Wenn Hacker persönliche Daten und Kennwörter stehlen, können schnell hohe finanzielle Schäden entstehen.
Trunews
Forscher der Universität von Massachusetts haben es ans Licht gebracht: Nichts ist leichter, als aus Kreditkartendaten Kundenprofile zu ziehen. Wie Banken das betreffen könnte.
Big Data hat die umstrittene Diskussion um den Datenschutz auch für Banken bereits neu entfacht. Jetzt könnte eine Untersuchung des Massachusetts Institute of Technology Media Lab (MIT) und der dänischen Universität Aarhus für neuen Diskussionsstoff in der Finanzbranche sorgen. Denn Forscher beider Hochschulen haben herausgefunden, dass sich auch ohne personalisierte Daten wie Kontonummern von Käufern, die ihre Kreditkarte einsetzen, aus den Finanzdaten leicht Rückschlüsse auf Kunden ziehen lassen (De Montjoye et al., 2015).
Die Wissenschaftler hatten dazu einen Satz Kreditkartendaten aus 10.000 Geschäften von 1,1 Millionen Menschen im Zeitraum von drei Monaten analysiert. Die Informationen enthielten weder Namen noch Karten- oder Kontonummern, sondern nur Tag, Ort und die Höhe der Zahlungen, die von einem bestimmten Konto getätigt wurden. Solche Erkenntnisse über Bezahlvorgänge konnten beispielsweise aus Social-Media-Daten wie Tweets oder einer Bewertung auf Internet-Plattformen ausgelesen werden. Dann glichen sie vier verschiedene Bezahlvorgänge, die ihnen durch das Nutzungsverhalten der Kunden bekannt waren, mit dem anonymen Datensatz ab. Nach Ansicht der Forscher verrät allein schon die Art der Nutzung von Social-Media-Technologien beispielsweise eine Menge über ihre individuellen Anwender. So gibt schon jeder Facebook-Eintrag Rückschlüsse über das Verhalten des Nutzers. Auch beim Einsatz von Kreditkarten entsteht zu jedem Nutzer ein individuelles Muster.
Abgleich von Gewohnheiten als Datenschlüssel
Weitere Artikel zum Thema |
An einem Beispiel machten Forscher im Fachmagazin "Science" deutlich, wie einfach Kreditkartendaten zu Profilen von konkreten Personen hinführen können: Wussten die Forscher beispielsweise, dass ein bestimmter Kunde immer montags seinen Kaffee mit Kreditkarte zahlt, dienstags im Supermarkt eingekauft hat sowie freitags in einem Bekleidungsgeschäft war, konnten sie diese Person in rund 90 Prozent der Fälle in dem getesteten Datensatz wiederfinden. Um die Nutzer identifizieren zu können, griffen die Forscher auf die Zeitstempel der Transaktionen zurück und führten diese mit weiteren Daten wie etwa dem Standort der Kunden zusammen.
Enormes Potenzial für Kreditinstitute
Für Banken und Kreditkartenemittenten ist dies ebenso wie für die Bankkunden eine wertvolle Erkenntnis. Denn mit dem Experiment belegen die Datenwissenschaftler zum einen, dass Anonymisierungsverfahren, wie sie beispielsweise Kreditinstitute oder auch Krankenkassen derzeit einsetzen, trotz Datenschutz keine absolute Anonymität bieten. Zum anderen bieten solche Meta-Finanzdaten, die digitale Zahlungen beinhalten, den Kreditinstituten ein enormes Potenzial. Denn sie enthalten wertvolle Metadaten zum Individualverhalten der Kartennutzer. Auf der anderen Seite werden sie längst zur Betrugsprävention, im Scoring und zur Analyse des Einkaufsverhaltens der Kunden ausgewertet. Der bisherige Datenschutz, so bemängeln die Forscher, schütze zwar personenbezogene Daten, das gelte aber nicht für anonymisierte Daten. Ein mögliches Verfahren ist die so genannte Pseudonymisierung. Dabei werden laut dem Fachmagazin PC-Welt persönliche Daten verändert und durch Buchstaben- oder Zahlenkombinationen ersetzt. Um die Informationen wieder lesbar zu machen, ist ein besonderer Datenschlüssel notwendig.
Datenschutz muss Führungsaufgabe sein
Unabhängig von den theoretischen Möglichkeiten der Datenentschlüsselung sieht der Autor Thilo Weichert in seinem Beitrag "Führungsaufgabe Datenschutz bei Banken" der Springer-Zeitschrift "Datenschutz und Datensicherheit" (Ausgabe 1-2015, Seite 16-20) gerade für den Bankenbereich, dass das Datenschutzmanagement hier noch "sehr unterschiedlich – weil weniger transparent und kontrolliert – ist". Defizite in diesem Bereich könnten einen vergleichbar gewaltigen Ansehens- und Kundenverlust zur Folge haben wie Online-Datenlecks. Aufsichtsbehörden stellen seiner Information nach fest, dass hier Nachlässigkeit in der Führungsetage herrscht. Dies gelte auch für den Umgang mit Kreditkartendaten, das Girokartengeschäft oder das Online-Banking. Ziel müsse sein, den bestmöglichen Datenschutz im jeweiligen Kreditinstitut zu erreichen.