Einem geschenkten Gaul …

Während früher kommerzielle und kostenpflichtige Software die Regel war, findet man heute immer mehr kostenlose Angebote. Nun ist es aber so, dass es in der freien Wirtschaft so etwas wie „kostenlos“ oder „gratis“ nicht gibt.

Im Englischen gibt es dazu auch eine treffende Bezeichnung: „TANSTAAFL – there ain‘t no such thing as a free lunch“.

Es findet vielleicht keine Zahlung statt, aber mit einem Gegenwert muss man trotzdem bezahlen. In den meisten Fällen bezahlen Nutzer bei kostenlosen Internet- Angeboten oder Apps heute schlichtweg mit ihren Daten.

Aus einem Nutzer wird ein „Profil“ – mit dem man umso besser Werbung auf ebendiesen Nutzer anpassen kann, je mehr man es mit Daten anreichert. Dieses „Geschäftsmodell“ ist heute allgegenwärtig, selbst bei einigen Sicherheitsprodukten.

Allerdings verweilen bei diesem Modell die Daten in der Regel im Verhältnis zwischen Anbieter und Kunde. Was sich als Kunde normalerweise auch noch durchdringen lässt. Kritisch wird es aber, wenn (auch anonymisierte) Profile an Dritte weiterverkauft werden.

Dieser „Heilige Gral“ der Werbetreibenden ermöglicht es, durch die Kreuzkorrelation von verschiedensten Datenquellen noch bessere und transparentere Profile zu erstellen.

Und das gilt umso mehr, wenn es auf diese Weise gelingt, auch eigentlich anonyme Daten zu „de-anonymisieren“.

Dies ist umso tragischer, da sowohl theoretische als auch praktische Versuche deutlich zeigen, dass De-Anonymisierung im Grunde genommen ein rein statistisches Problem ist, das ausschließlich von den zur Verfügung stehenden Datenquellen und Mengen abhängig ist.

Vergaloppiert

Leider nutzen inzwischen selbst Anbieter von Sicherheitslösungen diese Möglichkeit zum Zusatzverdienst. Das ist umso tragischer, da gerade im Sicherheitsbereich eine gewisse Sensibilität bei jeglichem Umgang mit personenbezogenen Daten erwartet wird.

Obwohl rechtlich vollkommen legal, muss hier auch die Frage nach Ethik erlaubt sein. Natürlich ist der Weiterverkauf von Daten für den Anbieter ein lohnendes Zusatzgeschäft. Allerdings ist dieses „Dreier-oder-mehr-Verhältnis“ für Kunden nicht mehr zu durchdringen.

Alleine die einfache Frage „Wer hat meine Daten überhaupt?“ lässt sich kaum noch beantworten.

Bisher blieb nur das sture Durcharbeiten der jeweiligen AGB der Anbieter. Dass diese meistens in feinstem Rechts-Englisch verfasst sind, erleichterte die Aufgabe nicht gerade …

Aufs richtige Pferd setzen

An dieser Stelle tritt der sogenannte „Mindeststandard“ der European Expert Group for IT-Security (EICAR) auf den Plan. Sie dürfte vielen als unabhängige europäische Forschungsorganisation im Antiviren-Bereich ein Begriff sein, beschäftigt sich allerdings seit Langem mit IT-Sicherheit als Ganzes.

Aktuellstes Projekt ist der „Mindeststandard“, der zertifizierte Anbieter zur Datenhygiene zwingt. Das heißt, Sicherheitsprodukte dürfen nur Daten erheben und zum Hersteller transferieren, die zwingend zur Erfüllung der Sicherheitsfunktionen notwendig sind.

Das Erheben von persönlichen Daten und deren Transfer verletzt diese Anforderung deutlich. Als CTO von Trend Micro ist es mir auch ein persönliches Anliegen zu sagen, dass wir als erster Hersteller Lösungen nach EICAR-Mindeststandard zertifiziert haben.

Trend Micros Geschäftsmodell besteht darin, unseren Kunden den bestmöglichen Schutz gegen Gefahren der IT-Welt zu verkaufen. Die Erhebung und Zweitverwertung von Kundendaten und deren Weiterverkauf gehören definitiv nicht dazu.

Letztendlich muss man sich die Frage stellen, auf welches Pferd man setzen möchte, welchen Preis man für eine Leistung oder Lösung zu bezahlen bereit ist.

Auf der einen Seite steht die kommerzielle Option mit einem klar definierten monetären Preis und entsprechender Leistung. Auf der anderen Seite zahlt man mit seinen Daten …