Nun ist es also wieder passiert. Der kürzlich aufgedeckte Datenklau in der GIS, bei dem neun Millionen Meldedaten von Österreicherinnen und Österreichern von einem jungen Hacker gestohlen und zum Kauf angeboten wurden, rückt ein lange schwelendes Problem erneut in die Öffentlichkeit. Ein externes Unternehmen sollte Datensätze zusammenführen und verwendete zum Testen leider die realen Daten, die unzureichend geschützt waren.

Gerade das Weitergeben und Teilen von Daten führt oft zu Problemen, auch 2019, als auf einer Webseite des Wirtschaftsministeriums Daten von einer Million Österreicherinnen und Österreichern einsehbar waren, darunter etwa die Wohnadresse von Bundespräsident Alexander Van der Bellen. Der Datensatz diente dem Finanzamt, dem Finanzministerium und der Wirtschaftskammer zur Einsicht.

Daten zu verschlüsseln und sie zu teilen schloss sich bisher gegenseitig aus. Das hat sich in den letzten Jahren geändert.
Foto: IMAGO/Alexander Limbach

Datenaustausch ist stets ein Risiko, scheint im digitalen Informationszeitalter mittlerweile aber alternativlos. Denn Daten sind ein Wirtschaftsfaktor geworden. Im Bereich der künstlichen Intelligenz fungieren Daten als wertvoller Rohstoff. All jene Algorithmen, die derzeit stark ins öffentliche Bewusstsein drängen, sind auf riesige Datenmengen angewiesen, mit denen sie mittels Maschinenlernen trainiert werden. Dass Chat- und Übersetzungsprogramme sowie Bildgeneratoren so leistungsfähig sind, liegt vereinfacht gesagt daran, dass sie so gut wie alles, was uns interessieren könnte, schon einmal gesehen haben. Für das Dilemma gibt es eine Reihe von interessanten Lösungen, die bereits verfügbar oder in Entwicklung sind und die zeigen könnten, wie sich in Zukunft beide Anforderungen unter einen Hut bringen lassen.

Daten sicher verfügbar machen

Aktuell bereits im Einsatz ist ein Dienst der Statistik Austria. Dort hat man das Mikrodatenzentrum AMDC ins Leben gerufen, das Daten für die Forschung zur Verfügung stellt. Das Besondere daran: Die Statistik Austria verwaltet Daten, die in verschiedener Hinsicht sensibel sind, und erstellt daraus Statistiken. Ein Zugang zu den Rohdaten ist seit einigen Jahren vor Ort möglich, unter strengen Auflagen. Doch nun ging man einen Schritt weiter: Die Statistik Austria macht nun erstmals die Mikrodaten auch online zugänglich.

"Durch eine Novelle des Bundesstatistikgesetzes gibt es für akkreditierte Forschungseinrichtungen die Möglichkeit, mittels Fernzugriff mit den Daten zu rechnen. Diese verbleiben aber bei der Statistik Austria", erklärt Statistik-Austria-Direktor Tobias Thomas. "Zu diesem virtuellen Arbeitszimmer, wo mit pseudonymisierten und verknüpften Daten datenschutzkonform gearbeitet werden kann, hat folglich nur die akkreditierte Forschungseinrichtung einen Schlüssel."

Thomas betont die Abgrenzung zu den sonst von der Statistik Austria veröffentlichten Statistiken: "Mikrodaten sind tatsächlich Daten, die nicht aggregiert sind." Es gehe hier also um einzelne Unternehmen oder Haushalte. Ein Herunterladen der Daten sei nicht möglich, alle Auswertungsprogramme müssten auf den Rechnern der Statistik Austria laufen. Schließlich würden auch die Forschungsergebnisse selbst vor der Herausgabe noch einmal auf ihre Unbedenklichkeit hin überprüft. Die Kundschaft dieser neuen Einrichtung sind Forschungsinstitute und Universitäten, die sich zuerst akkreditieren müssen und dann Forschungsanträge stellen können. Die Kosten pro Antrag beziffert Thomas mit etwa 10.000 Euro.

Ein Akteneinsichtsraum für einen parlamentarischen Untersuchungsausschuss vor etwas mehr als zehn Jahren. Künftig können elektronische Methoden das Teilen sensibler Daten erleichtern.
Foto: APA

IT-Unternehmen haben bislang keinen Zugang zu den Mikrodaten. Die Methode und die fünfstelligen Kosten pro Antrag sind im Wettbewerb mit Technologiekonzernen wie Facebook, die im eigenen Datenökosystem kaum Rücksicht auf Datenschutz nehmen müssen, vermutlich ohnehin wenig attraktiv. Auch für Ministerien, die Daten teilen wollen, wird es andere Zugänge brauchen.

Für sie könnte es in Zukunft andere Lösungen geben, wie sie etwa am Know-Center, einem Forschungszentrum im Eigentum von Joanneum Research und Technischer Universität Graz, entwickelt werden. Der studierte Physiker Andreas Trügler leitet hier eine Gruppe von neun Doktorandinnen und Doktoranden, die sich mit Verschlüsselungstechnik beschäftigen. Diese gilt beim Schutz von Daten weiterhin als essenziell, doch bisher gab es einen Haken. Denn um mit Daten zu arbeiten, die entweder lokal auf einer Festplatte oder im Internet geschützt waren, musste man diese früher immer zuerst entschlüsseln.

Technischer Durchbruch

Im Jahr 2009 habe sich das geändert, erklärt Trügler. "Da hat es einen großen Durchbruch gegeben." In den vergangenen Jahren sei in dem Bereich intensiv geforscht worden. "In der modernen Kryptografie gibt es nun Methoden, die es erlauben, mit verschlüsselten Daten zu rechnen", sagt der Kryptografie-Experte. Das Stichwort lautet "homomorphe Verschlüsselung". Damit seien völlig neue Wege der Zusammenarbeit möglich, selbst in besonders datensensiblen Bereichen. "Krankenhäuser können so gemeinsam sensitive Daten auswerten, die sie sonst nicht teilen können. Oder Firmen, die eigentlich Konkurrenten sind, können gemeinsam Daten auswerten, ohne sie teilen zu müssen", erklärt Trügler.

Das Know-Center, das als Forschungseinrichtung über das Comet-Programm etwa von FFG und Klimaschutzministerium sowie Land Steiermark und Stadt Wien gefördert wird, bietet seine Lösungen auch für Unternehmen an. Denn Datenschutz sei längst auch ein Wirtschaftsfaktor. "Die Privatheit des Modells sicherzustellen ist in diesem Sinn eine geschäftliche Notwendigkeit", heißt es etwa in einer Studie. Rechtlich sei übrigens nur eine Pseudonymisierung von Daten nötig, um mit ihnen arbeiten zu können, sagt Trügler. Ausreichend sei dieser Schutz nicht, wie Studien belegen. Trügler betont, dass die von ihm und seinem Team erforschten Verschlüsselungsmethoden sicherer seien.

Verpasste Corona-Chance

Ein Beispiel, wie homomorphe Verschlüsselung in der Corona-Pandemie hilfreich gewesen wäre, gibt die am Know-Center gemeinsam mit der Technischen Universität Graz entwickelte Covid Heatmap. "Sie kombiniert auf der einen Seite simulierte Daten von positiven Covid-Fällen vom Gesundheitsministerium und auf der anderen Seite die Positionsdaten der entsprechenden Handys in Österreich, die von einem fiktiven Mobilfunkbetreiber stammen", erklärt Trügler. Mit diesen Daten könne man etwa eine Übersichtskarte machen, in welchen Regionen Österreichs es besonders viele Covid-Ansteckungen gegeben habe. Doch: "Man will natürlich nicht, dass das Gesundheitsministerium auf Bewegungsdaten von Personen zugreift, und ebenso wenig, dass eine Firma weiß, welche Menschen krank sind."

Die Nutzung von Mobiltelefonen und den damit gesammelten Daten wurde in der Corona-Pandemie intensiv diskutiert. Letztlich siegten hierzulande die Bedenken.
Foto: imago images/Sven Simon

Die Lösung: Mittels homomorpher Verschlüsselung lässt sich eine solche Abfrage sicher gestalten. Konkret werden dabei Handynummern infizierter Personen verschlüsselt an die Telekomunternehmen gesendet. Diese können mit der Software die dazugehörigen Bewegungsprofile erstellen, die in verschlüsselter Form abgelegt werden. Der jeweilige Telekombetreiber hat nie unverschlüsselten Zugang zu den Informationen.

Erst im Gesundheitsministerium können die Bewegungsdaten entschlüsselt werden, wobei dort wiederum keinerlei Zugang zu den Bewegungsdaten nicht infizierter Personen besteht. Denn diese verbleiben ja beim Telekomanbieter. Dazu hat man einen Prototypen entwickelt, der allerdings nur mit Testdaten arbeitete und nicht zum Praxiseinsatz kam. Wie die Zukunft des Datenaustauschs aussehen könnte, lässt sich anhand des Beispiels aber jedenfalls erahnen. (Reinhard Kleindl, 11.2.2023)