Anonymisierte Daten schützen Privatsphäre nicht

Informationen über Online-Beziehungen zwischen Nutzern von Social-Networking-Angeboten, sogenannte Social Graphs, werden für verschiedene Zwecke weitergegeben. Dabei werden die Daten anonymisiert, um die Privatsphäre der Anwender zu schützen. Doch dieser Schutz ist unzureichend, so zwei Informatiker der University of Texas in Austin.

In der Studie „De-Anonymizing Social Networks“ stellen sie einen Algorithmus zur Re-Identifikation von Usern vor. Als Praxisbeispiel diente ihnen ein De-Anonymisierungsangriff auf das Microblogging-Service Twitter. Ein Drittel aller Twitter-Nutzer, die auch einen Flickr-Account haben, konnte im anonymisierten Twitter-Graph erfolgreich identifiziert werden. „Das ist Wasser auf unsere Mühlen, höhere Anforderungen an Betreiber zu stellen“, meint Andreas Poller vom Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) im Gespräch mit pressetext.

Der Algorithmus der Informatiker Arvind Narayanan und Vitaly Shmatikov versucht, im anonymisierten Datensatz Nutzer mithilfe eines Hilfsdatensatzes zu identifizieren. Dazu sucht er nach ähnlichen Strukturen in den Beziehungen zwischen Nutzern. Zwar sind dabei als Grundlage genaue Informationen über einige Dutzend Mitglieder des angegriffenen Netzwerks erforderlich („Seeds“). Diese seien in der Praxis aber leicht zu bekommen, so die Forscher – etwa durch eine eigene, reale Mitgliedschaft, über kompromittierte Computer oder mittels leicht identifizierbarer, falscher Profile. Im Experiment mit Twitter als Angriffsziel und Flickr als Hilfsdaten konnten bei nur 150 Seeds 30,8 Prozent der Nutzer automatisch korrekt re-identifiziert werden. Weitere fünf Prozent wurden zwar fehlidentifiziert, allerdings mit Personen in direkter Beziehung zum eigentlichen Nutzer. Der menschliche Angreifer könne die De-Anonymisierung hier wohl meist korrekt vollenden, so die Forscher.

Große anonymisierte Datensätze können aus verschiedenen Gründen weitergegeben werden, etwa für Drittentwickler, die Anwendungen bereitstellen, als Forschungsmittel für Soziologen oder auch für Marketing-Zwecke. Interesse an der De-Anonymisierung könnten den texanischen Forschern zufolge etwa spionierende Behörden, Cyberkriminelle oder auch unethische Marketer haben. Die Informatiker sind der Ansicht, dass ein effektiver technischer Schutz vor ihrem Algorithmus gar nicht möglich wäre. Daher fordern sie, dass Betreiber von Social Networks sich nicht auf Anonymisierung als Allheilmittel in Sachen Privatsphäre verlassen. Auch sollten sie Nutzer über die Weitergabe von Daten informieren und einen Widerspruch dagegen ermöglichen. „Anonymisierung ist zwar gut, aber nicht als alleiniges Mittel zum Schutz der Privatsphäre“, meint auch Poller. Er hatte im September eine Studie dazu veröffentlicht, wie Social Netwerks die Privatsphäre gefährden (pressetext berichtete: http://pressetext.com/news/080926012/).

„Die Möglichkeit, einen anonymisierten Datensatz derartig zu de-anonymisieren, war bereits bekannt“, betont Poller. Der Ansatz, dabei auf einen Hilfsdatensatz mit persönlich identifizierenden Informationen zurückzugreifen, sei gängig. Die Annahme, dass Freundesnetzwerke in verschiedenen Netzen ähnliche Strukturen haben und eben das für den Angriff zu nutzen, sei ihm aber zuvor nicht untergekommen, so Poller.