IT-Experten: Mangelndes Sicherheitsbewusstsein trotz hoher Expertise?
Menschen mögen Filter anscheinend sehr. So sehr, dass nach Angaben von Social-Media-Plattformen wie Facebook, Instagram und Snapchat hunderte Millionen Nutzer Fotos mit Filtern posten. Die Apps unterstützen diesen Trend nur zu gern mit einer Flut auffälliger Filter, mit denen wir uns auf verschiedenste lustige, surreale und bizarre Arten sehen und zeigen können: als pelzige Geschöpfe mit riesigen Augen, in einem Rahmen aus Herzen und Schmetterlingen, mit professionell geschminktem Gesicht oder 50 Jahre älter. Laut einem Bericht des MIT Technology Review sind nicht etwa Spiele oder das viel gehypte Metaverse die häufigste Anwendung von Augmented Reality, sondern tatsächlich Social-Media-Filter.
Eine der revolutionärsten Technologien der letzten 20 Jahre – und wir nutzen sie, um uns in Zeichentrickprinzessinnen zu verwandeln. Doch das ist bei weitem nicht das Verstörendste an unserer Begeisterung für Filter. Was viele Benutzer von Filtern für harmlose, lustige Spielereien halten, ist für App-Entwickler eine einfache Methode, wertvolle biometrische Personendaten zu sammeln, die gespeichert, verkauft und auch missbraucht werden können.
Die zunehmende Verwendung biometrischer Daten
Was sind biometrische Daten überhaupt? Die meisten von uns nutzen ganz selbstverständlich biometrische Daten, auch wenn wir die Technologie dahinter nicht wirklich verstehen. Jedes Mal, wenn Sie Ihr Smartphone per Gesichtserkennung oder Fingerabdruck entsperren, ist das Biometrie. Genauso, wenn Sie sich beispielsweise per Face ID auf Ihrem Handy in Ihr Bankkonto, eine App oder andere Services einloggen.
Biometrie umfasst sowohl körperliche und Verhaltensmerkmale, die für jeden Menschen einzigartig sind – Gesichtszüge, Netzhaut- und Fingerabdruckmuster, Tastaturanschlagsdynamiken – als auch die statistische und analytische Verwendung dieser einmaligen Merkmale zu Identifizierung oder Identitätsbestätigung einer Person. Auf unseren Geräten sind unsere biometrischen Daten z. B. als Gesichtsvermessung, Gesichtssignatur oder biometrische Schablone der Papillarlinien unserer Fingerkuppen hinterlegt.
Die Nutzung biometrischer Daten hat stark zugenommen, im Sicherheitsbereich und darüber hinaus. Das hat gute und schlechte Seiten. In der Medizin werden biometrische Daten beispielsweise für die Früherkennung von Krankheiten wie Parkinson (über eine Analyse der Tastaturanschläge) eingesetzt. Die Anwendung von Gesichtserkennungssoftware zur Identifizierung und Auffindung von Straftätern geriet hingegen stark in die Kritik, als sich herausstellte, dass diese Systeme häufig BIPoC diskriminieren.
Mit der Einführung von Apples Face ID 2017 wurden biometrische Daten mehr oder weniger zu einem massentauglichen Mittel für Identifizierung und Authentifizierung. Das ist auch keine grosse Überraschung. Schliesslich ist das Einloggen in Geräte und Accounts mit einem Scan unseres Gesichts oder Fingerabdrucks nicht nur einfacher, sondern auch sicherer, denn die Daten sind uns eindeutig zuzuordnen, sicher und verschlüsselt auf unseren Endgeräten gespeichert und für Dritte nicht zugänglich. Oder stimmt das so gar nicht?
Wie Online-Apps biometrische Daten verwenden und warum das Grund zur Sorge ist
2021 zahlte TikTok zur Beilegung einer im US-Bundesstaat Illinois angestrengten Sammelklage 92 Mio. US-Dollar. Die Kläger erhoben den Vorwurf, dass die App künstliche Intelligenz zur Erkennung und Analyse körperlicher Merkmale in Nutzervideos einsetzte, um Alter, Ethnie und Geschlecht zu ermitteln. Diese Daten wurden dann anscheinend für gezielte Inhaltsvorschläge herangezogen. Obwohl die Vorwürfe nie offiziell bewiesen wurden, da es zu einer aussergerichtlichen Einigung kam, wäre die Verwendung biometrischer Daten durch Apps zu Werbezwecken kein Einzelfall.
Vor einigen Jahren erhob Illinois eine Sammelklage gegen Facebook wegen Verstosses gegen den 2008 erlassenen Biometric Information Privacy Act des Staates, da das Unternehmen biometrische Daten ohne Zustimmung der Nutzer erhoben und gespeichert hatte. Das Unternehmen stimmte vor einigen Monaten einer Schadenersatzzahlung an betroffene Nutzer in Höhe von insgesamt 650 Mio. US-Dollar zu, um den Rechtsstreit beizulegen.
Und es ist nicht nur Illinois: Der oberste Staatsanwalt von Texas strengte vor wenigen Monaten ebenfalls eine Klage gegen Meta bezüglich der Verwendung von Augmented-Reality-Filtern auf Instagram an, die anscheinend biometrische Daten sammeln und speichern. Instagram reagierte, indem die Filter zeitweise deaktiviert wurden, aber schon kurz darauf wieder zur Verfügung standen, nur dass die Nutzer der Verwendung nun zustimmen müssen.
Das löst das Problem jedoch nicht wirklich, gerade weil viele Nutzer gar nicht genauer wissen wollen, was mit ihren biometrischen Daten passiert, wenn sie Apps Zugriff darauf geben.
Die App Perfect365 ist ein hervorragendes Beispiel. Mehr als 100 Mio. Nutzer probieren mit der Augmented-Reality-Plattform verschiedene Make-up-Stile und Frisuren aus. Die App arbeitet mit Hunderten von Marken zusammen, um dieses virtuellen Kosmetikstudio möglich zu machen. In den AGB erklärt das Unternehmen auch freiheraus, wie biometrische Daten analysiert sowie individuelle Gesichtsmerkmale gesammelt und gespeichert werden. Erschreckend ist jedoch das ungeschminkte (no pun intended) Eingeständnis in der Datenschutzrichtlinie, dass umfassende Datensätze inklusive vollständiger Namen, biometrischer Daten, Standortdaten etc. auch an Dritte verkauft werden. Noch besorgniserregender ist, dass die Erhebung und Nutzung biometrischer Daten im Zustimmungsmenü für die Nutzer nicht explizit erwähnt wird. Das verstösst klar gegen EU-Datenschutzvorschriften und auch die wenigen Datenschutzgesetze, die es in den USA gibt.
Wie können Sie sich und Ihre Daten schützen?
Bisher zeigen die europäischen Datenschutzbehörden nur wenig Interesse an einer Verfolgung derartiger Verstösse. Dank lokaler Initiativen wie Reclaim Your Face erhält der zügellose Missbrauch biometrischer Daten in Europa aber zumindest mehr Aufmerksamkeit. Die Bewegung überzeugte „führende MEPs aus fünf europäischen politischen Gruppen, im Entwurf des KI-Gesetzes ein vollständiges Verbot biometrischer Massenüberwachung zu fordern“.
Zudem können wir als Einzelpersonen entscheiden, welche Daten wir teilen und wie sie verwendet werden dürfen. Zusätzliche Vorkehrungen umfassen zum Beispiel die Installation von Tracking- und Werbeblockern auf allen Geräten. Diese Tools verhindern, dass installierte Apps oder Webbrowser persönliche Daten für Dritte freigeben. Ausserdem kann man einen VPN-Client (Virtual Private Network) installieren, der eine verschlüsselte Verbindung für Onlineaktivitäten bereitstellt sowie IP-Adresse und Standort verbirgt.
Zwar ist es verlockend, in der Flut von Zustimmungsanfragen bei der Installation einer neuen App oder beim Besuch einer Website einfach „Alle akzeptieren“ zu klicken, doch im Interesse Ihrer Sicherheit sollten Sie beim Datenschutz methodisch vorgehen. Schauen Sie sich genau an und überlegen Sie, zu was Sie da eigentlich zustimmen und ob Sie bestimmten Apps und Websites wirklich vertrauen können. Es mag uns schwerfallen, aber manchmal ist es einfach sicherer, kein Foto von sich als sprechende Pizza zu machen.
