Facebook, die Schufa und die Daten

Ges­tern schwapp­te eine Wel­le der Empö­rung durch das Netz, die bis heu­te anhält: Die Schufa forscht zusam­men mit dem HPI dar­an, frei ver­füg­ba­re Infor­ma­tio­nen aus dem Soci­al­me­dia­be­reich mit in ihre Sco­ring­al­go­rith­men zu inte­grie­ren.  Kris­ti­an Köhn­topp sieht das als Ver­such der Schufa, sich selbst abzu­schaf­fen. Sei­ne The­se:

Gelingt es auf Basis von frei ver­füg­ba­ren Infor­ma­tio­nen eine von der der Wirt­schaft als ähn­lich ver­läss­lich emp­fun­de­ne Sco­ring­in­fra­struk­tur auf­zu­bau­en, so kann das mit der heu­te zur Ver­fü­gung ste­hen­den Rechen­ka­pa­zi­tät eigent­lich jeder mit­tel­mä­ßig mit Kapi­tal aus­ge­stat­te­te Inves­tor machen.

Noch­mal: Es geht nicht dar­um, ob ein sol­ches Sco­ring irgend­was Sinn­vol­les abbil­det. Es geht allein dar­um, dass das, was es abbil­det, von den Kun­den als ver­läss­lich emp­fun­den wird. Die Dis­kus­si­on in sei­nen Blog ist bemer­kens­wert und wirft eigent­lich alles an Fra­gen auf, was dazu gestellt wer­den muss:

  • Ist eine Regu­lie­rung der Daten­ver­ar­bei­tung durch Geset­ze mög­lich, ohne dass es zu immensen gesell­schaft­li­chen Kol­la­te­ral­schä­den kommt?
  • Ist eine Offen­le­gung der Sco­ring­al­go­rith­men gesetz­lich gegen die gesam­mel­ten Inter­es­sen der Wirt­schaft durch­setz­bar?
  • Ist Kom­mu­ni­ka­ti­on auf Twit­ter und Co. „pri­vat“ und z.B. mit einem Tele­fon­ge­spräch ver­gleich­bar, das nur unter hohen gesetz­li­chen Hür­den durch Drit­te ver­wert­bar  wird?

Ich den­ke:

Mit frei ver­füg­ba­ren Daten, d.h. Daten, die durch eine offe­ne Schnitt­stel­le abge­saugt wer­den kön­nen, wird tech­nisch das gemacht wer­den, was tech­nisch mög­lich ist.

Wenn nicht hier, dann eben an einem Ort, der nicht regu­liert ist. Das Netz kennt kei­ne Schran­ken oder Gren­zen. Goog­le macht es vor – Goog­le macht vie­le Sachen, weil Goog­le es kann, nicht weil es auf den ers­ten Blick sinn­voll ist.

Moral als Instanz greift nicht, allen­falls zur Bewer­tung, die aber nie­man­den in die­sem Kon­text etwas nützt.

Man kann Din­ge mora­lisch ver­werf­lich fin­den und etwas anpran­gern – nur ändern wird man dadurch nichts. Man kann Geset­ze und Regu­lie­run­gen schaf­fen. Nur ändern wird man dadurch nichts, solan­ge es nicht welt­weit gül­ti­ge Regeln gibt. Das ist das Neue. Es wird vor­erst kein Meis­ter kom­men, der den ver­rückt spie­len­de Besen, den wir selbst ver­zau­bert haben, wie­der in die Schran­ken weist.

Und das ist erst der Anfang. Es gibt noch viel mehr Daten in sozia­len Net­zen, die für irgend­wen einen Wert haben. Das ist das Geschäfts­mo­dell. Viel­leicht sehen wir bald pri­va­ten Kran­ken­kas­sen, die aus Tweets das Ver­si­che­rungs­ri­si­ko bestim­men? Viel­leicht sehen wir Fir­men, die aus Zeit­punk­ten von Tweets Leis­tungs­da­ten von poten­ti­el­len Mit­ar­bei­ten­den errech­nen.

Kris­ti­an Köhn­topps Lösung ist Ver­hal­ten und zwar Ver­hal­ten vor dem Hin­ter­grund des Wis­sens um die tech­ni­schen Mög­lich­kei­ten der Daten­ver­ar­bei­tung. Einem Kris­ti­an Köhn­topp traue ich das zu. Einem tou­chen­den Anwen­der nicht. Der möch­te nicht ver­ste­hen, der möch­te nut­zen. Zum Ler­nen zwin­gen kann man nie­man­den. Je wei­ter man den Men­schen von der Tech­nik ent­fernt, des­to leich­ter wird Bedie­nung – kei­ne Fra­ge. Aber Ver­hal­ten vor dem Hin­ter­grund tech­ni­scher Mög­lich­kei­ten wird immer unmög­li­cher. Das hal­te ich für eine gelun­ge­ne, wirt­schaft­li­che Stra­te­gie zur Gewinn­ma­xi­mie­rung und Kun­den­bin­dung.

Dage­gen: Geset­ze? Moral? Ethik? Ich bin gespannt auf die Zukunft und küm­me­re mich auf jeden Fall immer wie­der um Tech­nik.

Über das Ausspähen von Daten

Ich nut­ze gera­de infla­tio­när güns­ti­ge WLAN-Rou­ter von TP-Link, die ich mit einer alter­na­ti­ven Firm­ware aus­stat­te, um das WLAN-Netz der Schu­le zu opti­mie­ren. Die Firm­ware ver­fügt über eine SNMP-Funk­ti­on, mit der ich so eini­ges aus den Gerä­ten mit Hil­fe von Cac­ti – einem kom­for­ta­blen Front­end für RRD­Tool – aus­le­sen kann. Da kommt dann z.B. so etwas her­aus (kli­cken zum Ver­grö­ßern):

Auf der y-Ach­se ist im ers­ten Dia­gramm die Anzahl der in die­sen Acces­s­point ein­ge­buch­ten Cli­ents auf­ge­tra­gen, im zwei­ten der ein- und aus­ge­hen­de Gesamt­traf­fic (Daten­ver­kehr). Die x-Ach­se bil­det einen Zeit­strahl der zurück­lie­gen­den Woche. Der WLAN-Teil des Rou­ters ist außer­halb der Schul­zeit deak­ti­viert. Was sagen mir die­se Daten?:

  • Die­ser Rou­ter­typ ver­sorgt pro­blem­los elf mobi­le Gerä­te gleich­zei­tig (aus Par­al­lel­mes­sun­gen weiß ich, dass es bis zu 18 sein kön­nen)
  • Der Rou­ter hat ein Pro­blem mit der kor­rek­ten Mel­dung der Basis­li­nie (ein Phan­tomcli­ent bleibt auch nach der Abschal­tung des WLAN-Chips)
  • Die­ser Rou­ter ist über einen Zeit­raum x am Leben gewe­sen
  • Wir haben viel out­bound-Traf­fic (was für das Inter­net eher unge­wöhn­lich ist, sich aber durch die Schul­cloud erklärt, über die der Datei­aus­tausch läuft)
  • Die Daten­men­ge, die die­ser Acces­s­point bewäl­tigt, ist doch eher gering

Die­se Daten brau­che ich, um zu ent­schei­den, wo ein wei­te­rer Aus­bau des WLAN not­wen­dig ist. Ich kann so recht früh­zei­tig Aus­fäl­le von Acces­s­points oder das Auf­tre­ten von merk­wür­di­gen Daten­men­gen iden­ti­fi­zie­ren. Die­se Daten sind über alle Nut­zer des WLAN gemit­telt und daher nicht per­so­na­li­sier­bar, selbst wenn ich es woll­te. Ich kann z.B. sagen, dass zu einem Zeit­punkt x extrem viel „gesaugt“ wur­de, aber nicht von wem oder ob das schlicht und ergrei­fend die ISO-Datei für den Kol­le­gen oder ein aktu­el­ler Kino­film war. Die­se Mes­sun­gen die­nen allein dazu, pro­ak­tiv auf Stö­run­gen und Eng­päs­se reagie­ren zu kön­nen, bevor der Frust mei­ner „Kun­den“ zu groß wird.

Wäre ich die Con­tent-Indus­trie, müss­te ich, um mei­ne Rech­te 100%ig zu schüt­zen, wei­te­re Daten erhe­ben – tech­nisch mög­lich, aber eine gan­ze Ecke auf­wen­di­ger, da ver­schie­de­ne Daten­be­stän­de ver­knüpft wer­den müs­sen (z.B. DHCP-, Pro­xy- und SNMP-Daten):

  • die MAC-Adres­se des ein­ge­buch­ten Geräts
  • die von die­sem Gerät abge­ru­fe­nen Inter­net­sei­ten
  • die Inhal­te von jedem Daten­pa­ket, wel­ches zwi­schen Acces­s­point und End­ge­rät aus­ge­tauscht wird
  • usw.

Zu deutsch: Von jedem läge offen, was er/sie wann und wo im Netz gemacht hat. Ich bin froh, dass ich das nicht kann, will und darf. Ich bin froh, dass es im Fal­le von Straf­tat­be­stän­den eine Ermitt­lungs­be­hör­de gibt, die dafür vor­ge­se­hen und hof­fent­lich auch gut aus­ge­bil­det ist, ent­spre­chen­de Foren­sik zu betrei­ben. Die­se kann in einem begrün­de­ten Ver­dachts­fall einen rich­ter­li­chen Beschluss erwir­ken, nach dem ent­we­der ein paar Men­schen mit unse­rem Ser­ver unter dem Arm die Schu­le ver­las­sen oder hier zusätz­li­che Tech­nik auf­stel­len. Das ist nicht mei­ne Auf­ga­be, weil ich sowas wie ein tech­ni­scher Dienst­leis­ter bin – nicht mehr und nicht weni­ger.

Wel­che Aus­wir­kun­gen hät­te es auf mei­ne Schu­le, wenn bekannt wür­de, dass sys­te­ma­tisch Daten geloggt und aus­ge­wer­tet wer­den – wenn sich nie­mand mehr sicher sein kann, bei einer elek­tro­ni­schen Inter­ak­ti­on mit der Ver­trau­ens­leh­re­rin nicht „belauscht“ oder „auf­ge­zeich­net“ zu wer­den? Wie wäre es dann wohl um den Ein­satz „neu­er Medi­en“ im Unter­richt bestellt?

Wel­che Gesell­schaft hät­ten wir, wenn wir den Ansprü­chen von eini­gen Urhe­bern mit allen uns zur Ver­fü­gung ste­hen­den tech­ni­schen Mit­teln begeg­nen wür­den? Man kann das tech­nisch lösen. Das Pro­blem ist aber kein tech­ni­sches (wie mein Wunsch noch WLAN-Opti­mie­rung), son­dern ein sozio­lo­gi­sches: Wol­len wir wirk­lich in dem Bewusst­sein leben, dass unse­re gesam­te Kom­mu­ni­ka­ti­on stän­dig nach „Ver­bo­te­nem“ gescannt wird? Wol­len wir Pro­vi­dern und Dienst­leis­tern – als zivi­le Orga­ne – die­se Auf­ga­be wirk­lich über­tra­gen – schließ­lich hät­ten sie dann auch die „Daten­ho­heit“? Ich wür­de die­se Auf­ga­be nicht wol­len. Und die Urhe­ber wür­den bestimmt eine sol­che Gesell­schaft nicht wol­len.

Das macht Facebook nicht

Bei Face­book hat man ja die Mög­lich­keit, sich Freun­de vor­schla­gen zu las­sen, indem man Zugangs­da­ten zu sei­nem E-Mail­ac­count dort angibt. Damit hat Face­book genau die Mög­lich­kei­ten des Zugriffs auf mei­ne Mails, die ich hier skiz­zie­re, wenn ich einen IMAP-Account ver­wen­de. IMAP ist  eine Tech­no­lo­gie zur Ver­wal­tung von Mails auf einem Ser­ver. Wenn Ihr von ver­schie­de­nen Orten auf ver­schie­de­nen End­ge­rä­ten Zugriff auf eure Mails habt und dazu kei­nen Brow­ser ver­wen­det, nutzt ihr zu 98% IMAP.

Was die meis­ten Men­schen ken­nen, sind Kli­ckibun­ti E-Cli­ents („IPho­ne-Apps“, Out­look, Thun­der­bird…),  die  man ein­mal ein­rich­tet und die dann alles für einen tun (z.B. Ord­ner anle­gen usw.). Man kann mit sei­nem Mail­ser­ver aber auch ganz „frea­kig“ über die Kom­man­do­zei­le via tel­net reden, ver­schlüs­selt geht das auch, etwa über opens­sl. Dazu braucht es ledig­lich ein Log­in und ein Pass­wort für den E-Mail­ac­count (den hat Face­book ja dann). Dabei wan­dern die Daten rucki­zucki. Ich habe ein­mal Daten mar­kiert, die etwas über mei­ne Per­son aus­sa­gen. Fett sind die not­wen­di­gen Kom­man­dos in der Bash gedruckt.

Ich habe ein­mal mei­nen Ser­ver (riecken.de) genom­men – erst­mal sagen wir „Hal­lo!“:

tel­net riecken.de 143

Try­ing 217.79.182.34…                                                                                                                                                                                                                                                                                    Con­nec­ted to riecken.de.

Escape cha­rac­ter is ‚^]‘.
* OK [ser­ver string]

Mit­tels GeoIP kann ich her­aus­be­kom­men, wo mein Mail­ser­ver steht, genau bei wel­chem Pro­vi­der in in wel­chem Rechen­zen­trum. Mit den Zugangs­da­ten kön­nen wir uns ein­log­gen – lt. Pro­to­koll braucht es dafür einen Iden­ti­fier, hier A00001 –  und dann nach­schau­en, wel­che Ord­ner es gibt:

Wei­ter­le­sen

Liebe Bank…

Wir Kun­den sind am Wohl­erge­hen der Men­schen inter­es­siert, die in Dei­ner Chef­eta­ge arbei­ten. Nur eine phy­sisch und psy­chisch sta­bi­le Füh­rung kann effek­tiv im Sin­ne von uns Kun­den agie­ren und unse­re ange­leg­ten Gel­der ver­trau­ens­voll ver­wal­ten. Dazu müs­sen mensch­li­che Grund­be­dürf­nis­se vor allen ande­ren effek­tiv und voll­stän­dig erfüllt sein. Daher haben wir Kun­den in den Schlaf­zim­mern Ihrer Mit­ar­bei­ter Netz­werk­ka­me­ras instal­liert und ein eige­nes Unter­neh­men gegrün­det, wel­ches auf die gelie­fer­ten Daten anlass­be­zo­gen zugrei­fen kann.

Dabei gel­ten für die­ses Unter­neh­men stren­ge Richt­li­ni­en für die Ver­wen­dung die­ser Daten zur Vor­be­rei­tung eines reflek­tie­ren­den Gesprä­ches. Auch sind die Mit­ar­bei­ter die­ses Unter­neh­mens aus­schließ­lich und exklu­siv für uns Kun­den tätig. Ein Down­load die­ser Daten oder das mitrip­pen von Video­da­ten ist tech­nisch so ausgeschlossen.wie ein Bild­schirm­fo­to, da das Sys­tem sys­te­ma­ti­sche Mehr­fach­ab­ru­fe zum Zweck einer erwei­ter­ten Aus­wer­tung der Bewe­gungs­pro­fi­le erkennt.

Die­ses Vor­ge­hen liegt im Sin­ne Ihrer über­wach­ten Mit­ar­bei­ter und wird von die­sen auch aus­drück­lich gewünscht. So kann bei uner­war­te­ten Pro­ble­men das pas­sen­de phar­ma­zeu­ti­sche Pro­dukt in Stück­zah­len gelie­fert und durch die dabei ver­dien­ten Pro­vi­sio­nen die Kun­den­mo­ti­va­ti­on und -bin­dung an Ihre Bank gestärkt wer­den. Wir als Kun­den sehen die­sen Ser­vice als Dienst an unse­rer Bank, um unse­ren mensch­li­chen Pflich­ten zum Nut­zen der über­wach­ten Mit­ar­bei­ter effek­tiv nach­kom­men zu kön­nen.

1 2