Datenschutz: Geniale Software löst fatales Problem
Alptraum-Szenario: Hacker stehlen intime Bilder oder übernehmen das Bankkonto. Informatiker haben jetzt eine Datenschutz-Software entwickelt, die helfen kann.
Forscher der Universität Bonn haben einen "Leak-Checker" entwickelt, der beim Datenschutz hilft.
Foto: Timo Malderle / Universität Bonn
Es ist ein Datenschutz-Alptraum: Nicht selten kommt es vor, dass Privatpersonen vom Identitätsdiebstahl betroffen sind. Plötzlich erhalten Personen, die im Adressbuch gespeichert sind, seltsame E-Mails vom eigenen E-Mail-Konto oder jemand bestellt im Internet auf einen fremden Namen und dessen Kosten.
Auch vor den Fotoalben in der Cloud machen Hacker kaum Halt. Diese fordern in der Regel Geld für die Rückgabe der Daten. Betroffene schämen sich oftmals, weil prekäre Fotos im Umlauf sein könnten. Sie isolieren sich sozial oder tragen aus anderen Gründen psychische und soziale Schäden davon.
Clubhouse: Alles, was Sie zu der App wissen müssen
Wissenschaftler der Universität Bonn beschäftigen sich seit Jahren intensiv mit dem Thema Identitätsdiebstahl und Datenschutz im Netz. Das Ergebnis: Sie haben einen sogenannten „Leak-Checker“ entwickelt. Er ist im Rahmen des Forschungsprojekts EIDI („Effektive Information nach digitalem Identitätsdiebstahl“) entstanden. Unterstützung dafür gab es vom Bundesministerium für Bildung und Forschung. Inzwischen hat sich aus der Forschergruppe das Start-up „Identity Guard“ gegründet, das den „Leak-Checker“ betreibt. Dieser hilft Nutzern, sich zu schützen und zugleich zu prüfen, ob persönliche Daten gestohlen wurden.
Datenschutz und Informationsgehalt
Gründer des Start-ups sind die drei Informatiker Timo Malderle, Pascua Theus und Michael Meier. Ihr Ziel: den Leak-Checker so weiterzuentwickeln, dass fertige Produkte daraus entstehen, die das Start-up Online-Diensten und Unternehmen anbietet. So ließen sich zum Beispiel Onlineshops vor Betrügern schützen, die mit Daten von gestohlenen Identitäten einkaufen. Dafür erhalten die Gründer eine Finanzierung aus dem Förderprogramm Startup-Transfer-NRW.
Was Sie für die Cybersicherheit beachten müssen
Leak-Checker gibt es inzwischen einige. Das Besondere an dem Bonner: Er nutzt ein neu entwickeltes Verfahren, mit dem Identitätsdaten-Leaks aufgedeckt, automatisiert ausgewertet und datenschutzkonform zur Warnung weitergegeben werden können. Der Fokus lag bei den Forschern vor allem auf dem Datenschutz und dem Informationsgehalt. Deshalb kommuniziert der Leak-Checker der Bonner Forscher direkt mit dem betroffenen Nutzer. Sobald sich jemand mit der Identität von Max Mustermann in einem Online-Shop anmeldet, wird Max Mustermann per E-Mail darüber informiert. „Der Nutzer bekommt dann aber nicht nur einen Hinweis auf den Anbieter, bei dem er einen Account hat – zum Beispiel Twitter oder Myspace –, sondern auch Bruchstücke des eigenen geleakten Passworts angezeigt“, erklärt Timo Malderle, Wissenschaftler am Institut für Informatik der Universität Bonn und Mitgründer von Identity Guard. Diese Benachrichtigung muss besonders datenschutzkonform erfolgen. Der Nutzer könne sich dann erinnern, wie das komplette Passwort lautet und wo er es verwendet hat. Sofern es noch aktuell ist, könne er es dann möglicherweise direkt ändern.
Verschlüsselung beim Einlesen hilft beim Datenschutz
Ebenso wie die Meldung an den Nutzer muss auch das Verfahren, mit dem die Forscher die Datensätze analysieren, dem Datenschutz entsprechen. Deshalb pseudonymisieren und verschlüsseln die Bonner Wissenschaftler die Daten auf eine ganz spezielle Art und Weise schon beim Einlesen. Entscheidend ist, dass relevante Merkmale wie Passwort, E-Mail-Adresse, Benutzername oder Geburtsdatum bei der Auswertung erkannt und voneinander unterschieden werden. Die Herausforderung bestand vor allem darin, dass in den meisten geleakten Daten um die Identitätsmerkmale herum weitere Zeichen angezeigt werden und dies auch nicht einheitlich.
Die Lösung: eine Software für die automatisierte Auswertung. „Persönlich bekommen wir gar nicht mit, welcher Nutzer eine Anfrage an den Leak-Checker stellt“, sagt Malderle. Alles läuft voll automatisch ab – von der Eingabe der Mailadresse, der Pseudonymisierung, dem Abgleich mit dem geleakten Datensatz und der Antwort an den Nutzer.
Erfolgreicher Test an 25 Milliarden Datensätzen
Um ihre Software ausreichend zu testen, nutzten die Forscher nur öffentlich zugängliche Identitätsdaten-Leaks aus dem Internet oder dem sogenannten Darknet. Sie haben keine Leaks von Kriminellen dafür gekauft. Bislang konnte die Software rund 25 Milliarden Datensätze automatisiert und datenschutzkonform analysieren. Diese Ergebnisse präsentieren die Forscher auf dem Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI), auf dem sich Anfang Februar Teilnehmer aus der Politik und IT-Sicherheitsexperten virtuell treffen.
Datenschützer warnen vor neuer Hype-App
Die Forscher raten, vor allem das eigene E-Mail-Konto gut zu schützen. Der Grund: Setzt man das Passwort bei anderen Anbietern zurück, kann man über die Mail-Adresse fast alle anderen Konten hacken. Dabei sei ein langes und komplexes Passwort wichtig, das mindestens aus 12, besser aus 16 Stellen oder mehr bestehe. Eine zusätzliche Absicherung über den Zweifaktor-Schutz biete noch mehr Sicherheit. Dann muss man sich nicht nur mit dem Passwort anmelden, sondern darüber hinaus mit einem weiteren Einmalpasswort, einem Zahlencode oder einer SMS. Wer für jeden Account ein anderes Passwort benutzt, schützt sich ebenfalls besser als immer dasselbe zu verwenden. Ein Passwortmanager kann helfen, den Überblick zu behalten. „Man sollte seine Passwörter auf keinen Fall unverschlüsselt digital speichern, also auf dem Rechner oder dem Handy“, sagt Malderle.
Mehr zum Thema Cybersicherheit:
Ein Beitrag von:
