wiedergefunden.

Zur Vorratsdatenspeicherung: Die Überwachung normaler Nutzer in alltäglichen Situationen wird eher Misstrauen als Vertrauen schaffen. Staatliche Aktionen sollten eher darauf ausgerichtet sein, mehr Möglichkeiten für geschützte und unbeobachtbare Kommunikation erschwinglich zu machen. Es darf nicht sein, dass jemand, der geschützte und unbeobachtbare Kommunikation nutzen will, deswegen nicht mehr am gesellschaftlichen Leben teilnehmen kann. Hier ist eine Art von Grundversorgung dringend nötig.

Weiterführende Literatur

  • ABC4Trust (o. J. ): www.abc4trust.eu
  • EU (2002): Rechtsrahmen für die elektronische Kommunikation. http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:l24216a(Zugriff am 24.05. 2016).
  • EU (2014): Verordnung Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG. http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910&qid=1460356800921 (Zugriff am 24.05. 2016).
  • ISO/IEC 24760-1 (2011): „A framework for identity management. Part 1: Terminology and concepts“. http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html; entstanden bei ISO/IEC JTC 1/SC 27/WG 5: Identity Management and Privacy Technologies; www.jtc1sc27.din.de (Zugriff am 24.05. 2016).
  • Mayer, Ayla (2015): Fotomanipulation: Wie ein kanadischer Sikh im Netz zum Paris-Attentäter wurde. In: Spiegel Online, http://www.spiegel.de/netzwelt/web/paris-anschlag-per-photoshop-vom-journalisten-zum-paris-attentaeter-a-1063090.html (Zugriff am 16.11.2015).
  • de Montjoye, Yves-Alexandre/Hidalgo, César A./Verleysen, Michel/Blondel, Vincent D. (2013): Unique in the Crowd: The privacy bounds of human mobility. In: Scientific Reports 3, Article number: 1376; Doi:10.1038/srep01376
  • de Montjoye, Yves-Alexandre/Radaelli, Laura/Singh, Vivek K./Pentland, Alex S. (2015): Unique in the shopping mall: On the reidentifiability of credit card metadata. In: Science, Vol. 347 Nr. 6221, S. 536–539; Doi:10.1126/science.1256297
  • Narayanan, Arvind/Shmatikov, Vitaly (2008): Robust De-anonymization of Large Sparse Datasets (How To Break Anonymity of the Netflix Prize Dataset). Proceedings of the 2008 IEEE Symposium on Security and Privacy. Oakland, S. 111–125, Doi:10.1109/SP.2008.33
  • Rannenberg, Kai/Pfitzmann, Andreas/Müller, Günter (1996): Sicherheit, insbesondere mehrseitige IT-Sicherheit. In: Informationstechnik und Technische Informatik (it+ti); 38. Jg. H. 4, S. 7–10.
  • Rannenberg, Kai (2000): Multilateral Security – A concept and examples for balanced security. In: Proceedings of the 9th ACM New Security Paradigms Workshop 2000, S. 151–162.
  • Rannenberg, Kai/Camenisch, Jan/Sabouri, Ahmad (Hg.) (2015): Attribute-based Credentials for Trust – Identity in the Information Society. ORT, 978-3-319-14439-9 (Online)
  • Sweeney, Latanya (2002): k-anonymity: a model for protecting privacy. In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems Nr. 10 (5), S. 557–570.
  • Troncoso, Carmela/Costa-Montenegro, Enrique/Diaz, Claudia/Schiffner, Stefan (2011): „On the difficulty of achieving anonymity for Vehicle-2-Xcommunication“. In: Computer Networks Nr. 55 (14), S. 3199–3210.
  • Zeit Online (2015): Verräterisches Handy, http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten (Zugriff am 01.11.2015).