In einer Szene der Snowden-Dokumentation Citizenfour spricht der Sicherheitsexperte Jacob Appelbaum vor einer Gruppe von Occupy-Demonstranten in New York. Er erklärt, wie leicht es für die Behörden sei, ihre Identität und Bewegungen herauszufinden. Es genüge bereits, wenn sie auf dem Weg zur Demo ihr U-Bahn-Ticket mit der EC-Karte bezahlen, um eine Verbindung zwischen ihnen und ihrem möglichen Zielort zu erstellen.
Wie leicht es tatsächlich ist, aus Finanzdaten auf einzelne Personen rückzuschließen, zeigt eine aktuelle Studie. Ein Forscherteam des Massachusetts Institute of Technology (MIT) und der Universität von Aarhus haben dafür drei Monate lang die Kreditkartenkäufe von insgesamt 1,1 Millionen Menschen analysiert. Ihr Ergebnis: Mit Informationen über den Ort und den Zeitpunkt von bloß vier Bezahlvorgängen war es möglich, 90 Prozent der Personen in einer anonymisierten Liste zu identifizieren, wie sie im Magazin Science schreiben (De Montjoye et al., 2015).
Wussten die Forscher etwa, dass eine Person am Montag einen Kaffee mit der Kreditkarte bezahlt, am Dienstag im Supermarkt eingekauft hatte, am Donnerstag in einem Sportartikelgeschäft und am Freitag in einem Kleidungsladen war, konnten sie diese Person fast immer in der Liste wiederfinden. Auf Basis dessen ist es möglich, Bewegungsprofile zu erstellen und Rückschlüsse auf den sozialen Status und die Finanzen einer einzelnen Person zu schließen.
Wie anonym sind anonyme Datensätze?
Möglich machen das die Metadaten. Dazu gehören etwa die Dauer eines Telefongesprächs, Zeitstempel,
IP-Adressen, aber auch ein Check-in auf Facebook, ein mit GPS-Daten verknüpfter
Tweet oder eben die Verwendung einer Kredit- oder Bankkarte. Die Informationen sind für sich stehend wenig aussagekräftig, gesammelt und
in Verbindung zueinander aber lassen sie ein Kommunikationsmuster
erkennen.
Dass die Banken und Kreditkartenfirmen die Transaktionen der Kunden kennen und auswerten können, ist eine Sache. Doch in einigen Fällen teilen sie die Daten anonymisiert mit Dritten, etwa um das Kaufverhalten einer Kundengruppe zu analysieren oder Betrug abzuwenden. Sowohl in den USA als auch in Europa gibt es Gesetze, die diese Weitergabe "persönlicher identifizierbarer Informationen" (PII) regeln.
"Die Gesetzgebung fußt auf dem Begriff von Anonymität. Wir behandeln Daten unterschiedlich, je nachdem ob sie anonym sind oder nicht", sagt Yves-Alexandre de Montjoye, Erstautor der Studie. "Aber auch ohne eindeutige persönliche Informationen ist es möglich, einzelne Personen zu identifizieren." Anders gesagt: Nur weil ein Datensatz keine Namen, Adressen oder Telefonnummern enthält macht ihn das noch lange nicht anonym.
Frauen sind einfacher zu identifizieren als Männer
Die Studie brachte noch zwei weitere interessante Nebenaspekte zum Vorschein. So war es deutlich einfacher, sowohl Frauen als auch Personen mit hohem Einkommen in der Liste zu identifizieren. Die Wahrscheinlichkeit, in den Datensätzen eine Frau wiederzufinden, lag 1,2-mal höher als die von Männern.
Die Entdeckung hat die Forscher überrascht. "Es ist zunächst nur eine Beobachtung", sagt de Montjoye, "jede Person hat ein individuelles Muster was die Verwendung von Kreditkarten angeht." Offenbar entstehen aber für einzelne Personengruppen größere Muster. Über die möglichen soziologischen oder kulturellen Hintergründe, also etwa die Frage, ob Frauen einfach öfter und vorhersehbarer einkaufen, wollte sich de Montjoye nicht äußern. Das sei die Aufgabe anderer Fachbereiche, sagt er.
In einer Szene der Snowden-Dokumentation Citizenfour spricht der Sicherheitsexperte Jacob Appelbaum vor einer Gruppe von Occupy-Demonstranten in New York. Er erklärt, wie leicht es für die Behörden sei, ihre Identität und Bewegungen herauszufinden. Es genüge bereits, wenn sie auf dem Weg zur Demo ihr U-Bahn-Ticket mit der EC-Karte bezahlen, um eine Verbindung zwischen ihnen und ihrem möglichen Zielort zu erstellen.
Wie leicht es tatsächlich ist, aus Finanzdaten auf einzelne Personen rückzuschließen, zeigt eine aktuelle Studie. Ein Forscherteam des Massachusetts Institute of Technology (MIT) und der Universität von Aarhus haben dafür drei Monate lang die Kreditkartenkäufe von insgesamt 1,1 Millionen Menschen analysiert. Ihr Ergebnis: Mit Informationen über den Ort und den Zeitpunkt von bloß vier Bezahlvorgängen war es möglich, 90 Prozent der Personen in einer anonymisierten Liste zu identifizieren, wie sie im Magazin Science schreiben (De Montjoye et al., 2015).