Die Geburtsstunde der Kreditkarte liegt mittlerweile 65 Jahre zurück. Im Februar dieses Jahres feiert sie ihr Jubiläum. Über die Jahrzehnte hat die Plastikkarte an Bedeutung gewonnen, aber schaffte es trotzdem nicht ganz, Zweifel ihrer Benutzer aus dem Weg zu räumen. So belegt eine Umfrage der Deutschen Telekom, dass jeder Dritte Angst vor Datenmissbrauch und Betrug im Internet hat und um die Sicherheit seines Bankkontos besorgt ist. (Link) Wie eine Studie des MIT (Massachusetts Institute of Technology) offenbart, sind diese Ängste nicht unbegründet.

Kreditkartenfirmen betonen zwar stets, dass sie Kundendaten an Dritte nur anonymisiert weitergeben, aber wie die MIT-Studie (Link) zeigt, kann eine Person auch nur mithilfe weniger Daten identifiziert werden. Nach nur vier Kreditkarten-Transaktionen kann mit einer Wahrscheinlichkeit von 90 Prozent festgestellt werden, wer der Besitzer ist. Und das auch nach Anonymisieren beziehungsweise Verschlüsseln der personenbezogenen Daten. „Wir zeigen, dass der Datenschutz, der uns zugesichert wurde, nicht real ist“, erklärt Co-Autor der Studie Alex Pentland vom MIT. Seine Studie macht deutlich, dass lediglich eine Teilinformation über eine Person ausreicht, zum Beispiel von einem Supermarkt, um sie aus den zahlreichen augenscheinlich anonymen Karten-Transaktionen zu filtern.

In drei Schritten bereits „entlarvt“

Die Forscher haben in einem Land alle verfügbaren Daten gesammelt: Informationen von 10.000 Shops, versehen mit Zeit und Ort, wurden zusammen getragen, um herauszufinden, wie lange der Prozess einer Identifikation dauern würde, so der Leiter der Studie Yves-Alexandre de Montjoye. Nur vier Einkäufe benötigten sie – drei, wenn Preise aufscheinen – um die gesuchte Person zu identifizieren. Als Beispiel diente eine Person, die das Team als Scott bezeichnet. Am ersten Tag war dieser in einer Bäckerei einkaufen. Am darauffolgenden Tag zahlte er mit der selben Kreditkarte in einem Restaurant. Diese Informationen reichten aus, um die zwei Rechnungen einer einzigen Person zuzuordnen. Lediglich Zeit und Ort der Transaktionen reichten zur vollständigen Identifizierung aus. Sobald man diese Informationen hat, ist der Rest nicht mehr schwer. Das Forschungsteam gibt an, jegliche Transaktion von Scott nennen zu können.

Die Studie hat drei Monate lang Kreditkarten-Überweisungen von über 1,1 Millionen Menschen analysiert. Dabei konnte mit Hilfe von Zeit und Ort der Durchführung herausgefunden werden, wer die Transaktionen durchgeführt hat. Firmen entfernen zwar routinemäßig persönliche Identifikations-Merkmale von Kreditkarten-Daten, wann immer sie Informationen mit externen Unternehmen teilen, aber wie sich zeigt, sind diese Mechanismen nicht ausreichend. Die Studie des MIT zeigt nun, dass „anonym“ nicht anonym ist.

Den Ergebnissen zufolge sei es auch einfacher Frauen zu identifizieren – auch wenn die Experten nicht erklären können, weshalb.

Düstere Aussichten für die Zukunft

Rebecca Herold, Beraterin und Autorin, meint, dass solche Studien zeigen „wie Metadaten benützt werden können um Individuen genau auszumachen. Laut der Autorin Rebecca Herold wirft das die Frage auf, wie solche Informationen genutzt werden könnten beziehungsweise bereits in Hinblick auf Versicherungs-Kalkulationen oder Forderungen, sowie bei Bewerbungen um Kredite und Hypotheken genutzt werden“.

[Edit: Wie auch die wahre Identität von Scott nicht  preisgegeben wurde, so wurde auch nicht veröffentlicht, in welchem Land die Studie durchgeführt wurde.]

Zuerst gesehen auf: Associated Press