Datenschutz-Gastbeitrag: Wer skyped, sollte nicht über Angriffe jammern

[IITR – 28.6.15] Kluge Konzepte schützen vor den Gefahren künstlicher Intelligenz. Gastbeitrag von Joachim Jakobs.

Die Sirenen im antiken Griechenland sollen auf einer Insel so schön gesungen haben, dass sich die vorbeifahrenden Seeleute nicht davon losreißen konnten und am Ende starben. Die Sirenen der Informationsgesellschaft klingen so: „Skype bietet Simultan-Übersetzung von Videotelefonaten“. Und das Bundesbildungsministerium lässt es sich nicht nehmen an diesem Gesang auf ihrer Internetseite teilzunehmen: „Unsere Kommunikationskultur hat sich tiefgreifend verändert. Mobiles Telefonieren, SMS, Skype-Konferenzen, Cloud Computing und der Austausch in Sozialen Netzwerken sind heute für viele unverzichtbar geworden.“ Professoren der Hochschule Weingarten bitten zu „offenen Skype Sprechstunden“ und die Computerbild jubelt: „Beinahe im Monatsrhythmus erscheinen neue Skype-Versionen für diverse Plattfomen.“

Schon in der Schule geht das los – die Lehrer erfahren unter der Überschrift „Skype im Unterricht“: „In diesem Unterrichtsvorschlag lernen Sie die kostenlose Telefonie-Software Skype der Firma Microsoft kennen. Nachdem der Umgang sowie die Vor- und Nachteile von Skype erläutert wurden, werden einige praktische Einsatzbeispiele für den Unterricht vorgestellt.“

Dieser Akzeptanzmarketing-Chor beeindruckt Viele: Ärzte, Anwälte, Apotheker, Autohäuser, Banken, Call-Center, Druckereien, Elektroinstallateure, Fernsehsender, Fotostudios, Gerichte, Hotels, Immobilienmakler, Ingenieure, Insolvenzverwalter, Journalisten, Krankenkassen, Leiharbeitsfirmen, Lohnsteuerhilfevereine, Mediengestalter, Notare, Optiker, Personalberater, Psychotherapeuten, Quizsendungen, Raumausstatter, Standesämter, Steuerberater, Tourismus-Unternehmen,Universitäten, Unternehmensberater, Versicherungsmakler, Werbeagenturen, Wirtschaftsprüfer und Zimmereien fallen der Kanonade zum Opfer und skypen mit ihrer Klientel. Nicht einmal die Abgeordneten von Regierungs- und Oppositionsparteien können sich dem Gruppenzwang entziehen.

Doch Vorsicht: Skype soll das Adressbuch auslesen, in die USA übertragen und außerdem die Sicherheit des entsprechenden Geräts kompromittieren. Und jedes andere verbundene Gerät ist ebenfalls gefährdet. Der Berliner Datenschutzbeauftragte sorgt sich daher um „Vertraulichkeit, Integrität und Verfügbarkeit“ von Skype. An Baden Württembergischen Hochschulen ist das Skypen folgerichtig verboten. Die Aufsichtsbehörden drohen speziell den Ärzten, Anwälten, Steuerberatern und anderen „Geheimnisträgern“ mit Bußgeldern bis 150.000 Euro für ausgelesene Adressbücher. Insbesondere die Anwälte, Finanzexperten und Buchhalter sollten sich bewusst sein, dass sie als fette Beute gelten – verfügen sie doch häufig über kapitalmarkt-relevante Informationen, mit denen Kriminelle einen Haufen Geld machen können. Was nicht heißt, dass andere Daten verschmäht würden: Krankenakten beispielsweise werden angeblich zwischen 50 und 500 US-Dollar in der digitalen Unterwelt gehandelt.

Die Attraktivität der Beute ist das Eine. Hinzu kommt ihre Naivität: Ist sich das Beutetier seiner Funktion in der digitalen Nahrungskette nicht bewusst, muss es kein Fluchtverhalten entwickeln und kann fröhlich auf Alles klicken, was ihm grade vor die Maus kommt – das Sicherheitsunternehmen Blue Coat will kürzlich in einer Studie herausgefunden haben, dass nur 16 Prozent der Frauen „komplexe“ Passwörter aus willkürlichen Buchstaben und Zahlen verwenden. Und 57 Prozent der Männer würden sich auch mit Fremden verbinden – das bedeutet: Die Beschäftigten stellen die Achillesferse der Unternehmenssicherheit dar. 60 Prozent der Arbeitnehmer sollen Blue Coats’ Erkenntnissen zu Folge am Arbeitsplatz keine Zugangsbeschränkungen zu den „sozialen“ Netzen haben. Für die Beschränkungen aber wären die Chefs zuständig. Das wiederum bedeutet, dass womöglich auch die Unternehmer nicht verstehen, welche Bedrohung mit der Nutzung der „sozialen“ Netzen einhergeht.

Von der Bedrohung betroffen sind die Patienten, Mandanten und Kunden – und ‘Otto und Liese Müller’ können fix und ohne eigenes Zutun Opfer von Datenkriminellen werden: Je mehr ihrer Dienstleister Skype nutzen, umso aussagekräftiger könnte das Personenprofil sein, das Skype von Liese und Otto erstellen kann. Der Wert des Profils würde dabei mit jedem zusätzlichen Detail steigen, das eine weitere Quelle beisteuert. So weit zur Bedeutung der Adressbücher.

Zu diesen Personalien kommen die Inhalte – mit dem Wohlwollen des Unternehmens werden nicht nur Termine vereinbart, sondern auch die Dienstleistung selbst wird erbracht – etwa von Ärzten. Per Bildtelefonie kann der Patient von seiner Erkältung berichten. Den Skype-Nutzern sollte dabei bewusst sein, dass sich der Konzern seit vorbehält:

„Durch die Nutzung der Software gewähren Sie Skype eine Lizenz für geistiges Eigentumsrecht, mit der Skype die Inhalte Ihrer Kommunikation verwenden kann, um die Produkte bereitstellen zu können, z. B. die Übermittlung Ihrer Kommunikation an den vorgesehenen Empfänger.“ „Z. B.“ schließt weitere Verwendungen zumindest nicht aus.

Die Analyse von Inhalten ist aufregend: Worte lassen sich in ihre Lautbestandteile zerlegen, inhaltlich erkennen und in einen Kontext stellen: Wer ruft wen wann wo und in welcher Sprache an?

Dabei ist Sprache mehr als nur gesprochener Text: Die Sprachwissenschaftler bezeichnen mit der „Prosodie“ die Gesamtheit derjenigen lautlichen Eigenschaften der Sprache, die nicht an den Laut als minimales Segment, sondern an umfassendere lautliche Einheiten gebunden sind. Dazu gehören auch Wort- und Satzakzent, Intonation, Satzmelodie, Tempo, Rhythmus und die Pausen beim Sprechen. Der Technik entgeht dabei nichts: Wer grundlos die Zeitformen der Verben wechselt, könnte die Unwahrheit sagen. Biometrische Stimmprofile lassen sich erstellen, um die Beteiligten in der Öffentlichkeit zu identifizieren.

Weiterhin können (statische) (Röntgen-)Bilder und (dynamische) Videodaten automatisiert ausgewertet werden – Mimik und Gestik kommen hier zum Tragen. Spontane Emotionen sind vergleichsweise weniger symmetrisch an Mundwinkeln und Augenbrauen abzulesen als ein „gewolltes“ und deshalb gleichmäßiges [PDF] Lächeln. Genauso lassen sich die Veränderungen der Pupille und der Lippenlinie analysieren. Und ob wir gute oder schlechte Laune haben. Weitere Erkenntnisse könnten Analysen im Zeitvergleich erbringen. Vergleichen ließe sich aber auch das Skype-Video mit den Bildern der Überwachungskamera am Bahnhof.

Bis jetzt ging es um die Bedrohung durch Skype selbst oder den Skype-nutzenden Dienstleister. Es gibt aber noch eine Variante – auch Patient und Mandanten können zur Bedrohung werden: Wie geht etwa der Hausarzt mit einem angeblichen Arztbrief um, den ihm der Patient in der virtuellen Sprechstunde vom Facharzt übergibt? Darin könnte sich nämlich ein Tastaturrekorder verbergen – die Folge: Jeder Tastendruck und jede Mausbewegung ließe sich anschließend verfolgen. Egal, ob der Arzt nun grade ‘skyped’ oder nicht.

An dieser Stelle kommt das „Text Mining“ zum Einsatz – Wikipedia erklärt: „Text Mining […] ist ein Bündel von Algorithmus-basierten Analyseverfahren zur Entdeckung von Bedeutungsstrukturen aus un- oder schwachstrukturierten Textdaten. Mit statistischen und linguistischen Mitteln erschließt Text-Mining-Software aus Texten Strukturen, die die Benutzer in die Lage versetzen sollen, Kerninformationen der verarbeiteten Texte schnell zu erkennen. Im Optimalfall liefern Text-Mining-Systeme Informationen, von denen die Benutzer zuvor nicht wissen, ob und dass sie in den verarbeiteten Texten enthalten sind. Bei zielgerichteter Anwendung sind Werkzeuge des Text Mining außerdem dazu in der Lage, Hypothesen zu generieren, diese zu überprüfen und schrittweise zu verfeinern.“

Hypothesen ließen sich etwa zu den Sprach- und Persönlichkeitsprofilen der Beteiligten anstellen – die Wissenschaftler Yla R. Tausczik und James W. Pennebaker sind der Ansicht, die Sprache sei der geläufigste und vertrauenswürdigste Weg, um Gedanken und Emotionen zu übersetzen, die andere verstehen könnten: „Worte und Sprache sind der besondere Stoff der Psychologie und der Kommunikation.“ In einer US-Studie wurden Facebook-Statusmeldungen untersucht. Es zeigte sich, dass sich das Geschlecht mit einer Wahrscheinlichkeit von 92 Prozent vorhersagen lässt – nur anhand dieser Meldungen.

Die Sprache ist also ein wichtiger Teil unseres „Persönlichkeitsprofils“. Derlei Profile lassen mit Hilfe des „fünf Faktoren Modells“ erkennen – nach Ansicht der Universität Bielefeld ist dieses Modell „wissenschaftlich gut abgesichert“. Zu den fünf Faktoren gehören:

1. Die Begeisterungsfähigkeit – sie gibt Aufschluss darüber, ob eine Person lieber „im stillen Kämmerlein“ vor sich hin brütet oder eher gesellig ist und mit Anderen ins Gespräch kommt. Die psychologischen Parameter heißen Introversion und Extraversion.

2. Der Neurotizismus – er spiegelt den Umgang mit emotionalen Belastungen; ist der Neurotizismus schwach ausgeprägt, handelt es sich um eine selbstsichere, ruhige Person – umgekehrt geprägte Menschen sind „emotional“ und verletzlich.

3. Die Verträglichkeit – sie beschreibt, in wie weit eine Person ihren Mitmenschen Verständnis, Wohlwollen und Mitgefühl entgegenbringt. Personen mit niedrigen Verträglichkeitswerten beschreiben sich im Gegensatz dazu als widerstreitend, egozentrisch und misstrauisch.

4. Die Gewissenhaftigkeit – sie beschäftigt sich mit dem Grad an Selbstkontrolle, Genauigkeit und Zielstrebigkeit, über die eine Person verfügt. Personen mit hohen Gewissenhaftigkeitswerten handeln organisiert, sorgfältig und überlegt. Personen mit niedrigen Gewissenhaftigkeitswerten handeln spontan und sind unzuverlässig.

5. Die „Offenheit“ – sie erfasst das Interesse an neuen Erfahrungen, Erlebnissen und Eindrücken. Personen mit hohen Offenheitswerten verfügen häufig über eine rege Fantasie, nehmen ihre positiven und negativen Gefühle deutlich wahr und sind vielseitig interessiert. Personen mit niedrigen Offenheitswerten neigen demgegenüber eher zu konventionellem Verhalten und vertrauen auf Bewährtes und Bekanntes anstatt zu experimentieren. Wer ein Psychogramm eines Menschen eines Menschen erstellen will, hat unterschiedliche Möglichkeiten: Er kann den Ehepartner der Zielperson befragen – oder 250 „Facebook-likes“ auswerten. Wobei nach Meinung von Wissenschaftlern die Facebook-Likes genauere Werte liefern.

Weitere Analysen verschaffen noch tieferen Einblick in die Psyche der Zielperson: Viele Tippfehler könnten auf einen Mangel an Genauigkeit, viele Mails auf eine extravertierte Persönlichkeit schließen lassen. Häuft sich der Befehlston in den Mails, könnte dies auf eine aggressive Natur schließen lassen – damit wiederum könnten eine erhöhte Extraversion und eine reduzierte Verträglichkeit verbunden sein.

Interessant ist außerdem: Das Tippen eines Menschen auf einer Tastatur ist einmalig – der Eine tippt mit zwei, die Andere mit zehn Fingern, der eine langsamer, die Andere schneller, genauso variieren Tastendruck und die Verweildauer des Fingers auf der Tastatur.

Sollte der Tastendruck und die Geschwindigkeit beim Tippen einer Mail besonders groß sein, könnte dies ebenfalls wieder ein Hinweis auf eine aggressive Natur sein, – die sich im Moment wahlweise mit einem Thema oder dem Empfänger der Mail besonders engagiert auseinandersetzt.

Vor Jahren will Clayton Epp in seiner Masterarbeit an einer Kanadischen Universität herausgefunden [PDF] haben, das sich Intelligenz und emotionale Zustände mit Hilfe von solcher Protokollsoftware feststellen lassen.

Alles graue Theorie? Von wegen! Die NSA will wissen, was „X“ über „Y“ „denkt“. Damit könnten X und Y anschließend empfänglich sein für Manipulation, Bestechung und Erpressung. Dazu passt, US-Behörden Zugang zu den Daten von Skype haben haben sollen.

Was aber hilft? Die „IT-Grundschutz-Kataloge“ des Bundesamts für die Sicherheit in der Informationstechnik (BSI) umfassen 4849 Seiten. Es wäre zumindest ein Versuch wert, die in Unternehmen und Behörden zu implementieren. Kleine und Mittelständische Unternehmen sollten wenigstens eine abgespeckte Version davon anwenden. Dazu müssten Aufbau- und Ablauforganisation systematisch abgeklopft und anschließend in kryptographische Verschlüsselung, physikalischen Einbruchsschutz und Bildung für Alle investiert werden.

Anschließend würden dann vielleicht auch die Abgeordneten nicht mehr einfach so auf alles klicken, was ihnen vor die Maus kommt. Und damit – so die selbstkritische Befürchtung des CDU Abgeordneten Bosbach – „durch unser Verhalten den Datenabfluss“ erleichtern. Dann könnte Bundestagspräsident Norbert Lammert auf die Forderung verzichten, das „IT-Systems des Deutschen Bundestages“ „mindestens in Teilen“ neu aufzusetzen. Und wer übers Netz videotelefonieren will, hat eine große Auswahl an Programmen – für besonders sicher hält die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) Pidgin, Telegram und TextSecure. Edward Snowden empfiehlt zusätzlich RedPhone – das allerdings unterstützt kein Video.

Schon im antiken Griechenland haben Konzepte geholfen: Der schlaue Odysseus hat seinen Seeleuten die Ohren mit Wachs verstopft und sich selbst an den Mast seines Schiffs binden lassen, um den Sirenen zu entkommen.

Über den Autor:
Der Autor hat das Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert“ verfasst, das im September im Cividale-Verlag erscheint.

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.