Smartphone-Studie Das Märchen vom anonymen Bewegungsprofil

Die einfache Anonymisierung reicht nicht: Mathematiker zeigen, dass sich Bewegungsprofile von Smartphones viel leichter als gedacht Personen zuordnen lassen. Wenn in Datenbanken Namen und Nummern fehlen, genügt der Abgleich von wenigen Standortinformationen mit anderen Quellen.

Von

Standortdaten: Apples iPhone speicherten 2010 und 2011 Monate Bewegungsprofile der Nutzer
DPA

Standortdaten: Apples iPhone speicherten 2010 und 2011 Monate Bewegungsprofile der Nutzer


Hamburg - Die Entwickler vieler Apps, Betreiber von Fotoplattformen und die Mobilfunkanbieter - sie alle speichern Positionsdaten von Smartphones. Wenn man gefragt wird und der Datensammlung zustimmt, heißt es oft beruhigend, die Informationen würden "anonymisiert" gespeichert. Aktiviert man auf Android-Handys beispielsweise den Standortdienst von Google, willigt man ein, dass "anonyme Standortdaten an Google gesendet" werden.

Belgische und amerikanische Forscher haben nun herausgefunden, dass man einer einfachen Anonymisierung solcher Daten nicht trauen darf. Das Ergebnis ihrer jetzt im US-Fachblatt "Nature Scientific Reports" veröffentlichten Untersuchung zeigt: Die von Handy-Daten beschriebenen Bewegungsmuster sind sehr unterschiedlich und deshalb viel leichter zu de-anonymisieren, als man denkt.

Das aber heißt: Durch einen simplen Abgleich zweier Datenbanken könnte ein Bewegungsprotokoll theoretisch einem Nutzer zugeordnet werden. Ein kompletter Tagesablauf läge dann zum Beispiel offen.

Eine Datenbank, in der Standorte und Zeitangaben einer Kennung zugeordnet sind, lässt sich leicht konkreten Personen zuordnen, man braucht dafür nur wenig zusätzliches Datenmaterial zum Abgleichen. Wenn ein Unternehmen die Telefonnummer oder den Namen eines Kunden in einer solchen Datenbank also durch eine beliebige Kennung wie XY13 ersetzt, ist das keine Anonymisierung im eigentlichen Sinn.

Vier Datenpunkte reichen zur Entanonymisierung

Die Wissenschaftler um den belgischen Mathematiker Vincent Blondel haben die anonymisierten Daten eines europäischen Mobilfunkanbieters untersucht. Ihnen lagen die anonymisierten Telefonprotokolle von 1,5 Millionen Kunden über einen Zeitraum von 15 Monaten vor. Gespeichert wurde, mit welchem Funkmast ein Handy bei einem ankommenden oder abgehenden Anruf verbunden war. Im Durchschnitt wurde jeder Kunde 114-mal im Monat in einer der 6500 Funkzellen verortet.

Die Mathematiker haben anhand dieses Datensatzes eine Formel entwickelt, mit der sich die eindeutigen Verhaltensmuster in diesen Daten beschreiben lassen. Mit dieser Formel haben sie getestet, wie leicht es ist, die Bewegungsprofile in ihrem Datensatz einer bestimmten Person zuzuordnen. Die Menge ist erschreckend niedrig: Es genügen vier willkürliche ausgewählte Datenpunkte (Zeit und Standort), um ihnen das komplette Bewegungsprofil der dahinterstehenden Personen zuzuordnen.

Rückschlüsse über andere Datenbanken

Einfach gesagt: Die Forscher haben festgestellt, dass die Bewegungsmuster in Handy-Ortungsdaten sehr individuell sind. Wie kann man diese Eigenschaft missbrauchen? Eine Schlussfolgerung liegt nahe: Bei Netzwerken wie Facebook, Twitter, Flickr und in den Datenbanken vieler Apps sind derzeit Positionsdaten in Verbindung mit Zeitpunkten und weiteren Daten über die Identität der Nutzer gespeichert.

Denkbar ist Folgendes: Im Twitter-Account eines bekannten Politikers greift man vier unterwegs veröffentlichte Fotos mit Positionsdaten heraus. Diese Zeitpunkte und Standorte gleicht man mit einer Datenbank ab, wie sie den Forschern vorlag. Wenn der Politiker Kunde dieses Anbieters ist, wird man so mit hoher Wahrscheinlichkeit sein Bewegungsprofil in diesen Daten finden - anhand weniger öffentlich geposteter Fotos. Auch mit nur zwei Datenpunkten lässt sich etwa die Hälfte der Nutzer identifizieren.

"Selbst grobe Datensammlungen bieten wenig Anonymität"

Es gibt einige Beispiel für die erfolgreiche Entanonymisierung von Datensätzen mit solchen Verfahren. So fand 2002 eine Forscherin durch den Abgleich von anonymisierten Krankenakten und Daten aus Wählerregistern die Krankenakte eines US-Governeurs.

2002 ließ sich die Forscherin die Daten noch auf zwei Disketten zusenden. Heute sind Millionen weit präziserer Datensätze digital und oft auch online verfügbar. Apple ließ iPhones lange Zeit speichern, wo sich ihre Besitzer aufhalten - unverschlüsselt. Die Daten wurden an Apple übertragen. Googles Android Smartphones machen das ähnlich, aber nur wenn Nutzer dem zugestimmt haben. Wobei man natürlich daran zweifeln kann, wie anonym die anonymisierten Standortdaten wirklich sind.

Die Verfasser der Mobilfunkstudie warnen:

"Datenbanken mit Bewegungsprofilen lassen sich mit hoher Wahrscheinlichkeit auf Basis weniger externer Datensätze entanonymisieren. (…) Selbst grobe Datensammlungen bieten wenig Anonymität."

Der Autor auf Facebook

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 115 Beiträge
Alle Kommentare öffnen
Seite 1
Tom Joad 31.03.2013
1. Frage
Ich frage mich, aus welchem Grund überhaupt Positionsdaten erfasst und gespeichert werden. Nur weil es technisch machbar ist? Wohl kaum. Irgendein finanzieller Nutzen muss für die Betreiber dahinterstecken. Übrigens habe ich vor einiger Zeit mein Handy abgeschafft, und jetzt genieße ich das, was die Hersteller dieser Geräte einem vorgaukeln möchten: Freiheit.
bremergrundwasser 31.03.2013
2. Wer hatte mal...
...etwas gegen die Volkszählung ?Heute sind wir so viel weiter, wenn ich alleine an Facebook denke, wird mir ganz schlecht.
Stabhalter 31.03.2013
3. klaro
Zitat von sysopCorbisDie einfache Anonymisierung reicht nicht: Mathematiker zeigen, dass sich Bewegungsprofile von Smartphones viel leichter als gedacht Personen zuordnen lassen. Wenn in Datenbanken Namen und Nummern fehlen, genügt der Abgleich von wenigen Standortinformationen mit anderen Quellen. http://www.spiegel.de/netzwelt/web/mobilfunkspuren-lassen-sich-leicht-menschen-zuordnen-a-891850.html
den ´gläsernen Mensch gibt es schon lange,nicht erst seit dem Smartphone.
mkummer 31.03.2013
4. Besonders aktuell
sind die weiteren Links in dieser Spalte ja nicht - der nächste Artikel datiert von 2011
Fonsy 31.03.2013
5. kein problem !
ich mach mein handy dann an, wenn ich fonen will !! mit 56 jahren obliege ich noch nicht diesem "immer und überall erreichbar wahn" !! wer mich erreichen will, ruft mich abends auf dem festnetz an .. das ist die einfachste lösung, dem ganzen zu entgehen ..
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.