Ein Patent von Amazon zeigt, wie der IT-Konzern mit einem Marktplatz vorhat, die Privatsphäre im Internet zu durchlöchern. Im Fokus stehen wohl vor allem Bitcoin-Transaktionen, die beispielsweise mit den IP-Adressen verbunden werden sollen. Jedem, der ein Interesse an Datenschutz hat, sollte es kalt den Rücken runterlaufen.
Daten werden erst mächtig, wenn man sie verbindet. Solange sie fragmentiert und unzusammenhängend sind, verraten sie noch nicht so viel über den einzelnen. Doch wenn man sie zusammensetzt, ergeben sie ein schockierend genaues Raster.
Amazon möchte diesen Fakt mit einem Datenmarktplatz ausnutzen. Ein kürzlich vergebenes Patent beschreibt einen Markplatz für Datemströme. Individuen, Unternehmen oder Organisationen können Datenströme anbieten, und Kunden können diese abonnieren, korrelieren und kombinieren. Die so gewonnen Kombinationen können ebenfalls auf dem Marktplatz angeboten und weiter kombiniert werden. Denn immer, wenn man Rohdaten nützlich zusammensetzt, entstehen Werte.
Das Patent nennt ein Beispiel, wie Datenkombinationen mehr wert sein können als die Summe der Teile. Es geht dabei um Bitcoin-Transaktionen, die für jeden Teilnehmer des Netzwerks sichtbar sind, aber die Identität von Sender und Empfänger hinter einer pseudonymen Adresse verbirgt. „Diese rohen Transaktionsdaten verraten dem Kunden nur wenig, solange er sie nicht mit verschiedenen Elementen von anderen nützlichen Datenströmen korreliert.“ So könnten etwa Händler, die Bitcoin akzeptieren, die Lieferaddresse mit den Daten der Bitcoin-Transaktion korrelieren und diese Kombination als neuen Datenstrom republizieren. Dann können etwa die Internetprovider diese Datenströme abonnieren, mit den IP-Adressen korrelieren und als neues Paket auf den Datenmarktplatz stellen, wo etwa die Finanzämter sie herunterladen und mit Steuerdaten verbinden können. Und so weiter.
Ein solcher Datenstrom könnte Händlern helfen, die von manchen Regulierern ersehnten „Sperrlisten“ umzusetzen. So wie etwa bei online abgeschlossenen Mobilfunkverträgen automatisch die Daten von Credit-Scoring-Anbietern wie der Schufa abgefragt werden, könnten Händler bei Annahme einer Transaktion automatisch danach fragen, ob diese zu nahe an dunklen Quellen steht. Ob dies wünschenswert ist, um zu verhindern, dass beispielsweise Bitcoins aus Erpressungen in Umlauf geraten, oder ob dies die Fungibilität von Bitcoin – und damit dessen Eignung als Zahlungsmittel – beeinträchtigt – darüber kann man, immerhin, diskutieren. Nicht diskutieren kann man jedoch darüber, dass es verheerend ist, wenn sich jeder Gauner auf dem Datenmarktplatz die Informationen zusammenklauben kann, um zu erfahren, wie viele Bitcoins jemand hat, der an diesem oder jenen physischen Ort wohnt. Ebenfalls nicht diskutabel ist, dass allein das Vorhandensein dieser Korrelationen eine anlasslose Massenüberwachung unschuldiger Bürger darstellt…
Man kann und sollte darüber klagen, dass Amazon vorhat, in Massen die Privatsphäre auszuhöhlen. Man kann auch auf den deutschen oder europäischen Datenschutz hinweisen, der es vermutlich untersagt, dass man einfach so die Adress- oder IP-Daten von Kunden auf einen Marktplatz wirft, wo sie prinzipiell von jedem gesehen werden können. Allerdings stellt Amazons patentierter Datenmarktplatz leglich eine Methode dar, um das, was sowieso schon geht, noch effizienter zu betreiben. Es gibt bereits die Daten, die Bitcoin-Transaktionen mit IP- und physischen Adressen verbinden können. Sie sind bisher zwar noch isoliert in den Silos von verschiedenen Servern, aber man weiß nie, ob sie nicht schon kombiniert wurden. Ein Datenmarktplatz würde, immerhin, die bestehende Unsicherheit beseitigen: Man müsste davon ausgehen, dass alle Daten, die man produziert, bereits verknüpft sind.
Für die User bliebe dann nur eine Möglichkeit übrig: So wenig Daten wie möglich zu produzieren. Inwieweit das aber möglich ist, ist schwer zu sagen. Man kann nicht permanent Tor benutzen, um seinen Internetanbieter daran zu hindern, seine IP-Adresse mit einer physischen Adresse zu verbinden. Eventuell hilft ein VPN, eventuell hat man das Glück, dass der Internet-Anbieter dynamische Adressen vergibt. Auf der Seite der Bitcoin-Transaktionen bleibt einem nur, eine strenge Wallet-Hygiene zu betreiben. Man sollte Coins, die „beschmutzt“ in dem Sinn sind, dass sie in Kontakt mit einer Firma kamen, die die Daten möglicherweise verkauft – etwa Amazon – von Coins separieren, die noch nicht mit solchen Firmen in Kontakt kamen und daher nicht mit der Adresse korreliert werden. Vielleicht hilft es, Dienstleister zu vermeiden, die nicht in einem Land mit starkem Datenschutz, wie Deutschland oder der Niederlande, beheimatet sind.
Die vermutlich stärkste Lösung wäre es wohl, Mixer oder andere Verfahren zu verwenden, um Coins zu anonymisieren. Denn dies würde die auf Bitcoin-Adrese abzielenden Korrelationen brechen, und es auch schwierig oder unmöglich machen, von dieser Adresse auf andere abzuleiten, die derselben Person gehören. Allerdings haben diese Verfahren den Stallgeruch von Geldwäsche. Wer sie benutzt, riskiert, seine Coins zu beschmutzen oder auf einer schwarzen Liste zu landen – also die Situation nur noch schlimmer zu machen. Hier jedoch wäre es an der Zeit, umzudenken. Wenn es die deutsche Justiz mit dem Datenschutz wirklich ernst meint, sollte sie es nicht dulden, dass Verfahren, um die Privatsphäre auf der Blockchain gegen solche Angriffe zu schützen, von der Polizei mit Geldwäsche gleichgesetzt werden. Sie sollten, im Gegenteil, explizit erlaubt und vielleicht sogar von der Regierung selbst zertifiziert und herausgegeben werden.
In den 70ern hat das NIST in den USA den kryptographischen Algorithmus DES veröffentlicht, um sicherzustellen, dass amerikanische Bürger und Unternehmen sicher über das Internet kommunizieren können. Das Patent von Amazon zeigt, dass es an der Zeit ist für eine ähnliche Initiative bei Kryptowährungen.