IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Grenzen für Auskunfteien fehlen

Die Schufa ist vor einigen Tagen ins Gerede gekommen, weil sie ein “Forschungsprojekt” starten wollte, um herauszufinden, wie personenbezogene und öffentlich zugängliche Daten von Personen in öffentlichen Netzwerken zur Bewertung der Bonität dieser Personen genutzt werden können. Die Financial Time Deutschland ergänzte diese Nachricht mit einem Bericht, dass viele Versicherer und Banken in denselben Datenquellen Informationen vermuten, die auf Bonität und Risikobereitschaft von Interessenten und Kunden schließen lassen.

Das ist alles schon sehr befremdlich und verlangt nach einer Grenzziehung durch den Staa

Es ist eben nicht harmlos, wenn Organisationen die angeblich öffentlichen Daten nicht nur auslesen, sondern neu aggregieren, auf beliebige Korrelationen absuchen und dann mit einer rein statistischen Funktion eine Empfehlung für oder gegen das Zustandekommen eines Vertrags aussprechen. Dies ist dreifach kritisierbar:

1. Das Sammeln und Aggregieren (Zusammenführen) von Daten zu einer Person ist ein Arbeitsschritt, der die gesammelten und aggregierten Daten verändert und für alle Beteiligten erkennbar einer neuen Interpretation öffnet. Mit dieser Sicht auf den Sinn personenbezogener Daten ist dieser Vorgang (das Sammeln und Aggregieren) eine vom Autor nicht beabsichtigte Verarbeitung der von ihm erzeugten und veröffentlichten Daten. Dies sollte unterbunden werden.

2. Es ist nicht gesichert, dass das Verfahren tatsächlich valide ist oder sein kann. Die jeweils persönlichen Motive der Urheber von Texten und Bildern im öffentlichen Bereich des Internet sind sehr unterschiedlich. Die Konstruktion, die aus dieser schwer zu kategorisierenden Datenmasse eine brauchbare weil realistische Messplattform schafft, muss erstmal erfunden werden, und dürfte leicht zu kritisieren sein.

3. Damit keimt der Verdacht, dass es nicht um tatsächlich wertvolle Daten und sinnvolle Risikobewertungen geht, sondern den möglichen Käufern wird eine Scheinsicherheit verkauft. Was nicht verhindern wird, dass interne Risikomanager auf die vermeintliche Quelle hinweisen werden und damit in internen Prozessen dieses Merkmal herangezogen werden wird.

Es muss ernsthaft diskutiert werden, wie der Missbrauch öffentlich zugänglicher Personen bezogener Daten geschützt werden können vor dezm Zugriff kommerzieller Auswerter. Das Thema ist nicht leicht, villeicht müssen wir sogar einen Schritt weiter zurückdenken, und die Zugänglichkeit von facebook oder Xing mal genau durchgehen. In Xing, so hoffe ich, ist von meinem Profil nur das zu finden, was ich veröffentlich haben will. Bleibt das so? Wirklich schlimm kann es Leute treffen, wie Kinder und Jugendliche, aber auch viele Erwachsene ohne Kenntnisse der Strukturen, die Informationen ins Internet stellen um diese mit Freunden zu teilen, und nicht ahnen, welche Folgerungen andere daraus ziehen.

Die Ungleichheit in Bewusstsein und technischen Optionen schafft eine Gefahr für den Einzelnen, der deshalb geschützt werden muss. Die wirtschaftlichen Interessen der Schufa und anderer Auskunfteien, und natürlich die der Kunden dieser Auskunfteien, sind verständlich, aber sie müssen zurück stehen hinter dem Schutzanspruch.

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.