Smartphone-Studie: Das Märchen vom anonymen Bewegungsprofil

Von

Die einfache Anonymisierung reicht nicht: Mathematiker zeigen, dass sich Bewegungsprofile von Smartphones viel leichter als gedacht Personen zuordnen lassen. Wenn in Datenbanken Namen und Nummern fehlen, genügt der Abgleich von wenigen Standortinformationen mit anderen Quellen.

Standortdaten: Apples iPhone speicherten 2010 und 2011 Monate Bewegungsprofile der Nutzer Zur Großansicht
DPA

Standortdaten: Apples iPhone speicherten 2010 und 2011 Monate Bewegungsprofile der Nutzer

Hamburg - Die Entwickler vieler Apps, Betreiber von Fotoplattformen und die Mobilfunkanbieter - sie alle speichern Positionsdaten von Smartphones. Wenn man gefragt wird und der Datensammlung zustimmt, heißt es oft beruhigend, die Informationen würden "anonymisiert" gespeichert. Aktiviert man auf Android-Handys beispielsweise den Standortdienst von Google, willigt man ein, dass "anonyme Standortdaten an Google gesendet" werden.

Belgische und amerikanische Forscher haben nun herausgefunden, dass man einer einfachen Anonymisierung solcher Daten nicht trauen darf. Das Ergebnis ihrer jetzt im US-Fachblatt "Nature Scientific Reports" veröffentlichten Untersuchung zeigt: Die von Handy-Daten beschriebenen Bewegungsmuster sind sehr unterschiedlich und deshalb viel leichter zu de-anonymisieren, als man denkt.

Das aber heißt: Durch einen simplen Abgleich zweier Datenbanken könnte ein Bewegungsprotokoll theoretisch einem Nutzer zugeordnet werden. Ein kompletter Tagesablauf läge dann zum Beispiel offen.

Eine Datenbank, in der Standorte und Zeitangaben einer Kennung zugeordnet sind, lässt sich leicht konkreten Personen zuordnen, man braucht dafür nur wenig zusätzliches Datenmaterial zum Abgleichen. Wenn ein Unternehmen die Telefonnummer oder den Namen eines Kunden in einer solchen Datenbank also durch eine beliebige Kennung wie XY13 ersetzt, ist das keine Anonymisierung im eigentlichen Sinn.

Vier Datenpunkte reichen zur Entanonymisierung

Die Wissenschaftler um den belgischen Mathematiker Vincent Blondel haben die anonymisierten Daten eines europäischen Mobilfunkanbieters untersucht. Ihnen lagen die anonymisierten Telefonprotokolle von 1,5 Millionen Kunden über einen Zeitraum von 15 Monaten vor. Gespeichert wurde, mit welchem Funkmast ein Handy bei einem ankommenden oder abgehenden Anruf verbunden war. Im Durchschnitt wurde jeder Kunde 114-mal im Monat in einer der 6500 Funkzellen verortet.

Die Mathematiker haben anhand dieses Datensatzes eine Formel entwickelt, mit der sich die eindeutigen Verhaltensmuster in diesen Daten beschreiben lassen. Mit dieser Formel haben sie getestet, wie leicht es ist, die Bewegungsprofile in ihrem Datensatz einer bestimmten Person zuzuordnen. Die Menge ist erschreckend niedrig: Es genügen vier willkürliche ausgewählte Datenpunkte (Zeit und Standort), um ihnen das komplette Bewegungsprofil der dahinterstehenden Personen zuzuordnen.

Rückschlüsse über andere Datenbanken

Einfach gesagt: Die Forscher haben festgestellt, dass die Bewegungsmuster in Handy-Ortungsdaten sehr individuell sind. Wie kann man diese Eigenschaft missbrauchen? Eine Schlussfolgerung liegt nahe: Bei Netzwerken wie Facebook, Twitter, Flickr und in den Datenbanken vieler Apps sind derzeit Positionsdaten in Verbindung mit Zeitpunkten und weiteren Daten über die Identität der Nutzer gespeichert.

Denkbar ist Folgendes: Im Twitter-Account eines bekannten Politikers greift man vier unterwegs veröffentlichte Fotos mit Positionsdaten heraus. Diese Zeitpunkte und Standorte gleicht man mit einer Datenbank ab, wie sie den Forschern vorlag. Wenn der Politiker Kunde dieses Anbieters ist, wird man so mit hoher Wahrscheinlichkeit sein Bewegungsprofil in diesen Daten finden - anhand weniger öffentlich geposteter Fotos. Auch mit nur zwei Datenpunkten lässt sich etwa die Hälfte der Nutzer identifizieren.

"Selbst grobe Datensammlungen bieten wenig Anonymität"

Es gibt einige Beispiel für die erfolgreiche Entanonymisierung von Datensätzen mit solchen Verfahren. So fand 2002 eine Forscherin durch den Abgleich von anonymisierten Krankenakten und Daten aus Wählerregistern die Krankenakte eines US-Governeurs.

2002 ließ sich die Forscherin die Daten noch auf zwei Disketten zusenden. Heute sind Millionen weit präziserer Datensätze digital und oft auch online verfügbar. Apple ließ iPhones lange Zeit speichern, wo sich ihre Besitzer aufhalten - unverschlüsselt. Die Daten wurden an Apple übertragen. Googles Android Smartphones machen das ähnlich, aber nur wenn Nutzer dem zugestimmt haben. Wobei man natürlich daran zweifeln kann, wie anonym die anonymisierten Standortdaten wirklich sind.

Die Verfasser der Mobilfunkstudie warnen:

"Datenbanken mit Bewegungsprofilen lassen sich mit hoher Wahrscheinlichkeit auf Basis weniger externer Datensätze entanonymisieren. (…) Selbst grobe Datensammlungen bieten wenig Anonymität."

Der Autor auf Facebook

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 115 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Frage
Tom Joad 31.03.2013
Ich frage mich, aus welchem Grund überhaupt Positionsdaten erfasst und gespeichert werden. Nur weil es technisch machbar ist? Wohl kaum. Irgendein finanzieller Nutzen muss für die Betreiber dahinterstecken. Übrigens habe ich vor einiger Zeit mein Handy abgeschafft, und jetzt genieße ich das, was die Hersteller dieser Geräte einem vorgaukeln möchten: Freiheit.
2. Wer hatte mal...
bremergrundwasser 31.03.2013
...etwas gegen die Volkszählung ?Heute sind wir so viel weiter, wenn ich alleine an Facebook denke, wird mir ganz schlecht.
3. klaro
Stabhalter 31.03.2013
Zitat von sysopCorbisDie einfache Anonymisierung reicht nicht: Mathematiker zeigen, dass sich Bewegungsprofile von Smartphones viel leichter als gedacht Personen zuordnen lassen. Wenn in Datenbanken Namen und Nummern fehlen, genügt der Abgleich von wenigen Standortinformationen mit anderen Quellen. http://www.spiegel.de/netzwelt/web/mobilfunkspuren-lassen-sich-leicht-menschen-zuordnen-a-891850.html
den ´gläsernen Mensch gibt es schon lange,nicht erst seit dem Smartphone.
4. Besonders aktuell
mkummer 31.03.2013
sind die weiteren Links in dieser Spalte ja nicht - der nächste Artikel datiert von 2011
5. kein problem !
Fonsy 31.03.2013
ich mach mein handy dann an, wenn ich fonen will !! mit 56 jahren obliege ich noch nicht diesem "immer und überall erreichbar wahn" !! wer mich erreichen will, ruft mich abends auf dem festnetz an .. das ist die einfachste lösung, dem ganzen zu entgehen ..
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Mobilfunk
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 115 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.