Bielefeld (fhb). Nach der Joggingstrecke die neue Bestzeit bei Facebook teilen – für viele Nutzerinnen und Nutzer von Fitness-Apps ganz normal. Über Apps, Smartphone und Internetbrowser übermitteln wir laufend zahlreiche Informationen über unser Leben. Neben IP-Adresse und Standortdaten verrät das Nutzungsverhalten auch persönliche Informationen wie Job, Herkunft oder politische Einstellung. Gemeinsam ergeben diese vermeintlich harmlosen Einzelinformationen ein nahezu gläsernes Bild von Nutzerinnen und Nutzern oder ganzen Institutionen. Doch wie groß sind die Sicherheitsrisiken dieser Profilbildung genau? Und: Was können wir dagegen tun?
»ADRIAN« untersucht Gefahren und Abwehr von Profilbildung im Internet
Diesen und weiteren Fragen rund um Gefahr und Abwehr von Profilbildung im Web 2.0 widmet sich jetzt das Forschungsprojekt »ADRIAN – Authority-Dependent Risk Identification and Analysis in online Networks« an der FH Bielefeld. Um mögliche Risiken für Privatpersonen und Institutionen zu erkennen, werden Daten aus Lauf-Apps und Sozial-Media-Plattformen analysiert und Schwachstellen identifiziert.
Das Forschungsvorhaben der Arbeitsgruppe »Angewandte KI« vom Fachbereich Wirtschaft der FH Bielefeld wird im Rahmen des Verbundprojekts MuQuaNet mit 500.000 Euro durch das neu geschaffene Zentrum für Digitalisierungs- und Technologieforschung der Bundeswehr (dtec.bw) über vier Jahre gefördert.
Mehr Risiken durch wachsende Vernetzung im Web
Interaktion, Diskussion und der Austausch vielfältiger Informationen machen das Internet zum Ort des Miteinanders. Bilder, Videos, aber auch Informationen wie Geo- und Gesundheitsdaten werden in erheblichem Umfang und mit einer nie dagewesenen Leichtigkeit und Geschwindigkeit ausgetauscht. Projektleiter Prof. Dr.-Ing. Hans Brandt-Pook, Professor für Wirtschaftsinformatik am Fachbereich Wirtschaft der FH Bielefeld: »Dieser Austausch hat durch soziale Netzwerke, einfach zu bedienende Endgeräte, neue mobile Anwendungen und Anwendungsszenarien einen immensen Auftrieb erhalten und sich in jüngster Zeit während der Corona-Krise und der damit einhergehenden Reduzierung persönlicher sozialer Kontakte sogar noch einmal verstärkt.«
Durch diese seit Jahren fortschreitende Vernetzung wird das Web zu einer umfangreichen, relativ frei zugänglichen Informationsquelle für eine Vielzahl datengesteuerte Anwendungen – mit vielfältigen Möglichkeiten, aber auch mit erheblichen Risiken.
Profilbildung durch Verknüpfung von Daten
Denn: Immer effektiver werden nutzergenerierte Daten mit bestehenden Ressourcen automatisiert verknüpft. Auf diese Weise können selbst trivial erscheinende und manchmal auch ungewollt offenbarte Einzelinformationen unter Umständen schädliche Folgen für einzelne Personen, Berufsgruppen oder ganze Institutionen haben. »Dazu zählen beispielsweise Metadaten in PDFs, Hintergründe in Fotos, die wir teilen, oder unsere Bewegungsmuster in Jogging-Strecken, die wir in Fitness-Apps aufzeichnen und teilen«, so Projektantragssteller und -Koordinator Dr. Frederik Bäumer.
Arztbewertung offenbart Familienstatus
Ein weiteres Beispiel für die ungewollte Selbstgefährdung sind Bewertungen von Ärztinnen und Ärzten im Internet. Bäumer: »Aussagen wie ›Als Vater von Ilka übernahm ich …‹ legen nicht nur die Familiensituation offen, sondern eben auch das Geschlecht des Textverfassers und des Kindes.« Es sind solche trivial erscheinenden Einzelinformationen, die jedoch bei der Analyse eines Benutzerprofils mit dutzenden Beiträgen zu Krankheitsverläufen, Medikationen oder Behandlungsorten ein großes Ganzes ergeben.
»Genauso verhält es sich bei online geteilten Jogging-Strecken, die für sich genommen unkritisch erscheinen, in der Summe jedoch das Bewegungsmuster von Einzelpersonen bis zur eigenen Haustür offenlegen und zum Beispiel Militärstandorte oder andere sicherheitsrelevante Lokalitäten identifizierbar machen, da auch Soldaten und Soldatinnen oder Beamte ihre Laufstrecken protokollieren und veröffentlichen«, ergänzt Projektmitarbeiter Sergej Denisov.
Tragweite der Risiken von »Doxing« wird unterschätzt
Das Forschungsteam weiß, dass die potenziellen, aber oftmals abstrakten Risiken des unbedarften Daten- und Informationsaustauschs der Allgemeinheit bekannt sind. »Die Tragweite und die technischen Möglichkeiten der schädlichen Datenauswertung und Nutzung haben sich aber in den vergangenen Jahren rasant weiterentwickelt und heben das Risiko auf ein neues Level«, sagt Prof. Dr. Brandt-Pook. »Immer mehr Applikationen erheben für einen bestimmten Zweck Informationen, die in Kombination das Risiko für Cybermobbing, Identitätsdiebstahl oder Erpressung auch für Privatpersonen erhöhen.« Online geteilte Laufstrecken können so zum Beispiel mit entsprechenden Nutzerprofilen auf Sozialen Netzwerken kombiniert werden, die wiederum das soziale Umfeld offenlegen.
Auch wenn Serviceprovider mittlerweile die Pflicht und auch das Interesse haben, die Sicherheit und Privatsphäre der Benutzerdaten im Web zu gewährleisten, häufen sich die Fälle, in denen diese Daten missbraucht, kompromittiert oder öffentlich verfügbare Informationen gegen den ursprünglichen Verfasser verwendet werden. Dieses internetbasierte Zusammentragen von personenbezogenen Daten ist unter dem Begriff »Doxing« bekannt.
Expertise zu Künstlicher Intelligenz an der FH Bielefeld
Um potenzielle Gefährdungen für Einzelpersonen und Institutionen zu erkennen, setzt die ADRIAN-Forschungsgruppe auf Künstliche Intelligenz (KI). Das Team der AG »Angewandte KI« kann hier auf umfangreiche Vorarbeiten im Bereich computerlinguistischer Methoden und der automatischen Erkennung von Privatsphäre-Gefährdung zurückgreifen. Die seit 2020 im Fachbereich Wirtschaft bestehende Arbeitsgruppe um Prof. Dr.-Ing. Brandt-Pook, Dr. Bäumer und Sergej Denisov bündelt Aktivitäten in Forschung und im Praxistransfer zu KI-Themen. Ein besonderer Schwerpunkt ist die maschinelle Sprachverarbeitung, deren Methoden in diesem Forschungskontext besondere Anwendung finden.
Vor diesem Hintergrund startet ADRIAN als Kooperation zwischen der Arbeitsgruppe »Angewandte KI« und dem Forschungsinstitut »CODE« der Universität der Bundeswehr München. »Mit der erfolgreichen Mitteleinwerbung um ›ADRIAN‹ erhalten wir die Möglichkeit, über vier Jahre an diesem wichtigen Thema zu forschen und dabei auf eine sehr starke Kooperation zu setzen«, sagt Dr. Bäumer.
Forschungsgrundlage bilden Lauf-Apps und Social-Media-Daten
Im Forschungsvorhaben werden zunächst Geo-Daten ausgewählter Lauf-Apps analysiert. In einem zweiten Schritt werden die Nutzer-Profile der Apps dann mit Social-Media-Plattformen korreliert, um sogenannte »Personencluster« der Nutzerinnen und Nutzer zu erstellen und dadurch potentielle Sicherheitsrisiken zu identifizieren.
Da sich auf diese Weise ein so genannter »Digitaler (Lauf-)Zwilling« rekonstruieren lässt, werden äußerst sensible Daten generiert. Können diese Daten noch mit weiteren vertraulichen Daten korreliert werden, lässt sich eine Abschätzung der Gefährdungsplausibilität für entsprechende Personen(gruppen) oder Standorte vornehmen.
Personen- und Datenschutz steht im Mittelpunkt
»In Teilen ähnelt das Vorgehen dem der Angreifer, die ebenfalls Daten erheben und korrelieren. Der Unterschied ist, dass in diesem Projekt Muster aus den erhobenen Daten gelernt werden, um im nächsten Schritt Nutzerinnen und Nutzer und ihre Daten zu schützen«, erläutert Dr. Bäumer.
Dafür werden bei der technischen Umsetzung des Vorhabens unter anderem Methoden des »Information Retrieval« (die computergestütztem Suche nach komplexen Inhalten) mit Ansätzen aus der angewandten Linguistik, zum Beispiel zum Erstellen von Sprachmustern, kombiniert. Ferner werden Verfahren zur Netzwerkanalyse und Clusterbildung eingesetzt, um neuartige Bewertungsfunktionen für die Abschätzung von gefährdeten Zielen wie Personen oder Orten auf Basis der preisgegebenen Informationen im Web 2.0 zu entwickeln.
Hochsichere Quantenverschlüsselung für die Datenübermittlung
Für die Ãœbermittlung der gewonnenen Erkenntnisse ist der Einsatz einer hochsicheren Quantenverschlüsselung vorgesehen. »ADRIAN« wird deshalb im Rahmen des Forschungsvorhabens »MuQuaNet« entwickelt, dessen Ziel der Aufbau, Test und Forschungsbetrieb eines quantensicheren Kommunikationsnetzes im Großraum München ist. Dieses Netz soll zunächst der Universität der BundesÂwehr, später jedoch auch weiteren Forschungseinrichtungen und Behörden zur Verfügung gestellt werden. „Unsere Arbeitsgruppe erhält damit eine einmalige Möglichkeit, an Technologien für das Web der Zukunft mitzuwirken“, resümiert Dr. Bäumer.