Zum Hauptinhalt wechseln

Daten-Einblicke

1. April 2024

    

Ein Blick durch den Spiegel der Technologien zur Verbesserung der Privatsphäre

Techniken wie die homomorphe Verschlüsselung gewährleisten Datenschutz und Datensicherheit, ermöglichen aber dennoch Innovationen – beispielsweise im Kampf gegen Finanzkriminalität.

'Like a person puts on a shirt, our land also needs to be dressed in trees.' - 34

Jonathan Anastasia

Contributor

  

Derek Ho

Assistant General Counsel, Privacy and Data Protection, Mastercard

In Lewis Carrolls Roman „Alice hinter den Spiegeln“ betritt Alice eine alternative Welt, in der die Dinge nicht so funktionieren wie gewohnt. Die Zeit läuft rückwärts. Laufen hilft dabei, an Ort und Stelle zu bleiben.

Die Welt der datenschutzverbessernden Technologien (PETs) bietet ähnliche, zunächst kontraintuitive Möglichkeiten. Die Fähigkeit, eine Frage zu beantworten, ohne die Frage zu kennen. Die Handlung eines Buches erfassen, ohne es aufschlagen zu müssen.

Das ist die zunehmend präsente Realität von PETs, einem Oberbegriff für Techniken, Methoden und Prozesse , die Datenschutz- und Sicherheitsrisiken bei der Datennutzung und -weitergabe mindern können. Es ermöglicht Organisationen, Wert aus Daten zu gewinnen, ohne die Rohdaten selbst nutzen oder darauf zugreifen zu müssen, wodurch die Vertraulichkeit und die Privatsphäre der Verbraucher gewahrt bleiben, indem der Zugriff auf sensible und identifizierende Informationen eingeschränkt wird. Es ist zwar kein Allheilmittel, aber ein weiteres Werkzeug im Werkzeugkasten, das es Organisationen ermöglicht, die Gewährleistung von Datenschutz und innovativer Datennutzung gleichzeitig technologisch sicherzustellen und quantitativ nachzuweisen.

Zeit für ein Haustier

Obwohl es PETs schon seit einiger Zeit gibt, handelte es sich dabei größtenteils um eine Spitzentechnologie, an deren Erforschung nur eine ausgewählte Anzahl von Regulierungsbehörden und einige wenige Unternehmen im privaten Sektor Interesse hatten und sich den Luxus leisten konnten, dies zu tun. Das hat sich in den letzten Jahren jedoch geändert.

Die Exekutivverordnung der Biden-Harris-Administration zum Thema künstliche Intelligenz aus dem letzten Jahr enthielt einen ganzen Abschnitt über die Beschleunigung der Entwicklung und Nutzung datenschutzfreundlicher Technologien, die Förderung der Übernahme solcher Technologien durch Bundesbehörden und die Entwicklung von Richtlinien zur Bewertung der Wirksamkeit dieser Techniken.

Auf globaler Ebene billigten die Datenschutzbehörden der G7 im Jahr 2023 einen Plan, der die Förderung der Entwicklung und Nutzung neuer Technologien, einschließlich PETs, vorsah, die Vertrauen schaffen und die Privatsphäre schützen können.

Auch einige politische Entscheidungsträger und Regulierungsbehörden forschen und leisten Pionierarbeit in diesem Bereich. Die britische Finanzaufsichtsbehörde (Financial Conduct Authority) hat eine Expertengruppe für synthetische Daten eingerichtet, der auch Caroline Louveaux, Chief Privacy and Data Responsibility Officer von Mastercard, angehört, um den Einsatz synthetischer Daten auf den Finanzmärkten zu untersuchen. In Singapur betreibt die Infocomm Media Development Authority eine laufende PETs-Sandbox, in der Organisationen praktische Anwendungsfälle auf ihre Eignung für regulatorische Anforderungen testen können.

Bei Mastercard arbeiten wir auch daran, diese Technologien in die Praxis umzusetzen und so einen echten Nutzen für Länder, Unternehmen und Einzelpersonen zu schaffen. Wir haben beispielsweise am PETs-Sandbox-Projekt der singapurischen Regierung teilgenommen und erfolgreich demonstriert, wie die Verwendung von vollständig homomorpher Verschlüsselung (FHE) den grenzüberschreitenden Austausch von Informationen über Finanzkriminalität erleichtert.

 

PETs kurz gesagt

Datenschutzverbessernde Technologien schützen die Vertraulichkeit persönlicher und sensibler Daten und ermöglichen es Unternehmen gleichzeitig, mit diesen Daten Innovationen voranzutreiben. Sie können beispielsweise synthetische Daten generieren, indem sie ein sorgfältig kalibriertes Computermodell verwenden, um einen simulierten Datensatz zu erstellen, der die statistischen Eigenschaften des ursprünglichen Datensatzes annähert.

 

Mastercard hat kürzlich an einem Pilotprojekt mit der Regierung von Singapur teilgenommen, das demonstriert, wie die Verwendung vollständig homomorpher Verschlüsselung den Austausch von Informationen über Finanzkriminalität über Grenzen hinweg erleichtert, indem sie eine direkte Analyse verschlüsselter Daten ermöglicht, ohne die zugrunde liegenden Daten preiszugeben – und ohne dass die Abfrage selbst oder deren Ergebnis für andere sichtbar ist.

 

Finanzkriminalität stellt eine erhebliche Bedrohung für die Wirtschaft und den Ruf von Staaten dar. Das Büro der Vereinten Nationen für Drogen- und Verbrechensbekämpfung schätzt, dass jährlich weltweit 800 Milliarden bis 2 Billionen Dollar gewaschen werden. Der Austausch von Finanzinformationen, insbesondere über Grenzen hinweg, wird jedoch durch rechtliche Beschränkungen in Bezug auf Datenschutz, grenzüberschreitende Datenübermittlung, Bankgeheimnis und Verbote gegen das „Vorwegnehmen“ in den Gesetzen zur Bekämpfung der Geldwäsche behindert. Kriminelle können sich im Verborgenen halten, getarnt durch Reibungsverluste, die unbeabsichtigt durch die Unfähigkeit entstehen, Informationen über verdächtige Aktivitäten auszutauschen.

Ein verstärkter grenzüberschreitender Informationsaustausch über Finanzkriminalität, ermöglicht durch den Einsatz von FHE, könnte die Aktivitäten krimineller Netzwerke stören und die Aufdeckungsraten verbessern (zum Beispiel durch die Reduzierung von Fehlalarmen), was Kriminelle davon abhalten könnte, Finanzinstitute ins Visier zu nehmen.

Durch den Einsatz von FHE in der Sandbox in Singapur konnten wir verdächtige Konten in mehreren Datenspeichern identifizieren und gleichzeitig die Risiken der Einhaltung gesetzlicher Bestimmungen angehen und minimieren. Informationen und Anfragen wurden auf ein Niveau verschlüsselt, das Quantencomputersicherheit entspricht. Die Gefahr, die Kriminellen zu warnen, bestand nicht, da die Anfragen und Entitäten in der Anfrage-Antwort-Kette den anderen Parteien des Datenaustauschs unbekannt waren. Und verschlüsselte Anfragen, die Finanzinformationen enthielten, blieben außerhalb des Ursprungslandes nicht länger als ein paar Sekunden bestehen. Dieser Beweis, neben anderen, legt nahe, dass wir den sprichwörtlichen Kuchen aus Privatsphäre und Innovation gleichzeitig haben und essen können.

 

Es gibt Herausforderungen, aber sie sind nicht unüberwindbar.

Alle Zukunftstechnologien bringen ihre Herausforderungen mit sich, und die PET ist da keine Ausnahme. Die Verarbeitungskomplexität bedeutet, dass FHE derzeit eher für Anforderungen geeignet ist, die eine Reaktionszeit im Sekundenbereich erfordern, anstatt im Millisekundenbereich. Allerdings werden sich die Performancezeiten durch ständige Fortschritte bei der Rechenleistung verbessern, und nicht alle Anwendungsfälle erfordern eine sofortige oder nahezu Echtzeit-Verarbeitung. Darüber hinaus haben wir in unserer Fallstudie aus Singapur gezeigt, dass eine sorgfältige Formulierung der Abfragen den Prozess effizienter macht.

Während immer mehr Regulierungsbehörden die Wirksamkeit von PETs untersuchen, könnten Teilnehmer aus dem Privatsektor von risikobasierten Leitlinien der Datenschutz- und Branchenaufsichtsbehörden profitieren, die beschreiben, wie PETs dazu beitragen können, die Anforderungen ihrer jeweiligen lokalen Gesetze zu erfüllen. Eine solche Richtlinie sollte den Akteuren der Branche Klarheit über etwaige spezifische Bedenken verschaffen, die dann durch andere ergänzende Kontrollmaßnahmen zusätzlich zu den PETs angegangen werden können. Diese regulatorische Transparenz und Förderung kann angesichts der Kosten und Komplexität der Implementierung neuer Technologien nicht hoch genug eingeschätzt werden. Initiativen wie der Singapore Sandbox tragen dazu bei, eine Evidenzbasis mit praktischen Beispielen dafür zu schaffen, wie die Technologie in einem regulatorischen Rahmen funktionieren könnte.

 

Spannende Zeiten stehen bevor

Auch wenn es Herausforderungen gibt, mag es hilfreich sein, sich an die Worte von Alices Vater in Tim Burtons Verfilmung von „Alice im Wunderland“ zu erinnern: „Der einzige Weg, das Unmögliche zu erreichen, ist, daran zu glauben, dass es möglich ist.“

Es ist möglich, Datenschutz und innovative Datennutzung gleichzeitig zu erreichen. Diese Möglichkeit muss jedoch durch eine offene Zusammenarbeit zwischen Regulierungsbehörden und Industrie, den regulatorischen Mut, die Technologie zu testen und anzupassen, und gegebenenfalls die Bereitschaft, das regulatorische Umfeld so anzupassen, dass ihre Nutzung gefördert wird, realisiert werden. In einer Zeit zunehmenden Misstrauens gegenüber der Nutzung und Weitergabe von Daten liegt es in unserem gemeinsamen Interesse, den Einsatz von PETs zu fördern. Die Werkzeuge sind vorhanden. Wir müssen einfach gemeinsam voranschreiten, um dies zu einer breiteren Realität werden zu lassen.

Jonathan Anastasia ist Executive Vice President für Kryptodienstleistungen und Finanzkriminalität bei Mastercard. Derek Ho ist stellvertretender General Counsel für Datenschutz und Datensicherheit bei Mastercard.