Immer im Visier

Selbst wer keinen GPS-Chip in seinem Handy hat, lässt sich orten. Während sich die massenhafte Auswertung solcher Positionsdaten in den USA zum nächsten großen Wachstumsmarkt entwickelt, warnen Experten vor einem Datenschutz-GAU.

Lesezeit: 10 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Steffan Heuer

Selbst wer keinen GPS-Chip in seinem Handy hat, lässt sich orten. Während sich die massenhafte Auswertung solcher Positionsdaten in den USA zum nächsten großen Wachstumsmarkt entwickelt, warnen Experten vor einem Datenschutz-GAU.

Manchmal kann Überwachung sogar Leben retten. Zum Beispiel das von Jason Jones. Der New Yorker saß von Mai bis November vergangenen Jahres als Mordverdächtiger im Gefängnis. Jones beteuerte seine Unschuld, weil er zum Zeitpunkt des Verbrechens nicht am Tatort gewesen, sondern mit Bus und U-Bahn von der Nachtschicht nach Hause gefahren sei, doch niemand wollte ihm glauben. Sein Anwalt fischte die MetroCard aus der konfiszierten Brieftasche seines Mandanten und ließ sich von den New Yorker Verkehrsbetrieben die Vorratsdaten der Mordnacht ausdrucken. Erst dann akzeptierte auch das Gericht, dass Jones um zwei Uhr nachts in einer U-Bahn weit vom Tatort entfernt gesessen hatte.

Schon bald könnte solche Detektivarbeit überflüssig werden. Nicht etwa, weil Nachrichtendienste oder Polizei sowieso seit Jahren alle Kommunikationswege anzapfen, sondern weil Unternehmen mit Unterstützung von renommierten Akademikern die Bewegungsmuster von Millionen Menschen in Echtzeit erfassen und auswerten.

Der entscheidende Unterschied zu anderen ortsbezogenen Anwendungen, etwa der standortabhängigen Suche nach einem Restaurant oder der nächsten Tankstelle, besteht darin, dass diese Bewegungsdaten passiv erhoben werden können, also ohne Mitwirkung des Zieles. Erfasst wird sozusagen das Hintergrundrauschen im Alltag des vernetzten Lebens: Logdaten von Mobilfunk-Basisstationen, an denen sich ein Handy an- oder abmeldet, wann immer es eine Funkzelle betritt oder verlässt, die Broadcast-Pakete, die Geräte mit WLAN-Fähigkeit aussenden, wenn sie versuchen, sich mit einer Basisstation zu verbinden, Bluetooth-Gerätekennungen, die GPS-Koordinaten eines Taxis, das einen Kunden aufnimmt oder absetzt, oder die Routenplanung von modernen Assisted-GPS-Geräten, die sich ständig aktuelle Informationen aus dem Netz laden.

Seit nunmehr drei Jahren fließen diese Daten nun durch die Rechner der New Yorker Firma Sense Networks, die aus einem Forschungsprojekt am Massachusetts Institute of Technology hervorgegangen ist: Der Informatiker Alex Pentland, Leiter des "Media Lab" am MIT, hatte 2004 gemeinsam mit seinem Kollegen Nathan Eagle rund hundert Mobiltelefone von Freiwilligen mit einer speziellen Software ausgestattet, die Standorte, Gesprächsdaten und das Vorhandensein anderer Mobiltelefone oder Computer in der Nähe der Testperson aufzeichnete. Die Wissenschaftler werteten die in neun Monaten gesammelten Daten am Computer aus und waren begeistert: Das "Reality Mining"-Projekt bescherte ihnen erstmals verlässliche Daten über all die täglichen Routinen und Gewohnheiten, die Sozialwissenschaftler sonst nur äußerst lückenhaft und subjektiv gefärbt aus wenigen Fragebogen herausklauben müssen.

Mittlerweile ist Sense Networks der Vorreiter auf dem Gebiet der Bewegungsanalyse und hat aufgrund seiner Abkommen mit Netzwerkbetreibern, Geräteherstellern, Software-Anbietern, großen Datenmaklern und Taxifirmen in den vergangenen drei Jahren mehrere Milliarden Datensätze angehäuft – in erster Linie in den USA, aber ebenso in Lateinamerika und seit Kurzem in einer ungenannten Region Europas im Auftrag "eines großen europäischen Geräteherstellers".

Wie aus Satellitenbildern, die jede Lichtquelle auf einem Kontinent aufzeichnen und aus denen man einen dynamischen Atlas erstellen könnte, lassen sich aus dieser Daten-Matrix die zeitlich veränderlichen Muster der Massenbewegung herauslesen. Ein einzelner Datensatz besteht aus drei oder vier Elementen: dem Längen- und Breitengrad, Datum und Zeit sowie in vielen Fällen einer anonymen Identifikationsnummer, die einem Nutzer anstelle der spezifischen Telefon- oder Seriennummer zugewiesen wird. Jeden Tag kommen so bis zu 100 Millionen neue Einträge hinzu, sagt der Computerwissenschaftler Tony Jebara von der Universität Columbia in New York und einer der Sense-Mitgründer. "Diese drei oder vier Daten sind die Lingua franca, der kleinste gemeinsame Nenner der ganzen Welt. Sie sind unabhängig vom Land gleich nützlich, um sie zu deuten."

Und das tut die Firma ausgiebig. Sense hat Algorithmen entwickelt, um die Bewegungsmuster von Millionen Menschen vor allem in Ballungszentren wie New York, Washington, Houston, Chicago und San Francisco zu vergleichen und daraus einen sogenannten Mobilitätsgraphen für Verbraucher und bestimmte Orte zu errechnen. Auf diesem feinkörnigen "Index der Wirklichkeit", wie Jebara ihn nennt, lassen sich zahlreiche Abfragen durchführen – analog zu Googles Rangliste bei einer Suchanfrage, die ebenfalls die am meisten verlinkten Treffer ganz oben in der Liste platzieren.

Der CEO der Firma, Greg Skibiski, muss sich nicht lange bitten lassen, um seinen Laptop hochzufahren und ein paar Animationen an die Wand zu projizieren, mit denen er die analytische Scharfsicht seiner Technologie demonstrieren will: Da ist das grell orangefarbene Gewusel aus dem abendlichen Taxiverkehr in San Francisco und New York zu sehen, aus dem sich im Minutentakt bis auf die einzelne Straßenecke genau bestimmen lässt, wo etwas los ist – Sense verwendet unter anderem die in Echtzeit erhobenen Daten von Tausenden von Taxis. Anhand der Popularität einer GPS-Koordinate kann man auf einen Blick erkennen, welche Stadtteile ungewöhnlich belebt oder ausgestorben sind, wo es Nachtschwärmer je nach Wochentag und Uhrzeit hinzieht. Als besonderen Blickfang hat Sense daraus eine iPhone-Anwendung namens CitySense gebaut. Das Programm versucht, mithilfe von Algorithmen aus der künstlichen Intelligenz nicht nur zu lernen, an welchen Positionen der Benutzer sich besonders oft und damit auch besonders gern aufhält. Es ordnet den Benutzer auch einer Gruppe mit offenbar ähnlichen Interessen zu und soll in der nächsten Version die jeweils von dieser Gruppe besonders bevölkerten Orte auf einer Karte anzeigen.

Denn – und das ist für große Unternehmen wie etwa Banken am interessantesten – Sense kann innerhalb relativ kurzer Zeit die Daten der anonymen Masse in handliche Segmente schneiden und über deren Mitglieder erstaunlich präzise Aussagen treffen. Wer etwa regelmäßig an einem Flughafen auftaucht, wird im Verbund mit anderen Kriterien als Geschäftsreisender eingestuft, und der Netzwerkbetreiber kann ihn als wertvollen "Lead" an die Werbeabteilung einer Fluggesellschaft verkaufen.

Solche "Ortsgraphen" sind also nicht nur für die einzelnen Nutzer interessant. Sie erlauben auch Unternehmen von Banken über den Einzelhandel bis zu Bars und Restaurants, ihr Marketing zu automatisieren. Während sie bisher auf Stichproben und Umfragen angewiesen waren, bei denen allein schon die Auswahl der Teilnehmer mit statistischen Problemen befrachtet war, können sie nun den Verkehrsfluss so gut wie in Echtzeit beobachten und darauf reagieren: mehr oder weniger Personal aktivieren, Sonderaktionen starten. Zweitens lassen sich anhand der großen Trends bestimmte geografische Geschäftscluster bewerben – ähnlich wie gesponserte Links in einer Suchmaschine auf die Anfrage kalibriert werden, kann CitySense neben den gerade "heißen Zonen" des Abends Suchergebnisse präsentieren. Ein ortsabhängiger Wink mit dem Zaunpfahl.

Eine ähnliche Strategie verfolgt die britische Firma Path Intelligence, die sich darauf spezialisiert hat, Handys innerhalb von Einkaufszentren, Bahnhöfen und anderen Versammlungsorten zu verfolgen. Sie kann Einzelhändlern in einer Fußgängerzone so minutengenau verraten, wie viele Kunden sich wie lange in welchem Geschäft aufhalten und wo sie davor und danach waren. Das Unternehmen sammelt dazu nach Angaben von Managerin Sharon Biggar die sogenannte Temporary Mobile Subscriber Identity (TMSI) ein – eine Nummer, die allen gerade aktiven Geräten in einer Mobilfunkzelle zugewiesen wird und deswegen für sich allein noch keinen unmittelbaren Rückschluss auf die Telefonnummer zulässt.

Path Intelligence berät mit dieser Technik bei der Renovierung von Bahnhöfen in London, beim Design von Sicherheitskontrollen in Flughäfen, beim besseren Vermarkten von Einkaufszentren – und hilft zuweilen auch der Polizei, die herausfinden will, ob Häftlinge Handys in den Knast geschmuggelt haben oder wo in einem Gebäude sich Geiseln aufhalten.

Sense kann im Unterschied zur britischen Konkurrenz die vollen Datensätze von Netzwerkbetreibern und Hardware-Herstellern verwenden, da sie an die Firma als Rohmaterial weitergereicht werden. Das Abfangen solch detaillierter Ortsdaten wäre für zwischengeschaltete Horchposten wie Path Intelligence illegal.

Mithilfe von zusätzlichen Daten wird aus einem dürren Skelett schnell ein Vollblutmodell. So lassen sich Volkszählungsdaten über die Altersgruppen, ethnische Konzentration und Einkommensverteilung in einem Viertel mit offiziellen, standardisierten Daten über einzelne Geschäfte an jeder Adresse in den USA verknüpfen – von den unzähligen Datenquellen sozialer Netzwerke im Web einmal ganz zu schweigen, die Millionen von Surfern freiwillig mit Texten und geokodierten Bildern füttern. Zum Beweis fährt Skibiski Grafiken hoch, die die Pendlerfrequenzen aus dem Umland zu Edelkaufhäusern in Manhattan sowie ins Bankenviertel in San Fran- cisco darstellen. "Wer in der Region A wohnt und jeden Morgen in die Region B ins Bankenviertel fährt und es abends wieder verlässt, arbeitet aller Wahrscheinlichkeit nach dort. Wir haben es also mit einem Banker oder Börsianer zu tun."

Im Firmenjargon heißen die Segmente Stämme – als ob es um Eingeborene ginge, deren Migrationspfade man verfolgt. Diese Art der Netzwerkanalyse fasziniert Wissenschaftler seit Langem, aber erst seit Kurzem besitzen sie die Rechenleistung und Werkzeuge, um sie wirklich detailliert zu betreiben. "Wir haben uns seit Mitte der neunziger Jahre überlegt, wie man ein Modell bauen kann, um die Bewegung von Menschen abzubilden und vorherzusagen", berichtet Tony Jebara über seine Zusammenarbeit mit dem MIT-Forscher Alex "Sandy" Pentland, einem der Mitgründer von Sense. "Am Anfang war das sehr schwer, denn wie kann man einer größeren Gruppe von Menschen folgen und anhand ihrer Bewegungen, Handlungen und Interaktionen ein wirklichkeitsgetreues Modell erstellen?" Mobiltelefone waren deswegen für Jebara und Pentland ein Geschenk des Himmels: "Die Hälfte der Menschheit hat inzwischen ein Handy – das ist alles, was wir brauchen."

Pentlands neuestes Buch trägt den treffenden Titel "Honest Signals" – ein Blick auf die unverfälschten, ehrlichen Signale, die jeder Mensch unwillkürlich aussendet, wie ein Hund, der mit dem Schwanz wedelt. "Wir sind in dieser Hinsicht wie Bienen, die einen Tanz um die Futterquelle vollführen", sagt Pentland. "Wir müssen so gut wie nichts über eine Person wissen, aber wenn wir ihre Signale an die Umgebung beobachten, können wir mit erstaunlich hoher Treffsicherheit vorhersagen, ob jemand in einer Gruppe von Kollegen mehr Autorität besitzt, ob er etwas kaufen wird oder wie die Verhandlungen um eine Gehaltserhöhung ausgehen werden." Sense Networks ist die logisch zu Ende gedachte Konsequenz von Pentlands Forschung zu sozialen Signalen, denn jeder Anruf, jede Besorgung, jedes Abendessen außer Haus verrät ein Stückchen mehr über einen Menschen, sein soziales Gefüge – und auch seine Zukunftspläne.

"Mit der Beobachtung von Signalen kann man ganze Firmen, ganze Städte, eine ganze Gesellschaft röntgen", schwärmt Pentland. Ihm schwebt eine Art Super-Telefonbuch für die Gesellschaft von morgen vor, in der alle Menschen nach "Verhaltens-Postleitzahlen" sortiert sind. Aufgrund der enormen Mobilität des modernen Menschen ist dieses Verzeichnis nicht mehr an Adressen gebunden, sondern besteht aus unzähligen Bewegungsprofilen. Der einzelne Verbraucher oder Bürger interessiert Pentland dabei nicht, beteuert er, sondern nur das Aggregat aus Tausenden oder Millionen Menschen, aus deren Verhalten sich Muster wie bei einer Horde Primaten oder einem Bienenstock herausfiltern lassen.

Während die Bewegungsdaten ständig eingehen, aktualisiert Sense seine Modelle nur einmal die Woche. "Dieser Intervall reicht, um schnell zu bemerken, wenn sich bei jemandem die Lebensumstände verändern", erklärte Cheftechnologe Jebara. "Wir können innerhalb einer Woche anhand der Bewegungsmuster merken, ob jemand arbeitslos oder krank geworden ist." Die Metadaten erlauben noch ganz andere Progno- sen, an denen Firmen brennend interessiert sind – etwa anhand der Verkehrsdaten die Quartalsergebnisse großer Einzelhändler börsennotierter Handelsketten zu prognostizieren, bevor diese bekannt gegeben werden. Mit solchen Daten bewaffnet, könnten Banken oder jene ungenannten Hedge Fonds, die Sense finanziert haben, Aktien oder Terminkontrakte handeln, bevor ein börsennotiertes Unternehmen seine jüngsten Zahlen vorlegt. "Um wertvolle Aussagen zu treffen, müssen wir keineswegs wissen, wer jeder einzelne Nutzer ist", bekräftigt Jebara. "Aber wir können für Angehörige einer Gruppe für jede Stunde der Woche hohe Wahrscheinlichkeiten berechnen, ob und wann sie von A nach B fahren, in Restaurant X oder Y essen werden, ob sie männlich oder weiblich sind, Student, Arbeiter oder Angestellter."

Koppelt man die Bewegungsprofile mit den anderen Daten, die Firmen entweder intern besitzen oder sich mit automatischen Fisch-zügen durchs Web besorgen können, wird schnell klar, auf welch wackligen Beinen das Argument der anonymisierten Bewegungsdaten steht. Philippe Golle und Kurt Partridge vom Forschungszentrum Xerox Parc haben in einer jüngst veröffentlichten Studie berechnet, dass rudimentärstes Wissen über Mobilität ausreicht, um eine vermeintlich anonyme Gruppe zu knacken. Mit der ungefähren Adresse für Arbeits- und Wohnort lässt sich ein Viertel aller US-Bürger auf Cluster von fünf oder weniger Personen einengen, insbesondere da 94 Prozent aller Amerikaner in zwei unterschiedlichen statistischen Einheiten der Volkszählung wohnen und arbeiten. "Das gibt Anlass zur Sorge", sagt Golle. "Die einzige narrensichere Methode, um Re-Identifizierung zu verhindern, besteht darin, solche feinkörnigen Ortsdaten nicht zu liefern, indem man sein Handy ausschaltet."

Sense hält dagegen, dass es die detaillierten Datensätze nach maximal einer Woche löscht und nur die Mobilitätsprofile für Nutzergruppen speichert. Selbst ein Durchsuchungsbefehl würde keine historischen Daten zu einer bestimmten Telefonnummer zu Tage fördern. Das Argument ignoriert zwei kritische Einwände. Einmal speichern Telekomfirmen und Internetbetreiber solche Daten bereits an der Quelle. Zweitens lassen auch die Zugehörigkeit zu verschiedenen "Stämmen" und die statistischen Wahrscheinlichkeiten, bestimmte Orte zu bestimmten Zeiten aufzusuchen, Rückschlüsse auf Einzelpersonen zu, sobald man sich externe Quellen zu Hilfe nimmt, warnt der Sicherheitsexperte Arvind Narayanan. Der Doktorand an der Universität Texas in Austin sorgte Ende 2007 für Schlagzeilen, als er demonstrierte, wie leicht ein Unbekann-ter einzig anhand der Vorliebe für bestimmte Filme identifizierbar ist. Narayanan benutzte den anonymisierten Datensatz des DVD-Verleihs Netflix, der die Voten einer halben Million Kunden umfasste, um mithilfe anderer Webseiten und Datenquellen zwei Kunden aus dem Heuhaufen herauszufischen.

"Es gibt keine völlige Anonymität. Wenn man Hilfsdaten von Webseiten wie Flickr oder Facebook einsetzt, lässt sich oft mit nur drei bis vier Datenpunkten eine Einzelperson bestimmen", so der Computerwissenschaftler. Schon die Tatsache, dass man aufgrund seines Freizeitverhaltens einem bestimmten "Stamm" zugerechnet wird und wegen seiner Wegstrecke während der Woche einem anderen, kann verräterische Rückschlüsse zulassen. "Dass man Bewegungsdaten ohne Nutzer-ID auswertet, ist noch lange kein wasserdichter Schutz."

Für Sense-Mitgründer Greg Skibiski ist das digitale Schleppnetz aus zwei Gründen kein Vertrauensbruch: "Alle Daten, die wir analysieren, kommen aufgrund einer Opt-in-Entscheidung des Endverbrauchers mit einem seiner Anbieter zustande. Andere Daten analysieren wir nicht." Laut Thilo Weichert, dem Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein in Kiel, ist die Nutzung von GPS-Daten auch in Deutschland gemäß Bundesdatenschutzgesetz nur mit Einwilligung des Verbrauchers zulässig. Aber wer liest schon das Kleingedruckte in einem Handyvertrag oder die seitenlangen Lizenzen, die bei einer Software oder einem neuen GPS-Gerät weggeklickt werden, wenn man es zum ersten Mal benutzen will? Darin würde der aufmerksame Kunde durchaus Pas- sagen finden, in denen Firmen wie AT&T beschreiben, wie sie Nutzer- daten verwenden dürfen, um "ihre Infrastruktur oder ihre Dienstleistungen zu verbessern".

Eine etwas sicherere Alternative stellten Forscher des Fraunhofer-Ins- tituts für Integrierte Schaltungen (IIS) kürzlich vor. Ihr WLAN-basiertes Ortungssystem lässt Kunden den Algorithmus samt Karte und Hotspot-Geodaten auf dem Handy installieren, sodass die Positionsbestimmung auf dem Gerät stattfindet, ohne dass der Zentralserver kontaktiert wird. Damit kommen auch auf ihre anonyme Bewegungsfreiheit bedachte Bürger – mit Abstrichen – in den Genuss ortsbezogener Dienste. Dem eigenen Datenpuzzle fügen sie indes Minute um Minute dennoch ein Steinchen zu, so- lange sie ihr Handy eingeschaltet haben.

Der Trend aber geht längst in die andere Richtung. Für immer mehr Smartphones gibt es Anwendungen, die Nutzern einen fairen Tauschhandel vorgaukeln, um ausgiebig Nutzerdaten absaugen zu können: Verrate mir, wo und wie du dich bewegst, wer deine Freunde sind, und ich helfe dir beim Einkaufen oder bei der Unterhaltung. Wer einer Anwendung wie Google Maps nach und nach mehr über sich preisgibt, hilft dabei keineswegs langfristig dem Gemeinwohl, kritisiert der Anwalt Kevin Bankston von der Datenschutz-Initiative Electronic Frontier Foundation (EFF) in San Francisco. "Ich kann genauso gut argumentieren, dass es uns allen nützt, wenn ich an jeder Straßenecke eine Überwachungskamera installiere. Und das ist erst der Anfang. Bald steckt in jedem Produkt, in jedem Kleidungsstück ein RFID-Chip. Wir bewegen uns auf ein so engmaschiges Datennetz zu, dass die vollkommene Überwachung der gesamten Gesellschaft möglich wird, für die es keinen adäquaten Rechtsschutz gibt."

Sense experimentiert tatsächlich bereits jetzt mit Technologien, um Handynutzer innerhalb von Gebäuden zu analysieren. Damit könnte beispielsweise ein Kasino oder Megahotel den Passantenstrom in seinen riesigen Hallen in Echtzeit verfolgen und sein Personal entsprechend steuern – keine Zugabe für die dünn besetzte Show, mehr Drinks und mehr Wachpersonal an Tisch zwölf. Selbst wenn die Daten vordergründig anonym sind und selbst wenn Firmen wie Path Intelligence gelbe Warnschilder aufstellen: Gepaart mit allgegenwärtigen Sicherheitskameras und Kreditkartendaten wird daraus im Handumdrehen eine "Rund-um-die-Uhr"-Rasterfahndung.

Engagierten Datenschützern wie dem Sicherheitsexperten und Bestseller-Autor Bruce Schneier erscheint der Gedanke nicht weit hergeholt, mit solchen ausufernden Bewegungsprofilen unerwünschte Versammlungen oder Demonstrationen zu unterbinden. "Bald ist es so weit, dass man sich verdächtig macht, wenn man sein Mobiltelefon ausschaltet, weil man etwas zu verbergen haben könnte. Die Idee stellt unsere Vorstellung vom Datenschutz – noch – auf den Kopf, aber technisch betrachtet, gibt es den Schutz der Privatsphäre nicht mehr", sagt Schneier. "Es ist ein gesetzliches Konstrukt und eine Frage der Definition. Dann wird uns die Werbung suggerieren, das Gerät immer bei sich zu tragen und am besten nie abzuschalten, wenn man um seine Sicherheit und seine Unschuld besorgt ist."

Wer die Wahrscheinlichkeit hochrechnen könne, mit der sich be- stimmte Gruppen in einem definierten Zeitraum in bestimmten Stadt- teilen aufhalten, könne mögliche Anführer und Teilnehmer vorbeugend festsetzen oder einschüchtern, ohne jemals ihre Telefonate oder SMS abzuhören. Ebenso gut ließe sich mit einem Sense-Modell berechnen, welche Mobilkunden am wahrscheinlichsten mit einer hoch ansteckenden Krankheit wie Tuberkulose oder der Vogelgrippe Sars infiziert sind, wer verdächtig lange nicht mehr zur Arbeit gefahren ist, wer sich in epidemiologischen Brennpunkten aufhält. Das mag dem Seuchenschutz in Dritte-Welt-Ländern dienen, aber als Kontrollgruppe muss man zuerst einmal die Telefonnummern wirklich Infizierter erfassen und verfolgen. Der Schritt zur statistisch verfügten, vorbeugenden Quarantäne aus Gründen der öffentlichen Gesundheit ist da nicht weit.

"Rein technisch betrachtet, glaube ich Leuten kein Wort, die sagen, man kann solche Daten anonym halten. Wer das behauptet, denkt nicht nach oder lügt", wettert Schneier. Für ihn geht es nur noch um nachträgliche gesetzliche Stolpersteine, um Firmen und Behörden beim technisch Möglichen zu bremsen. "Wir bauen eifrig an der Infrastruktur für einen Polizeistaat. Ich unterstelle niemandem schlechte Absichten. Aber was einmal steht, wird irgendwann auch eingesetzt." (bsc)