Apple gab auf seiner Entwicklerkonferenz WWDC 16 Anfang Juni bekannt, in seinen aktuellen Betriebssystem iOS 10 auf Differential Privacy zu setzen. Seitdem redet gefühlt das halbe Netz darüber. Doch die meisten wissen gar nicht so recht, was Differential Privacy eigentlich ist. Apple möchte diesen Privatsphäre-Mechanismus im Zusammenhang mit seiner Sprachassistentin Siri einsetzen. Sie soll individuell von einem Nutzer und der Gemeinschaft aller Siri-User lernen.
Ersteres kann einfach auf dem Gerät erfolgen und bedarf keiner Cloudanbindung. Das gemeinschaftliche Nutzungsverhalten lässt sich aber nur auswerten, wenn es hochgeladen wird. In diesem Fall soll Differential Privacy ins Spiel kommen. Apple hat den Begriff nicht erfunden, trägt ihn jedoch näher an den Endverbraucher heran. Differential Privacy geht weit über die reine Anonymisierung von Datensätzen hinaus.
Die Schwäche der Anonymisierung
Die Datensätze in einer Datenbank werden beim Anonymisieren von allen personenbezogenen Daten, die einen Rückschluss auf eine Person zulassen würden, befreit. Dieser Prozess ist allerdings nicht so sicher, denn trotz der Anonymisierung ist es mit etwas Aufwand mitunter machbar, die anonym geglaubten Datensätze zu deanonymisieren. Möglich machen das andere nicht anonyme Datenbanken und einige komplexe mathematische Berechnungen.
Eines der bekanntesten Beispiele stammt aus dem Jahr 2006. Der Streaming-Anbieter Netflix hatte für einen Wettbewerb anonyme Datensätze von Filmbewertungen seiner Nutzer zur Verfügung gestellt. Das Ziel waren verbesserte Methoden, um automatische Filmempfehlungen geben zu können. Alles schick, bis jemand auf die Idee kam, die Daten mit den nicht anonym vorliegenden Bewertungen in der Internet Movie Database (IMDb) abzugleichen. Damit gelang die Deanonymisierung.
Besonders prekär wird es, wenn hochsensible Daten betroffen sind, wie etwa die von Krankenhäusern, Strafverfolgungsbehörden etc. Das reine Anonymisieren von Datensätzen reicht also nicht aus und diese Lücke will Differential Privacy schließen.
Differential Privacy ist mehr als nur Anonymisierung
Die Daten werden bei Differential Privacy auf eine Art verändert, die eine statistische Auswertung weiterhin erlaubt, jedoch keine Rückschlüsse beim Abgleich mit anderen Datenbanken auf eine einzelne Person zulässt. Nutzerdaten werden gesammelt, analysiert, um dem Einzelnen gute Lösungen anzubieten, jedoch ohne die Privatsphäre anzugreifen. Das klingt im ersten Moment total verwirrend und komplex. Daher ein kleines Beispiel, um die Wirkungsweise von Differential Privacy besser zu veranschaulichen:
Sie stellen jedem Ihrer Freunde die Frage, „Magst du Pizza?“ Bevor die Person antwortet, wirft diese im Geheimen eine Münze. Bei Kopf sagt sie die Wahrheit, also „Ja“ oder „Nein“, und bei Zahl sagt sie immer „Ja“, selbst wenn sie Pizza hasst. Durch den Münzwurf hat jede Antwort eine Wahrscheinlichkeit von 50 % – entweder ist sie wahr oder wurde zufällig getroffen. In der Gesamtheit der Datenmenge gleicht sich diese Manipulation nahezu aus.
Sie erhalten trotzdem ein weitestgehend unverfälschtes Ergebnis, wissen jedoch nicht, welcher Ihrer Freunde nun Pizza mag oder hasst. Die Höhe des Zufallsfaktors entscheidet, in wie weit eine Deanonymisierung gelingen kann. Für bereits vorhandene Datensätze bedeutet dies, dass quasi vor der Weiterverwendung eine imaginäre Münze geworfen wird.
Ein weiterer Aspekt von Differenzial Privacy ist, dass sich genau berechnen lässt, wie sicher ein System gegen Rückschlüsse auf einzelne Datensätze letztendlich ist.
Vertrauen und Kontrolle sind wichtig
Differential Privacy ist eine gute Sache, um Datensätze für die Auswertung soweit unkenntlich zu machen, dass die Privatsphäre der Nutzer gewahrt bleibt. Vorausgesetzt, das nötige Vertrauen ist vorhanden und Differential Privacy wurde korrekt umgesetzt. Dies kann etwa mit Sicherheitsprüfungen fachkundiger Dritter verifiziert werden.
Seit Ende September verteilt Apple sein neues Betriebssystem iOS 10 an seine Nutzer. Damit werden nun erstmals mehr Daten als zuvor gesammelt und an Apple übermittelt, um bestimmte eigene Dienste zu verbessern. Die Nutzerdaten sollen durch Differential Privacy geschützt werden. Doch über genaue Einzelheiten schweigt sich Apple seit der Keynote im Sommer aus. So ist unbekannt, welche personenbezogenen Daten im Detail an Apple gesendet werden und wie sicher die Implementierung von Differential Privacy ist. Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) begrüßt Apples Datenschutzbemühungen zwar, fordert zugleich aber weitere Informationen zur Umsetzung ein. Ohne diese Informationen lässt sich der Schutz der Nutzerdaten schlichtweg nicht beurteilen. Apple ist im Gegensatz zu Google oder Facebook eines der wenigen Unternehmen, die aktiv auf irgendeine Form der Anonymisierung setzen (wollen).
Markus Werner
Über den Gastautor:
Markus Werner ist angehender Journalist und Fernstudent am DFJV. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und sein eigenes Blog reraise.eu über Android, IT Security, Netzpolitik, Webdesign und Lifehacks.
