Zum Hauptinhalt wechseln

Daten-Einblicke

1. April 2024

    

Ein Blick durch den Spiegel der Technologien zur Verbesserung der Privatsphäre

Techniken wie homomorphe Verschlüsselung gewährleisten Datenschutz und Sicherheit, ermöglichen aber dennoch Innovationen – zum Beispiel im Kampf gegen Finanzkriminalität.

'Like a person puts on a shirt, our land also needs to be dressed in trees.' - 34

Jonathan Anastasia

   

Derek Ho

In Lewis Carrolls Roman "Through the Looking-Glass" betritt Alice eine alternative Welt, in der die Dinge nicht wie üblich funktionieren. Die Zeit vergeht rückwärts. Laufen hilft dabei, stillzubleiben.

Die Welt der datenschutzfördernden Technologien, oder PETs, bietet ähnlich kontraintuitive Möglichkeiten. Eine Frage beantworten zu können, ohne zu wissen, worum es geht. Die Handlung eines Buches zu erfassen, ohne es aufschlagen zu müssen.

Das ist die zunehmend präsentere Realität von PETs, einem Oberbegriff, der Techniken, Methoden und Prozesse umfasst, die Datenschutz- und Sicherheitsrisiken bei der Nutzung und dem Teilen von Daten mindern können. Sie ermöglicht es Organisationen, Wert aus Daten zu ziehen, ohne die Rohdaten selbst verwenden oder darauf zuzugreifen müssen, wodurch Vertraulichkeit und Privatsphäre der Verbraucher gewahrt werden, indem der Zugang zu sensiblen und identifizierenden Informationen eingeschränkt wird. Obwohl es kein Allheilmittel ist, ist es ein weiteres Werkzeug im Werkzeugkasten, das es Organisationen ermöglicht, technologisch die Ermöglichung von Datenschutz und innovativer Datennutzung gleichzeitig sicherzustellen und quantitativ zu demonstrieren.

Zeit, ein PET zu bekommen

Obwohl PETs schon eine Weile existieren, sind sie größtenteils eine Spitzentechnologie, die nur eine ausgewählte Anzahl von Regulierungsbehörden und einige wenige Unternehmen im Privatsektor erforschen wollten und deren Luxus zu nutzen. Aber das hat sich in den letzten Jahren geändert.

Die Exekutivanordnung der Biden-Harris-Regierung zur künstlichen Intelligenz im vergangenen Jahr enthielt einen ganzen Abschnitt zur Beschleunigung der Entwicklung und Nutzung datenschutzschützender Technologien, zur Förderung der Einführung solcher Technologien durch Bundesbehörden und zur Entwicklung von Leitlinien zur Bewertung der Wirksamkeit dieser Techniken.

Auf globaler Ebene unterstützten die G7-Datenschutz- und Datenschutzbehörden 2023 einen Plan, der die Entwicklung und Nutzung neuer Technologien, einschließlich PETs, fördert, die Vertrauen aufbauen und die Privatsphäre schützen können.

Auch einige politische Entscheidungsträger und Regulierungsbehörden sind in diesem Bereich vorangetrieben und sind Pioniere. Die britische Financial Conduct Authority hat eine Expertengruppe für synthetische Daten eingerichtet, zu der auch Caroline Louveaux, die Chief Privacy and Data Responsibility Officer von Mastercard, gehört, um die Nutzung synthetischer Daten auf Finanzmärkten zu untersuchen. In Singapur bietet die Infocomm Media Development Authority eine fortlaufende PETs-Sandbox an, in der Organisationen praktische Anwendungsfälle an regulatorischen Anforderungen abgleichen können.

Bei Mastercard helfen wir auch, diese Technologien in praktische Anwendungen umzusetzen, die Ländern, Unternehmen und Einzelpersonen einen echten Nutzen bringen. Zum Beispiel haben wir am PETs-Sandbox der singapurischen Regierung teilgenommen, wo wir erfolgreich demonstriert haben, wie der Einsatz von vollständig homomorpher Verschlüsselung, kurz FHE, den Austausch von Finanzkriminalitätsinformationen grenzüberschreitend erleichtert.

 

PETs kurz gesagt

Datenschutzfördernde Technologien schützen die Privatsphäre persönlicher und sensibler Informationen und ermöglichen es Unternehmen zugleich, mit diesen Daten zu innovieren. Zum Beispiel können sie synthetische Daten erzeugen, die ein sorgfältig kalibriertes Computermodell verwenden, um einen simulierten Datensatz zu erstellen, der die statistischen Eigenschaften des ursprünglichen Datensatzes annähert.

 

Mastercard nahm kürzlich an einem Pilotprojekt mit der singapurischen Regierung teil, das zeigte, wie der Einsatz vollständig homomorpher Verschlüsselung den Austausch von Finanzkriminalitätsinformationen grenzüberschreitend erleichtert, indem sie eine direkte Analyse verschlüsselter Daten ermöglicht, ohne die zugrunde liegenden Daten preiszugeben – und ohne dass die Abfrage selbst oder ihr Ergebnis für andere sichtbar sind.

 

Finanzkriminalität stellt eine erhebliche Bedrohung für die Wirtschaft und den Ruf der Länder dar, wobei das UN-Büro für Drogen und Kriminalität schätzt, dass weltweit jährlich 800 bis 2 Billionen Dollar gewaschen werden. Doch der Austausch finanzieller Informationen, insbesondere grenzüberschreitend, wird durch rechtliche Einschränkungen in Bezug auf Datenschutz, grenzüberschreitende Datenübertragungen, Bankgeheimnisse und Verbote von "Tipping-Offs" in Anti-Geldwäsche-Gesetzen behindert. Kriminelle können sich im Schatten verstecken, getarnt durch Reibungen, die unbeabsichtigt dadurch entstehen, Informationen über verdächtige Aktivitäten zu teilen.

Ein verstärkter grenzüberschreitender Informationsaustausch über Finanzkriminalität, ermöglicht durch den Einsatz von FHE, könnte die Aktivitäten krimineller Netzwerke stören und die Aufdeckungsraten verbessern (zum Beispiel durch die Reduzierung von Fehlalarmen), was Kriminelle davon abhalten könnte, Finanzinstitute ins Visier zu nehmen.

Unsere Nutzung von FHE im Sandbox in Singapur ermöglichte es uns, verdächtige Konten in mehreren Datenspeichern zu identifizieren und gleichzeitig die Risiken der rechtlichen Konformität zu beheben und zu mindern. Informationen und Abfragen wurden auf einem Quantencomputing-Niveau verschlüsselt. Die Täter zu informieren war kein Problem, da Anfragen und Einheiten in der Anfrage-Antwort-Kette den anderen Parteien im Datenaustausch unbekannt waren. Und verschlüsselte Anfragen mit Finanzinformationen blieben außerhalb des Herkunftslandes nicht länger als wenige Sekunden bestehen. Dieser Beweispunkt legt unter anderem nahe, dass wir sprichwörtlich unseren sprichwörtlichen Datenschutz- und Innovationskuchen haben und ihn gleichzeitig essen können.

 

Herausforderungen bestehen, aber sie sind nicht unüberwindbar

Alle Pioniertechnologien haben ihre Herausforderungen, und PETs bilden da keine Ausnahme. Die Verarbeitungskomplexität bedeutet, dass FHE derzeit besser für Bedürfnisse geeignet ist, die eine Antwort in Sekunden statt in Millisekunden erfordern. Dennoch werden sich die Leistungszeiten durch kontinuierliche Fortschritte in der Rechenleistung verbessern, und nicht alle Anwendungsfälle erfordern sofortige oder nahezu Echtzeit-Verarbeitung. Darüber hinaus macht, wie wir in unserer Fallstudie in Singapur gezeigt haben, die sorgfältige Erstellung von Abfragen den Prozess effizienter.

Während immer mehr Regulierungsbehörden die Wirksamkeit von PETs untersuchen, könnten Teilnehmer aus dem Privatsektor von risikobasierten Leitlinien durch Datenschutz- und Sektoraufsichtsbehörden profitieren, die beschreiben, wie PETs helfen könnten, die Anforderungen ihrer jeweiligen lokalen Gesetze zu erfüllen. Solche Leitlinien sollten Branchenakteuren Klarheit über spezifische Anliegen bieten, die dann zusätzlich zu PETs durch andere ergänzende Kontrollen behoben werden können. Diese regulatorische Transparenz und Förderung kann angesichts der Kosten und Komplexität der Implementierung neuer Technologien nicht hoch genug eingeschätzt werden. Initiativen wie der Singapore Sandbox helfen dabei, die Evidenz praktischer Beispiele dafür aufzubauen, wie die Technologie in einem regulatorischen Rahmen funktionieren könnte.

 

Spannende Zeiten kommen bevor.

Obwohl es Herausforderungen gibt, könnte es hilfreich sein, sich an die Worte von Alices Vater in Tim Burtons "Alice im Wunderland"-Filmadaption zu erinnern: "Der einzige Weg, das Unmögliche zu erreichen, ist, zu glauben, dass es möglich ist."

Es ist möglich, dass Datenschutz und innovative Datennutzung gleichzeitig erreicht werden können. Doch diese Möglichkeit muss durch offene Zusammenarbeit zwischen Regulierungsbehörden und Industrie, den regulatorischen Mut, die Technologie zu testen und anzupassen, und bei Bedarf die Bereitschaft, das regulatorische Umfeld anzupassen, um deren Nutzung zu fördern, realisiert werden. In einer Zeit zunehmenden Misstrauens gegenüber der Nutzung und dem Teilen von Daten liegt es in unserem kollektiven Interesse, die Nutzung von PETs zu fördern. Die Werkzeuge existieren. Wir müssen einfach gemeinsam voranschreiten, um es weiterhin zu einer breiteren Realität zu machen.

Jonathan Anastasia ist Executive Vice President für Krypto-Dienstleistungen und Finanzkriminalität bei Mastercard. Derek Ho ist stellvertretender General Counsel für Datenschutz und Datenschutz bei Mastercard.