Die Datensicherheit der Schwächsten gewährleisten
Humanitäre Organisationen wie das in Genf ansässige Internationale Komitee vom Roten Kreuz arbeiten daran, ihre Arbeit zu digitalisieren. Damit wollen sie mehr Menschen in Not zu erreichen. Datenpannen könnten diese jedoch zusätzlichen Gefahren aussetzen. Ein neues Forschungsprojekt versucht zu helfen.
Im Dezember 2020 wurden im Irak mehrere Flüchtlingslager geschlossen. Plötzlich waren nach Angaben des Internationalen Komitees vom Roten Kreuz (IKRK) rund 240’000 Menschen in Gefahr, darunter viele Frauen und Kinder.
Als die Flüchtlinge aus den Lagern aufbrachen, versuchte das IKRK, nachzuverfolgen, ob sie in ihre Heimatregionen zurückkehrten, in andere Lager verlegt oder erneut vertrieben wurden.
Die einzige Form der Identifikation vieler Frauen gehörte dem Mann in ihrem Haushalt, der möglicherweise tot oder vermisst war. Falls sie einen offiziellen Ausweis besassen, fehlten in diesem häufig aktuelle Informationen, weil es in ihrem Gebiet kaum mehr funktionierende öffentliche Dienste gab.
Die Registrierung von Menschen, die in Situationen wie im Irak Hilfe erhalten sollen, führt laut IKRK oft zu Komplikationen. Dazu gehören auch doppelte Registrierungen. Oder es erscheinen andere Personen zur Abholung von Hilfsgütern als diejenigen, die dafür registriert wurden.
Technologische Lösungen könnten dabei helfen. Aber die Menschen, denen sie dienen, sind sehr verletzlich und könnten in grosse Gefahr geraten, sollten ihre Informationen in die falschen Hände fallen.
«Das IKRK setzt sich seit über 150 Jahren für den Schutz und die Unterstützung von Menschen ein, die von Krieg und Gewalt betroffen sind», sagt Nour Khadam-Al-Jam. Er ist Projektleiter einer neuen Initiative, die erforschen soll, wie Technologie Hilfsorganisationen helfen kann, ihre Aufgaben besser zu erfüllen. «Wir unternehmen grosse Anstrengungen, um sicherzustellen, dass wir in einer zunehmend digitalisierten Welt für ihre Bedürfnisse relevant bleiben.»
Lesen Sie hier die Geschichte der ersten weiblichen Delegierten des IKRK:
Mehr
Eine humanitäre Pionierin
Die Ende letzten Jahres gestartete 5-Millionen-Franken-Partnerschaft, bekannt als Engineering Humanitarian Aid Initiative, verbindet das IKRK mit Forschenden der beiden Eidgenössischen Technischen Hochschulen in Lausanne (EPFL) und Zürich (ETH).
Hilfeleistung optimieren
Die Bereitstellung von Hilfsgütern ist besonders anfällig für Betrug und Datenschutz-Verletzungen. Deshalb erforscht eine Forschungsgruppe der EPFL, wie biometrische Daten sicher genutzt werden können, um die richtige Hilfe an die richtigen Personen zu liefern.
Die Wissenschaftlerinnen und Wissenschaftler versuchen, einen Weg für die biometrische Identifizierung zu finden. Zum Beispiel mittels Fingerabdruck- und Gesichtsscans. So soll das System der Hilfsmittel-Verteilung effizienter und effektiver gestaltet und gleichzeitig die Privatsphäre der Empfängerinnen und Empfänger geschützt werden.
Die biometrische Identifizierung könnte eine ideale Lösung für Vertriebene sein, da ihre Fingerabdrücke und Gesichtszüge sie eindeutig identifizieren, sagt die leitende Forscherin Carmela Troncoso. Sie ist Assistenzprofessorin an der EPFL und Leiterin des Security and Privacy Engineering Lab, das die Technologie hinter der Kontaktverfolgungs-App «SwissCovid» entwickelt hat.
Anhand biometrischer Daten könnten die Helferinnen und Helfer erkennen, welche Menschen Hilfe benötigen und welche nicht, wer seine Vorräte bereits erhalten hat, welche Familien beispielsweise Lebensmittelvorräte mit Babymilch erhalten sollten und welche dies nicht benötigen.
Vorsichtig vorgehen
Die Biometrie sei für das IKRK zwar eine neue Überlegung, die Datenerfassung im Allgemeinen aber nicht, sagt Vincent Graf Narbel, strategischer Technologieberater des IKRK.
«Wir haben schon immer Daten über Menschen gesammelt», sagt er. So etwa bei der Dokumentation von Kriegsgefangenen im Zweiten Weltkrieg. Die Organisation sei dabei immer vorsichtig mit Daten umgegangen. Gleichzeitig anerkennt Graf Narbe, dass gute Technologie die Wirkung, Sicherheit und Effizienz erhöhen könne. «Es geht wirklich um Ausgewogenheit und darum, keinen Schaden anzurichten.»
Troncoso sieht für biometrische Daten zwei Problembereiche beim Datenschutz: Partnerschaften mit Dritten und zentralisierte Datenerfassung. In dem Moment, in dem die Daten in ein von Dritten entwickeltes System eintreten, kann das IKRK den Schutz nicht mehr garantieren, den es versprochen hat. Daher untersucht Troncoso, wie man solche aus der Gleichung entfernen kann.
Weil grosse Datenbanken anfällig für mögliche Datenpannen sind, hofft ihr Team, die Abhängigkeit von solchen Datenbanken zu vermeiden. Eine Möglichkeit wären lokale Speichergeräte. Sie verweist auf die Art und Weise, wie der Fingerabdruck zum Öffnen eines iPhones nicht in einer Datenbank, sondern im Gerät selbst gespeichert wird.
Auf diese Weise könnte eine Lösung entwickelt werden, um Hilfsempfängerinnen und -empfänger mit einem Gerät oder Token auszustatten, für dessen Zugang ein Fingerabdruck erforderlich ist und das einen Datensatz über die geleistete Hilfe abspeichern würde.
Doch Troncoso gibt auch zu bedenken, dass es kein Patentrezept für biometrische Sicherheit gebe. In Regionen, in denen Frauen aus religiösen Gründen ihr Gesicht bedecken, würde die Gesichtserkennung beispielsweise nicht funktionieren.
Daher macht ihr Team derzeit vor Ort eine Bestandsaufnahme jener Situationen, in denen ein biometrisches Identifizierungssystem Vorteile bringen könnte. «Nur dann können wir eine sehr gute, die Privatsphäre schützende Technologie schaffen», sagt sie und fügt hinzu, dass ein gewisses Risiko immer bestehen bleiben werde.
Persönliche Geräte oder Token könnten verloren gehen, gestohlen oder zur Bestechung verwendet werden. Dennoch schaffe Biometrie zusätzliche Sicherheit. «Es ist sehr wahrscheinlich, dass wir Betrug nicht vollständig eliminieren oder 100 Prozent Datenschutz bieten können», räumt Troncoso ein. «Das Problem zu lösen bedeutet, mögliche Schäden zu minimieren.»
System-«Hintertüren» in Hardware
Je mehr Daten gesammelt, gespeichert und genutzt werden, desto höher wird die Möglichkeit von Datenpannen – entweder durch menschliches Versagen oder durch Gruppen und Nationalstaaten, die auf Informationen und Systeme zugreifen wollen.
Zu den Problemfeldern gehören die Gewährleistung sicherer Hardware, sicheres Cloud Computing und sichere Kommunikation. Adrian Perrig, Professor für Informatik an der ETH Zürich, leitet ein Forschungsteam, das im Rahmen der Engineering Humanitarian Aid Initiative Lösungen für alle drei Bereiche finden will.
Erstens gibt es potenzielle Schwachstellen in der physischen Ausrüstung, die von humanitären Organisationen angeschafft wird. Es ist möglich, diese Hardware zu manipulieren, um eine so genannte Hintertür in das System einzubauen. Über eine solche können Unbefugte auf Daten zugreifen.
«Für einige Länder wäre es am billigsten, einfach die Hardware zu verwanzen, wenn sie ausgeliefert wird», sagt Perrig. «Das ist extrem schwer zu erkennen, selbst wenn man [die Hardware] öffnet und sich das ansieht. In manchen Fällen tauschen sie einfach nur den Prozessor aus, zum Beispiel mit einem verwanzten, der genau gleich aussieht.»
Mehr
Newsletter
Organisationen müssen sich auch darüber klar sein, wer möglicherweise auf Informationen zugreifen kann, wenn sie Daten in der Cloud statt auf lokalen Geräten speichern oder verarbeiten.
«Wenn Sie öffentliche Cloud-Anbieter nutzen, stehen diese typischerweise unter der Gerichtsbarkeit eines Landes. Und in einigen Fällen können die jeweiligen Behörden dann auf die Daten zugreifen, wenn sie das für nötig erachten», sagt Perrig.
Derzeit versuchen Hilfsorganisationen, wegen solcher Datenlücken die Nutzung von Cloud-Diensten von Technologieriesen wie Amazon und Google zu vermeiden. Aber sie hätten oft keine andere Wahl, da sie die Kosten niedrig halten müssten, so Perrig.
Solche Server seien in der Regel die günstigste Option. Sein Team arbeitet auch an Möglichkeiten, Cloud-Umgebungen anzubieten, die sowohl sicher als auch kosteneffizient für Unternehmen wie das IKRK sind.
Gefahr des Abhörens
Das ETH-Forschungsteam arbeitet auch an einer sicheren Technologie, die das Abhören der Kommunikation verhindern soll. «Selbst wenn man alles verschlüsselt, ist es immer noch möglich, zu lauschen und Teilinformationen herauszufiltern», sagt Perrig.
Sein Team habe dabei schon einige Fortschritte gemacht. «Wir haben eine Möglichkeit, die Daten auf verschiedenen Wegen durch die Welt zu schicken», sagt Perrig. «Wenn jemand auf einem Pfad zuhört, kann es sein, dass er oder sie so nicht alle Informationen erhält.»
Die zweijährige Zusammenarbeit zwischen seinem Team und dem IKRK soll den Forschenden eine Vorlage dafür liefern, wie man «für humanitäre Organisationen auf eine wirtschaftlich sinnvolle Weise eine sichere Kommunikation erreichen kann, die nicht von einem einzelnen Nationalstaat abhängig ist, der auf diese Daten zugreifen könnte», sagt der ETH-Professor.
Aber er gibt zu, dass die Kommunikation «fast nie risikofrei» sein werde – weil sie immer auch von der technologischen Stärke des Gegners abhänge.
Die erste Phase der Engineering Humanitarian Aid Initiative umfasst vier weitere Forschungsbereiche
- Die Grösse gefährdeter Bevölkerungsgruppen anhand von Satellitenbildern und Social-Media-Posts bestimmen
- Die Verteilung medizinischer Ausrüstung verbessern
- Eine nachhaltige Entwicklung für die humanitäre Infrastruktur schaffen
- Desinformation in sozialen Medien bekämpfen
Ein Aufruf zur Einreichung von Forschungsvorschlägen für die zweite Phase der Initiative endet im Juli. Die Forschungsprojekte werden zwei Jahre lang dauern.
(Übertragung aus dem Englischen: Christian Raaflaub)
(Übertragung aus dem Englischen: Christian Raaflaub)
In Übereinstimmung mit den JTI-Standards
Einen Überblick über die laufenden Debatten mit unseren Journalisten finden Sie hier. Machen Sie mit!
Wenn Sie eine Debatte über ein in diesem Artikel angesprochenes Thema beginnen oder sachliche Fehler melden möchten, senden Sie uns bitte eine E-Mail an german@swissinfo.ch