Wissenschaft. Wie können Nutzer*innen im Falle eines Datenlecks schnell reagieren und den Schaden so gering wie möglich halten? Das haben Forscher*innen verschiedener Unis herausgefunden.

Es ist der Albtraum vieler Internetnutzer*innen: Plötzlich ist die eigene digitale Identität gestohlen und sensible Daten wie Konto- oder Kreditkarteninformationen werden auf dem Schwarzmarkt angeboten. Der Grund: ein Datenleck. Wie dieses Szenario möglichst unterbunden werden kann oder Betroffene schnell benachrichtigt werden können, steht im Fokus des Forschungsprojekts „Effektive Information von Betroffenen nach digitalem Identitätsdiebstahl“ (EIDI). Forscher*innen der Universität Duisburg-Essen, der AG IT-Sicherheit der Rheinische Friedrich-Wilhelms-Universität Bonn, dem Leibnitz-Institut für Informationsinfrastruktur Karlsruhe und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein in Kiel stellten sich der Herausforderung, ein proaktives Benachrichtigungs- und Frühwarnsystem zu entwickeln. Die wissenschaftliche Leitung des Projekts liegt bei der Uni Bonn. Deren IT-Sicherheitsexperte Matthias Wübbeling formuliert das Problem: „Meist merken die Betroffenen zunächst nicht einmal, dass sie Opfer einer Straftat geworden sind.“ Es gibt derzeit noch keine standardisierte Methode, Opfer von Identitätsdiebstahl zuverlässig und schnell über den Missbrauch ihrer Daten zu informieren. Hieraus ergibt sich auch das Ziel des Projekts: illegal angelegte Datensammlungen sollen automatisch und unter der Einhaltung strengster Datenschutzbestimmungen auf ihre Aktualität hin überprüft werden. Im Anschluss sollen die betroffenen Nutzer*innen automatisch informiert werden. Die Verfahren zur Prüfung der Datensammlungen werden vom EIDI-Team neu entwickelt. Diese Verfahren sind in der Lage, Sensordaten zu analysieren, fusionieren und korrelieren.

Betroffene informieren

In einem zweiten Schritt müssen die betroffenen Personen möglichst verständlich über Art und Ausmaß des Datenlecks proaktiv informiert werden. Hier kommt die Arbeit des Psychologieprofessors Matthias Brand von der Uni Duisburg-Essen ins Spiel. Er entwickelt mit seinem Team Warnungen, die von den Nutzer*innen tatsächlich wahrgenommen werden. „Wir erarbeiten verständliche und umsetzbare Handlungsempfehlungen, damit die Warnungen so gestaltet werden können, dass sie die gewünschte Aufmerksamkeit erreichen“, erläutert Brand. Die Herausforderung sei, dass die Nutzer*innen die Warnung sowie das Ausmaß des Datenverlusts möglichst genau verstehen und schnell eigene Sicherheitsvorkehrungen treffen können. Solche Warnungen dürften jedoch nicht zu häufig erfolgen, raten die Forscher*innen, damit Betroffene sie auch ernst nehmen und sofort handeln. Eine dritte Komponente zielt auf juristische und datenschutzrechtliche Standards ab. Juristische Partner*innen im Projekt analysieren die Vereinbarkeit der zu entwickelnden Analyseverfahren mit den strengen Vorgaben des bundesdeutschen Datenschutzes. Mögliche Betreiber*innen von Frühwarnsystemen seien, so der bisherige Stand, beispielsweise das Bundesamt für Sicherheit in der Informationstechnik, die Datenschutzaufsichtsbehörden der Länder oder
Verbraucherschutzorganisationen.

:Justinian L. Mantoan