“Sie haben null Privatsphäre – finden Sie sich damit ab!”

“Sie haben null Privatsphäre – finden Sie sich damit ab!” Dieser berühmt-berüchtigte Satz von Scott McNealy aus dem Jahr 1999 ist unzählige Male zitiert worden. Durch die Digitalisierung ändert sich unser Leben von Grund auf. GPS-Koordinaten anzapfen, Telefonanrufe abhören, Tweets und Mails abfangen, den auf Überwachungskameras gespeicherten Spuren nachgehen – ist das für Behörden und die Mächte der dunklen Seite vielleicht eine gar zu große Verlockung? Steht unser Grundrecht auf Privatsphäre auf dem Spiel? Ist alles erlaubt, was technisch machbar ist? Wo ist die Grenze? Wer kontrolliert die Kontrolleure?

Die trügerische “Sicherheit” schlecht organisierter Informationen

Warum meinen wir, wir müssten beim Aufbau von Informationssystemen alle Attribute an einem einzigen zentralen Schlüssel festmachen? Im Gesundheitswesen wird genau das jedoch momentan in vielen Ländern geplant. Der etablierte “chauvinistische” Designansatz für Informationssysteme folgt einer Pyramide: Ein Hauptschlüssel (Key Identifier) oben drauf, und alles andere ist direkt damit verbunden.

Kann man ein solches System überhaupt sicher machen, wenn es erst einmal im Einsatz ist? Können wir es uns leisten, weiterhin einfach ein bisschen “Sicherheits-Zauberpulver” oder ein anderes Wundermittelchen über das System zu streuen und zu hoffen, dass dadurch alles abgesichert ist?

Die Verlockung eines zentralen Schlüssels (Global Identifier – GID)

Warum meinen wir, wir müssten alles an einem einzigen Schlüssel festmachen? Im wirklichen Leben tun wir dies ja auch nicht. Mein Pass und meine Krankenversicherung haben unterschiedliche Nummern, die wiederum nicht dieselben sind wie die Nummer von der Rentenanstalt, welche von der Führerscheinnummer abweicht, welche anders lautet als meine Telefonnummer etc.

Elektronische Identitäten

Doch inzwischen geht es um elektronische Identitäten, und da bekommen die IT-Entwickler glasige Augen vor lauter Freude, denn das bietet die phantastische Möglichkeit, alles unter einen Hut zu bringen und miteinander zu vernetzen.

Schluss mit individuellen Identifikatoren oder Schlüsseln – endlich kann man alles ordentlich zusammenbringen. Auch ohne einen Twitter- oder Facebook-Account werden wir dadurch völlig transparent.

Wenn wir das zulassen, ist es um die Privatsphäre ein für alle Mal geschehen. Eben diese Informationssystem-Architekten vergessen nämlich leider, dass es nun einmal Attribute gibt, die privat bleiben müssen. Man denke nur an die DNS-Sequenz, anhand derer Versicherungsgesellschaften bestimmen könnten, wie hoch die Wahrscheinlichkeit einer bestimmten Person ist, in einem bestimmten Alter an einer bestimmten Erbkrankheit zu erkranken – um dieser Person dann die Versicherungsleistungen zu verweigern oder den Vertrag zu kündigen.

Genau aus diesem Grund laufen in manchen Ländern die Bürger Sturm gegen elektronische Patientenunterlagen. Aber gibt es wirklich so todsichere Systeme, dass man absolut sicher sein kann, dass sie nicht geknackt werden können? Oder steht hier eher ein Umdenken an?

“Schon wieder: US-Patientendaten in großem Umfang geknackt: 4,9 Millionen Patienten betroffen – IEEE Spectrum.” Dieser kürzlich veröffentlichte Artikel spricht für sich.

Können wir überhaupt etwas tun?

Die Liberty Alliance (heute in die Kantara-Initiative integriert) hat eine Menge geleistet, um Mechanismen für den Schutz der Privatsphäre zu liefern: SAML2 (Security Assertion Markup Language) für den sicheren Austausch von Authentifizierungs- und Autorisierungsinformationen und die sichere Feststellung der Identität, sowie die so genannte föderierte Identität (Federated Identity) zur sicheren Verknüpfung von Identitätsinformationen aus unterschiedlichen Bereichen. Doch höchst selten ist die Rede davon, dass dieses Konzept der Federated Identity auch dazu genutzt werden kann, Informationen von einander zu isolieren und getrennt zu halten.

Der Trick dabei besteht darin, verschiedene Informationsbereiche absichtlich gegeneinander abzuschotten und diese Pseudonymität von Anfang an zu nutzen. Eine gut geschützte Tabelle (relationale Einheit) sorgt dafür, dass die Verweise aus den unterschiedlichen Bereichen miteinander verbunden und so die leeren Stellen mit Informationen gefüllt werden können; über diese Tabelle kann selektiver Zugriff für Personen mit sicherer Autorisierung gewährt werden. Eine solch (kleine) Beziehungs-Tabelle kann viel leichter geschützt werden als ein ganzes System.

“Ich bin verwirrt – könnten Sie das anhand eines Beispiels erklären?”

OK, ich habe verstanden. Freut mich, dass Sie fragen. In meinen Vorträgen über Datenschutz und Privatsphäre habe ich die folgende Analogie schon oft angeführt:

Stellen Sie sich einen Hausarzt vor. Er hat einen einzigen Aktenschrank voller Hängeordner in alphabetischer Reihenfolge (nach Familiennamen der Patienten). Die Hängeregister enthalten sämtliche Daten und Informationen, die der Arzt mit der Zeit für jeden seiner Patienten gesammelt hat, darunter natürlich auch vertrauliche Informationen. Die Mitarbeiter seiner Praxis müssen laut Vorschrift dafür sorgen, dass dieser eine Aktenschrank immer verschlossen ist.

Doch im Alltagsbetrieb läuft es nun einmal nicht so: Der Aktenschrank steht ständig offen, weil das Personal ständig den ein oder anderen Hängeordner braucht und es einfach zu lästig und umständlich ist, den Schrank ständig auf- und abzuschließen. Anders geht es bei “Dr. Peter Schlaumeier” zu:

Er verstaut die Informationen in zwei getrennten Aktenschränken – Aktenschrank Nummer eins ist für die Akten, die die administrativen Daten der Patienten enthalten: Name, Adresse, Telefonnummer etc. Also Informationen, wie man sie auch in einem Telefonbuch finden könnte.

Im Aktenschrank Nummer zwei sind die Hängeordner mit den Fällen bzw. Einzelerkrankungen zu finden – eine Knieoperation, ein Knochenbruch, eine Leberuntersuchung, ein Röntgenbild etc. – also die vertraulichen Informationen.

Die Hängeordner in beiden Aktenschränken haben jeweils eine Nummer, die aber nicht aufeinander verweisen, sondern auf Einträge in einem kleinen schwarzen Buch, das der Arzt sicher die ganze Zeit mit sich führt. Nur mit Hilfe dieses Buches können die beiden Verweisnummern eines Patienten und einer Einzelerkrankung zueinander in Beziehung gesetzt und so patientenspezifische Informationen (Patient und “Fall” – oder “Fälle”, seine Krankengeschichte) abgerufen werden.

Jetzt können beide Aktenschränke getrost unverschlossen bleiben.

Aktenschrank Nummer eins enthält das öffentlich verfügbare Verzeichnis (Informationen wie im Telefonbuch) – und ein paar weitere, nicht vertrauliche administrative Patienteninformationen.

Aktenschrank Nummer zwei enthält die einzelnen Krankheitsbilder, die “Fälle” und ist offen zugänglich, zum Beispiel wenn das Gesundheitsamt Umfragen durchführt (“Wie viele Fälle einer bestimmten Infektion sind in diesem Stadtteil aufgetreten?”).

Was können wir aus diesem Beispiel lernen?

Werden Informationssysteme ohne einen Universalschlüssel, einen “Global Identifier” entwickelt, können Informationen so voneinander abgeschottet werden, dass Datenschutz und Privatsphäre auf diesen Systemen integraler Bestandteil und eine zusicherbare Eigenschaft des gesamten Systems werden – und zwar von Anfang an.

Gibt es noch Hoffnung? – Noch ist nicht alles verloren

Wenn wir alle gemeinsam der Versuchung widerstehen, solche Universal Identifiers (UIDs) bzw. Global Identifiers (GIDs) bereits in der Systemplanung mit einzubeziehen, können Systeme entwickelt werden, die abgesichert werden können. Die getrennte Vorhaltung von Informationen mit streng begrenztem Zugang zu den Verknüpfungen, die die Beziehung zwischen diesen Informationen aufdecken, ist für “privatsphärenfähige” und datenschutzkonforme Systeme eine unabdingbare Voraussetzung.

“Wann wird man je versteh’n? – Wann wird man je versteh’n?” (Pete Seeger, letzte Zeile des Liedes “Sag mir wo die Blumen sind”).