Netzpolitik 

Wie Daten Mörder machen: Zwei Datenschutzexpertinnen warnen vor den Gefahren des IoT

Gerät ein Unschuldiger durch Smart-Home-Geräte unter Verdacht, kann er sich nur schwer verteidigen.
Gerät ein Unschuldiger durch Smart-Home-Geräte unter Verdacht, kann er sich nur schwer verteidigen.
Foto: Imago
Mordfälle werden heute mithilfe von Daten gelöst, doch schnell geraten die Falschen unter Verdacht. Aber wie wehren sich Unschuldige? Ein Gespräch von der IFA.

Das Internet of Things ist längst Realität. In jedem Gerät stecken Sensoren, ständig zeichnen sie Daten auf, um digitale Angebote vermeintlich zu verbessern. Der Twitter-Account "Internet of Shit" sammelt die abstrusesten IoT-Geräte.

Doch wissen wir überhaupt noch, welche Daten über uns produziert werden? Wie nutzen Strafverfolgungsbehörden dieses neue, mächtige Werkzeug? Mit diesen Fragen beschäftigten sich Mille Graham Wood und Frederike Kaltheuner in einem Vortrag auf der IFA. Sie arbeiten für Privacy International, einen Verein, der sich mit Datenschutz im digitalen Zeitalter befasst.

Polizeilicher Umgang mit IoT birgt schlimme Konsequenzen

Beide Wissenschaftlerinnen fragen sich, ob wir uns der Konsequenzen bewusst sind, die das IoT mit sich bringt. Die Gefahren von Hackerangriffen sind allseits bekannt. Erlangen unberechtigte Zugang zu unseren Daten, ist der Schaden meist finanzieller Natur. Nicht unbedingt wünschenswert, aber oftmals verkraftbar.

Daher setzen Wood und Kaltheuner einen anderen Fokus: die Rolle von Daten in polizeilichen Ermittlungen. Hier sehen sie wesentlich größere Konsequenzen für Betroffene. Eine Verurteilung kann eine Haftstrafe, in einigen Ländern sogar eine Todesstrafe, nach sich ziehen – auch wenn der Beschuldigte zu Unrecht verurteilt wurde.

Verraten uns die smarten Devices?

Intelligente Geräte sind für uns selbstverständlich. Der Blick aufs Smartphone morgens beim Kaffee hat bei Vielen die druckfrische Tageszeitung abgelöst. Auch Gadgets wie Fitnessarmbänder oder intelligente Zahnbürsten werden beliebter. Diese Geräte sammeln Informationen über uns, häufig sind wir uns aber nicht bewusst, welche Daten gespeichert werden.

"In der Aussage 'Alles, was Sie sagen, kann und wird vor Gericht gegen Sie verwendet werden' steckt heute mehr Wahrheit als jemals zuvor", so Kaltheuner. "Noch nie wurden ständig potentielle Beweise aufgezeichnet."

Amazons Musikstream und ein Todesfall

Im November 2015 schaute ein Mann aus Arkansas gemeinsam mit seinen Freunden Football. Am nächsten Tag wurde einer der Gäste tot im Pool aufgefunden. Der Gastgeber besaß eine Vielzahl intelligenter Geräte. Eine Alarmanlage mit Bewegungssensoren überwachte die Haustür, Das Licht konnte per Fernbedienung eingeschaltet werden und ein Amazon Echo diente als zentrale Steuerungseinheit für das gesamte Zuhause.

Die Polizei verdächtigte den Hausbesitzer, dieser plädierte auf unschuldig. Während der Ermittlungen fand die Polizei heraus,dass zum vermuteten Todeszeitpunkt des Opfers gleichzeitig Musik an einen Lautsprecher im Garten in der Nähe des Pools gestreamt wurde. Theoretisch könnte dieser Stream über das im Haus stehende Amazon Echo gesteuert werden. Die Polizei ging davon aus, dass Amazon auf seinen Servern und dem Gerät Informationen besaß, die Aufschluss über den Mord geben könnten. Per Richterbeschluss forderten sie alle verfügbaren Daten wie Sprachaufzeichnungen und Protokolle an.

Amazon Echo ist ein kleines Gerät, das ständig den Ton im Raum aufzeichnet, um auf Sprachbefehle zu reagieren. Hört es das Keyword “Alexa” verbindet es sich automatisch mit den Amazon-Servern und verarbeitet den Befehl. Häufig missinterpretiert das Gerät ein Geräusch und zeichnet ohne Befehl den Ton der Umgebung auf.

Amazon verweigerte die Ausgabe der Daten, es verstoße gegen die US-Verfassung. Die Privatsphäre einer Person sei gegenüber staatlicher Strafverfolgung geschützt. Ebenso sei die Anfrage nicht spezifisch genug, die gesammelten Daten des Amazon Echos stünden in keiner direkten Verbindung zu dem Mordfall. Laut Amazon würde keine Informationen auf dem Gerät gespeichert werden, weder Audioaufzeichnungen noch Protokolldaten. Über eventuelle Serverdaten machte der Online-Händler keine Angaben.

Später willigte der Verteidiger des Beschuldigten ein, das Amazon Echo an die Polizei zu übergeben. Laut Wood sei nicht bekannt, welche Informationen die Polizei extrahieren konnte.

Ein Fitness-Armband und ein Todesfall

Ein Mann aus Connecticut wurde beschuldigte, seine Frau ermordet zu haben. Laut eigener Aussage war er zuhause und wartete auf seine Frau. Nachdem sie zuhause angekommen war, kam ein Einbrecher in das Haus des Paares, nahm die Waffe des Ehemannes und erschoss die Frau, so der Mann.

Die Frau trug während des Mordes einen Fitnesstracker. Die Analyse der der Daten des Trackers zeigten jedoch, dass die Geschichte des Mannes nicht stimmen konnte. Laut der Aufzeichnungen lief das Opfer nach dem vermeintlichen Todeszeitpunkt noch mehrere Stunden durch das Haus, dabei gab ihr Mann an, dass sie direkt von dem Einbrecher erschossen wurde. Wie die Polizei an die Daten des Fitness-Trackers gekommen ist, ist nicht bekannt.

Die beiden Fälle zeigen: Wir erzeugen mehr Daten, als uns bewusst ist. Und meistens sind unsere Daten Eigentum von Unternehmen, während auch die Strafverfolgung Interesse daran hat.

Die Ungleichheit der Daten: Wie kann sich der Beschuldigte gegen eine Anklage wehren?

Die US-Polizei verwendet proprietäre Software, um Smartphones auszulesen. Hierbei erhält sie Zugriff auf Informationen, auf die der Besitzer nicht zugreifen und deren Echtheit er somit auch nicht selbst verifizieren kann.

Google kennt die Internet-Historie, den Terminkalender und den Standortverlauf seiner User, das ist den meisten bekannt. Aus diesen Informationen können Muster erstellt und Voraussagen getroffen werden. Doch was passiert, wenn diese Muster und Prognosen einen Unschuldigen fälschlicherweise verurteilen und die Strafermittlungsbehörden Zugang zu diesen Daten haben? Ist ein Bürger in der Lage sich zu verteidigen?

Die wenigsten werden die Inkorrektheit der Datensätze nachweisen können. Dazu sei Fachwissen nötig, das der normale Bürger nicht besitzt, berichtet Wood. Alternativ könne ein Experte konsultiert werden, fehlen dem Beschuldigten hierfür jedoch die finanziellen Mittel, kann er sich gegen die Verurteilung kaum wehren.

Graham vergleicht die IoT-Daten mit der DNA und dem Fingerabdruck. Als die Strafverfolgung erstmals diese Identifizierungsmerkmale als Beweismittel verwendete, dachte man, Fehler seien unmöglich. Heute wissen wir, ein Fingerabdruck oder eine DNA-Probe können auch fehlerhaft sein und den Falschen beschuldigen. Ähnlich sollten wir mit Datensätzen umgehen. Sie können Täter überführen, sind jedoch nicht unfehlbar.

Fazit: Grundlegendes Prinzip der Digitalisierung fragwürdig

Wood und Graham fordern, dass der Nutzer jederzeit darüber informiert wird, welche Daten über ihn angefertigt werden, sei es vom Staat oder von den Unternehmen.

Die Daten sollten dem Nutzer gehören und nicht privaten Konzernen. In einem Ermittlungsverfahren müssen beide Seiten, die Strafverfolgung sowie der Angeklagte, die gleichen Rechte und Möglichkeiten haben. Der Beschuldigte muss Daten, die gegen ihn verwendet werden, ebenso verstehen können wie die Strafverfolgung.

Die Wissenschaftlerinnen hinterfragen also ein grundlegendes Prinzip der Digitalisierung: Warum werden derart viele Informationen gespeichert. Und ist es notwendig, dass jedes internetfähige Gerät ständig alles protokolliert? Werden weniger Daten erfasst, wären intelligente Geräte möglicherweise etwas weniger intelligent, im Gegenzug bekäme der Nutzer jedoch seine Freiheit zurück.

Das könnte auch interessant sein

Netzpolitik 

Minister proben Cyberangriff

In Tallin,Estland kamen am 7. September die EU-Verteidigungsminister zusammen.
In Tallin,Estland kamen am 7. September die EU-Verteidigungsminister zusammen.
Foto: Liis Treimann / dpa

Was tun im Falle einer Hackerattacke auf militärische Hauptquartiere? In Estland übten die Verteidigungsminister für den Ernstfall.

Mehr lesen