 So, hallo. Wir haben heute den Vortrag Technologien für und wieder die digitale Souveränität. Allerdings nur mit zwei der drei angekündigten Sprecher. Allerdings haben wir natürlich immer noch ausreichend akademische Feuerkraft am Start. Wir haben Professor Volker Grasmuck von der Uni Lüneburg und Rüdiger Weiß von der Bauhochschule für Technik, Moment, Moment, Moment, Moment, Moment, Moment, Moment, Moment von der Hochschule für Technik, Berlin Bauhaus der Stefan Lukke, Stefan Lukks, ist leider nicht da, auch wenn er die coole Universität hat. So bitte ein Applaus für unseren Sprecher. Also ja ist immer noch auf. Ja, ok. Vielen Dank für die freundliche Einführungen, wie gesagt, das sind gemeinsame Arbeit zwischen mir, Stefan Lukks und Volker Grasmuck Und wie ihr vielleicht gemerkt habt, Technologien für und wieder die digitale Souveränität. Das ist ein bisschen komischer Vortragstitel und damit habt ihr natürlich recht. Der Titel ist auch der selbe Titel einer Ausschreibung des Bundesministerium für Justiz und Verbraucherschutz. Und die wollten halt Informationen über digitale Technologien haben und da haben wir gesagt, da schicken wir mal es hin und erfreulich oder vielleicht sogar ein bisschen überraschenderweise haben wir da die Ausschreibung gewonnen. Und wir möchten jetzt heute hier zusammen mit meinem Kollegen Volker Grasmuck einige Teilaspekte da nochmal beleuchten. Wir haben viel so viel Folien, wir werden an einigen Stellen vielleicht etwas zu schnell sein. Wir verweisen aber da gerne drauf und da möchte ich auch im Ministerium danken, dass im nächsten Frühjahr diese Studie durchaus auch veröffentlicht wird. Und das in einigen Details natürlich etwas ausführlicher da. Trotzdem gibt es eine ganze Reihe von Sachen, wo in diesem Jahr wirklich die Sache sehr stark eskaliert ist. Und wenn wir, wie wir auch schon Jahrzehnte lang die Sache angucken, ist es trotzdem ein Punkt, wo ich sage, es sind einige Sachen da, die so wichtig sind, dass wir sie jetzt grundlegend diskutieren müssen. Und relativ gleich am Anfang wäre ich durchaus an einer Stelle, nämlich wenn es um die Sicherheit des Internet der Dinge geht, durch Auspositionen vertreten, die ich irgendwie über den letzten 20, 30 Jahre so nicht vertreten habe. Und daran erkennt ihr vielleicht doch, dass die Sicherheitslage da doch durchaus etwas bedrohlich gewonnen ist. Also kein Vortrag in den letzten 15 Jahren ohne auch einen Bezug auf Microsoft. Der wird jetzt auch ein bisschen freundlicher darstellen. Ihr werdet gleich aber merken, warum das freundlicher ist. Das wird vielleicht auch nicht allen gefallen. Und nochmal wirklich grundsätzlich zu diskutieren, wie geht man auch gesellschaftlich mit den Entwicklungen auf. Wir können uns bemühen, einige technischen Entwicklungen gesellschaftlich vorauszusagen, also die Auswirkungen von technischen Entwicklungen auf gesellschaftliche Entwicklung. Wir können auch arbeiten, sagen wir mal, Technologien zu präsentieren, die politisch gestalten ermöglichen. Aber an einigen Stellen müssen wir halt wirklich die aktuelle Situation mal vorführen. Und das ist in der Tat nicht besonders lustig. Oder wie Spurschneier formuliert hat, es ist irgendwie ein bisschen das Ende von Spaß und Spiel. Ich vergleiche da immer ganz gerne von Ron und Frank, die Talk Security Nightmare aus dem letzten Jahrtausend. Und wenn ich irgendwie sage, warum haben wir Probleme mit Internet der Dinge, ist eine relativ einfache Schlussfolgerung. Computers sind hackbar. Wenn man Computer ans Netz hängt, sind sie übers Netz hackbar. Eingebettete Systeme sind überraschenderweise Computer. Und jetzt kleine Übungsaufgabe, kann man dann relativ einfache Schließen finden, dass wir natürlich, wenn wir eine intelligente Thermostat-Steuerung haben, einen vollwertigen Computerteil neben einem Internet haben, wo sich halt natürlich Leute auch unter Umständen von draußen drastisch interessieren. Und nochmal, Bruce Schneier hat es auch zu formuliert, man muss es ganz klar hat, es ist ein eklatantes Marktversagen. Das hängt damit zusammen, die embeddeden Geräte werden in großer Stückzahl verkauft zu kleinen Preisen und stecken dann in den System lange Zeit drin, ohne dass jemand Sicht vor Augen führt, dass das ein angreifbarer Internetrechner ist. Dadurch haben wir Sicherheitsdisaster, die wirklich albtraumatisch sind. Noch einmal ein kleiner Hinweis, dass 900.000 Telekom-Kunden aus dem Netz geflogen sind, war Ergebnis eines total dilettantischen Programmierers. Wir müssen davon ausgehen, dass, wenn Leute nicht komplett auf den Kopf gefallen sind, wir wirklich Millionen und Abermillionen Geräte da draußen haben, die jederzeit für Angriffe genutzt werden können. Und da habe ich mir mal erlaubt, wirklich darauf hinzuweisen, ich sage jetzt nicht, dass ihr damit rechnen müsst, dass demnächst eine Drohne in euren Kühlschrank einschlägt. Bloß, wenn sich euer böser, böser Kühlschrank an einem Angriff gegen US-Militärsysteme beteiligt, dann ist es nach der aktuellen Rechtslage ein kriegerischer Angriff, wo die amerikanische Regierung das Recht hat, da Militärrecht darauf zu reagieren. Ich weiß nicht, ob sie das machen. Wir haben ja großes Vertrauen in die Klugheit und abwägende Haltung der amerikanischen Regierung schon seit Jahrzehnten. Das ist also wirklich ein Punkt da, wo ich sage, wir müssen da einige Sachen neu denken. Und mir hat es wirklich die nächsten drei Folien, die gar nicht so grimmig aussehen, haben wir wirklich fast schon schlafenose Nächte bereitet. Denn unsere Forderung zu sagen, wir brauchen sowas wie ein TÜV, eine Herstellerhaftung und so weiter, sind natürlich Sachen, die unter Umständen auch uns, in Hacker-Szene und Open Source-Developer-Szene durchaus behindern können. Also insofern habe ich mir das nicht reicht genommen und das war auch ein Ergebnis sehr umfassender Diskussion, die da stattfindet. Wir formulieren das möglichst wenig ausgreifend, aber wir sagen, wir brauchen eine Definition der Lebenszeit der Geräte und wir brauchen für die Lebenszeit Garantien, dass diese Sicherheits-Updates zur Verhübung gestellt werden. Zweitens, wir müssen dafür sorgen, diese Dinger kosten 3, 4 Euro, Thermostat, intelligente Sachen und sind dann möglicherweise über Jahrzehnte drin. Das ist ein sehr schnell-lebischer Markt, insofern verschwinden da auch Hersteller. Insofern ist wirklich ein Albtraum und das müssen wir ja nicht philosophieren. Es gab den Fall von der chinesischen Kamera, wo teilweise aus dem Markt genommen ist. Wir müssen damit rechnen, dass die Firmen schlicht und einfach nicht mehr existieren und wir dann Systeme dran haben, die wir nicht mehr retten können. Insofern fordern wir eine wohl definierte Lebenszeit. Da haben die Leute dann auch marktwirtschaftliche Freiheiten, das vernünftig zu wählen. Anschließend müssen wir allerdings sagen, wenn ihr das nicht mehr macht, dann veröffentlicht die als Open Source, damit wenigstens andere sich drum kümmern können. Und wie gesagt, dann noch vielleicht der kritischste Punkt, das wir nicht auch zur Diskussion bringen können. Da diese Firmen relativ schnell verschwinden unter Umständen, haben wir uns auch nach einigen Schmerzen gesagt, wir fordern auch eine Hinterlegung des Source-Codes bei drei Händern, die in dem Falle, dass die Firma pleite geht, halt einfach sagen können, okay, jetzt tun wir die Sachen als Open Source zur Verfügung stellen und ermöglichen wirklich in irgendeiner Weise die Sache zu fixen. Also sofern vielleicht hier auch nochmal der Punkt, der in den alten Vorträgen auch da war, Open Source ist wirklich ein Teil der persönlichen Souveränität, weil wir sonst nicht wissen, was für komische Sachen unser Kühlschrank mit der Kaffeemaschine macht. Also sofern brauchen wir wirklich bei Geräten, die nachher, und nochmal, man muss jetzt gar nicht mit US-Drohen rechnen, aber wenn die Nine-of-Service-Angriff ist und dann irgendein Abwehrmechanismen dann das Netz platt macht, dann ist es durchaus nicht unüblich. Und wenn diese Geräte am Netz halt irgendwie unsere Heizung steuern, dann kann das unheimlich unlustig sein. Es gab gerade gestern noch in dem Vortrag nochmal Verweis auf diese finnische Heizungssysteme, wo die Nine-of-Service auf diese Messfühler dazu führte, dass Arme in den Kalten saßen, dann ein ziemliches Weichen. Also alles nur beschränkt lustig. Kommen wir zu der generellen Diskussion geschlossen und offene Sicherheitsarchistekturen und ich habe versprochen, dass Microsoft auch hier geährt wird. Und ich habe was gelernt, nämlich die schöne Bezeichnung eine Security-Feature Bypass-Vulnerability, also eines Sicherheitsfeatures um Gehungsverletzlichkeit. Was ist da passiert? Nichts Aufregendes. Nur dass irgendwie möglich ist, dass ein Angreifer, der irgendwie physikalischen oder als Adminzugreff zu dem System hat, die Möglichkeit hat, die Integrität-Techs abzusetzen, beliebige Sachen auszuführen. Moment, es geht sogar noch weiter. Die Secure-Boot zu deaktivieren, die Validity-Techs zu machen, den Bit-Locker anzugreifen, die Device-Encryption zu machen. Eigentlich glaube ich, ohne jetzt also sehr Microsoft nahezudrehen, so gut wie alles, wenn ich nicht so richtig missteu. Es wurde nach einer Zeit geplecklisted, aber da gibt es auch noch Nachfolgeschwerzen. Wie gesagt, aus Zeitgründen will ich jetzt hier nur einmal darauf hinweisen, dass es durchaus Firmen gibt, geschlossene Systeme, die eine Sache möglicherweise, und das ist halt für Hacker schon mal ein bisschen sehr schräg, halt ein kleines Datenpaket sorgt dafür, dass die Sicherheitsinfrastruktur umfassend umgegangen werden kann. Aus dem Grund muss ich sagen, ist Handlungsbedarf noch aus einem ganz banalen Grund, ist Handlungsbedarf, zum Beispiel diese Trusted Computing-Infrastruktur baut auf 2048 Bit Schlüssellänge aus. Das ist nach BSI selbst vermittellang laufende Anwendung ja keine gute Idee. Also wir brauchen alternative Vertrauensange, habe ich die letzten Vortrags schon gemacht. Und was ich interessant finde, ist, dass Microsoft relativ clever reagiert. Einer der letzten Vordrücken habe ich relativ massiv darauf hingewiesen, dass wenn Microsoft die Daten in Amerika speichert, wir einen Datenzugriff Albtraum haben. Und Microsoft hat es scheinbar angehört, sicher auch noch andere Quellen, und hat dieses von vielen belächelte Projekt gemacht, mit der deutschen Telekom eine deutsche Glaub zu schaffen. Das Interessante ist, das geht im Moment geschäftsmäßig komplett durch die Decke. Da ist ein riesiges Bedarf, ein Vortrag von einem CEO von Microsoft da, der durchaus gesagt hat, dass also nach kürzester Zeit ihr Rechenzentrum im Ostdeutschland massiv verdoppeln muss. Okay, insofern ist interessant, dass Microsoft auch durchaus eine Bereitschaft signalisiert hat, der alternative Vertrauensangar in das System zu bringen, was ermöglichen würde, für Firmen und staatliche Stellen halt anders auszuweichen. Natürlich ist wahrscheinlich da nicht unser Druck relevant, sondern einfach die Tatsache, dass zum Beispiel Russland und China Microsoft mit ähnlichen Begründungen einfach aus ihren Beschaffungsanträgen rausgestrechen hat. Also insofern ist das, glaube ich, ein ganz spannender Punkt. Im nicht staatlichen Bereich haben wir, glaube ich, gute Erfahrungen mit gemeinnützigen Studien, z.B. auch Stiftungen wie zum Beispiel auch ICA. Hier jetzt gleich nochmal ein Sprung in die Technik, zumindest ist es mal ein bisschen grob, zu zeigen. Wir haben Techniken, wo man Vertrauen teilen kann. Wir haben Sero-Knowledge-Sache, wir haben Secret-Cheering-Sachen, und das sind nicht nur akademische Sache, das wird z.B. beim DNS-Rootkey durchaus durchgeführt. Das sind total lustige Veranstaltungen mit irgendwie waschend spirituellen Schlüsselzusammenfügungen, aber es funktioniert. Also wir können als Kryptografen da durchaus Techniken liefern, die man sagt, wenn wir Vertrauen verteilen, dann können wir euch da helfen. Kommen wir zu einem gruseligen Quiz. Erich Schmidt hat 2011 erklärt, die haben eine Technologie gebaut, die ist ganz fantastisch, aber es ist die einzige Technologie, die Google jemals entwickelt hat und dann gesagt hat, das ist uns zu gruselig. Wir verwenden die nicht. Habt ihr eine Idee, was das sein könnte? Ja, ich wäre eigentlich auch nicht draufgekommen. Ehrlich gesagt, also die Vorschläge, dass Google irgendwas entwickelt, was total toll läuft und sie das dann nicht so verwügen stellen, das ist, das Zitat hat mich selber dann aus der Rolle geschubst, obwohl ich eigentlich es genauer von der anderen Seite hier mich genähert habe. Es geht um Gesichtererkennung. Und da sind ein paar Dynamiken da, die sind gruselig. Also in der ersten Aussage, wir wussten ja, dass er NSE und so weiter an Gesichtererkennung macht. Das bedeutet, dass er Demonstrationen abfilmen und die Leute haben. Wir haben vielleicht in England ein großes FROG-Festival, wo du rein lämpelst und mit HD die Gesichter raus sich und genau weißt, wo die sind. Noch einmal, das ist das Aufregende und das großartige an Sachen. Technologien, die die Geheimdienste haben, haben früher oder später auch Hacker und damit vielleicht zwei Jahre später auch wirklich die normale Bevölkerung. Und das kann wirklich gruselig werden. Es gab ein russisches Kunstprojekt, wo ein Künstler dann gemeint hat, Leute, damit kann man ja alle Leute erkennen. Und was passiert dann halt in dem Internet? Das russische Tutschahn gab es ein paar Leute, die sind hergegangen und haben pornografische Filme genommen oder Sexarbeiterseiten und haben die Damen dort de-anonymisiert und massiv gestorgt. Und zwar mit Skripten. Das bedeutet wirklich eine eklatante Gefährdung und es trifft hier auch homosexuellen Demonstrationen, auch normale Oppositionssache. Dieser Verlust an Privatsphäre ist eine Sache, wo man erstmal sich hinsetzt und dann auch langsam versteht, warum Google da auch ein bisschen Angst gekriegt hat bei der Sache. Und wenn man sich dann heute Entwicklungen anguckt, möchte ich aus Zeitgründen auch nur auf einen exzellenten Artikel auf Netzpolitik von Anna Bezelli verweisen, die auch wirklich deutlich aufgeschlüsselt hat, dass insbesondere für transsexuelle Sexarbeiter die Anonymität wirklich überlebensnotwendig ist. Um es nochmal ganz klar zu sagen, es gibt genug Länder, wo nicht nur Beteiligung an der Sexarbeit mit drakonischen Strafen belegt ist, sondern homosexuelle noch einmal per Grunddefinition mit Strafrecht verfolgt werden. Und man kann sich überlegen, was das dann für Leute bedeutete, die in beiden Gruppen da sind. Aus dem Grund haben wir auch da relativ klar Position bezogen und zwar jetzt nicht, weil ich eine Diskussion einsteigen will, die politisch recht unerfreulich läuft, sondern einfach mal wirklich zu sagen, wenn wir Leute schützen müssen, dann müssen wir erkennen, dass erstens Datenbanken immer wieder verloren gehen. Ich kann keine Datenschutzzusicherung von der Bundesregierung glauben, die nicht mal ihr eigenes Parlament gegen Angriffe schützen kann. Und aus dem Grund muss man einfach auch mal als Hacker sagen, wenn wir Daten nicht schützen können und die Menschenleben gefährdet, dann dürfen wir die nicht erfassen. Das ist eine klare Ansage. Wir haben uns nach nicht besonders einfach gemacht, hier Klarstellung zu nehmen, aber uns war es wichtig, das zu nochmal zu sagen, diese Rosa-Listen- oder Sexarbeitregister, die übrigens das letzte Mal unter dem Nationalsozialismus relevant waren, sollte man auch mal vielleicht kurz erwähnen, gefährden ganz eminent real existierende Menschen. Gitto ist es auch, die Sache Pflichtberatung und auch die Anonymitätbeschädigten. Hier können wir sogar etwas helfen und sagen, es gibt durchaus, dazu komme ich im letzten Teil, Attestationsmethoden, Leuten anonyme Sachen zu scheinen. Das bedeutet, sie gehen irgendwo hin, lassen sich eine Bescheinigung ausstellen und der Ausstellende weiß nicht, welche Identität sie haben. Also wenn die Leute wirklich Schutz anzunehmen wollen, ist das hier ein Punkt, wo sie selbst bei der im Moment unbefriedigen Gesetzlage hier weitergehen können. Auch nochmal der Sache Ausweispflicht ist abzulehnen. Hier wurde durchaus berücksichtigt, dass hier Pseudonyme verwendet werden sollen. Trotzdem produzieren nicht mehr halt Pseudonyme. Die können wirklich mit den ganzen Verfahren angegriffen werden und sagt jetzt nicht, dann ladet halt keine Bilder auf Facebook oder wie bei den Russen der Fall war, auf das russische Facebook hoch. Es gibt genug andere Leute, die die Bilder hochladen. Insofern, wir müssen einfach wahrnehmen, dass anonyme Ausweise mit einem Bild inzwischen nicht mehr anonym sind. Und dann müssen wir halt gucken, wie wir da raus weitergehen. Wir haben allerdings dann auch noch eine weitere Empfehlung. Wenn die hier Massenraten erhoben werden, halten wir das auch für problematisch. Wenn die Leute sich nicht durch gute Beratung von Verfassungsrichtern, vom Bundesrat und von allen Leuten, die im Sozialbereich sind, überzeugen lassen, nehmen wir das verärgert zur Kenntnis, weisen aber darauf hin. Auch hier haben wir durchaus Techniken, die hier helfen, nämlich maßgeblich die sogenannte differential privacy. Das ist eine Technologie, die ermöglicht, statistische Daten auszuwerten und trotzdem einen gewissen Schutz der Privatsphäre zu haben. Das sind Arbeiten von Frau Cynthia Drogg, von Microsoft von 2006. Die sind sehr mächtig, ist schöne Mathematik, ist nicht so schwierige Mathematik wie in Bereich der Zahlentheorie, ist durchaus, wenn man sich hinsetzt, nachvollziehbarer Statistik. In unserer Studie werden wir da auch konkrete Parameter angeben, die wir empfehlen. Oder hier nochmal das deutliche Zitat von Stefan Lux, wer vertrauliche Daten in statistischen Datenmang verarbeitet, ist gut beraten, die Vertraulichkeit mit diesem Ansatz zu unterstützen. Also nochmal hier, vielleicht auch überraschend für mich, durchaus großes Lob hier für Microsoft Resort. Die haben da wirklich sehr gute Arbeit gemacht. Das ist jetzt seit zehn Jahren raus. Die Mathematik ist so wirkungsvoll, aber nicht so weit weg von der normalen Mathematik, die man unterrichtet. Also es hat keine Forschungsmathematik. Das wird es eigentlich relativ gut nachvollziehen. Und wie gesagt, in der Studie geben wir ja durchaus ein paar Parameter-Empfehlungen. Gut, kommen wir zum Abschluss zu wirklich den erfreulichen Sachen. Was kann man denn mit Kryptografie noch erreichen? Und was ich wirklich hier auch nochmal voraustelle, ist die sogenannte Anonyme Artestation. Das ist eine Kombination von sogenannten Blindensignaturen und Zerronology-Techniken. Wenn wir die kombinieren, können wir zum Beispiel, das komme ich gleich später, im Bereich Trusted Computing durchaus garantieren, dass ein System gewisse Sicherheitseigenschaften hat, ohne die Identität des Systems aufzudecken. Blindensignaturen vielleicht nochmal erklärt. Da ist die Magie, dass man in der Lage ist, also Alice verschlüsselt ein Dokument, gibt es Bob zum Unterschreiben. Bob unterschreibt die verschlüsselte Fassung. Mit einem zusätzlichen Wissen ist Alice dazu in der Lage, aus dieser Unterschrift unter der verschlüsselten Fassung eine Unterschrift auf die Originaltextdatei zu erhalten, oder die Textdatei, allgemeine Datei. Und hier nochmal ist beweisbare mathematische Sicherheit. Wenn das Dokument ohne gültige Unterschrift gegeben ist, kann nicht mal der Bob, der die Signatur generiert hat, erkennen, wann genau dieses Dokument und verbindes Dokument unterschrieben wurde. Gut, dann noch eine kleine Werbeeinblendung. Ich habe mit einem meiner Masterstudenten mal daran gearbeitet, blindes Signaturen auch für eliptische Kurven, Kryptosysteme zu machen. Und er hatte auch einen sehr schönen Hack gemacht, das in oben ein PGB einzubringen. Der Tor ist hier leider nicht angenommen worden. Insofern sei mir dies eine Schmuckelfolie hier erlaubt. War allerdings auch auf der Open-Tech-Konferenz. Wir sind ja Hacker insofern ist. So ist es meistens besser, als der Originaltext hier den Code angucken. Und wir sind da auch sicher offen auf Rücklauf. Wie gesagt, ich habe durchaus kritische Anmerkungen zu eliptischen Kurven. Das ist ja auch ein Teil, wo man die ganz gut einsetzen kann. Sirenolisch-Protokoll ist die Idee, dass man über ein bestimmtes Wissen verfügt und das allerdings nicht preisgeben muss. Ich habe eine Sache vergessen, 1983. Und das andere war 1982. Warum ist das relevant? Die waren teilweise patentiert, die Algorithmen und die Patente sind ausgelaufen. Das kann jetzt völlig patentfrei verwendet werden. Weil die Patente schlicht und einfach ausgelaufen sind. Okay, also nochmal Prastic Computing. Findet ihr den Direct Anonymous Attestation? Da gibt es auch von Stefan und mir eine Analyse schon, glaube ich, auch von 2004 oder so. Inzwischen gibt es weitere Ergebnisse. Es gibt auch beide bessere Verfahren. Auch hier noch mal einen Hinweis im kleinen Signature- und Identitätsmanagement. Es gibt sehr beeindruckende Arbeiten auch von Microsoft, namentlich von Stefan Braans. Also wer da mal nachgucken will, das ist wirklich die Möglichkeit zu sagen, wir haben hier Mathematik und wir können mit der Mathematik Leute schützen. Und das ist wirklich ein Ding, wo ich wirklich Leute einladen, da mal zu schauen, ob sie da nicht sich die Mathematik mal angucken. Die ist relativ übersichtlich noch in dem Bereich. Und dann schlicht und einfach Software produzieren, die da den Welt ein bisschen besser machen kann. Ich bin ein großer Fan von Heschfunktionen, insbesondere nachdem ich letztes Jahr diesen guten Vortrag von DJB und Hania Lange gehört habe, zu Post-Quanten-Gryptografie. Und was ich mitgenommen habe, ist das, was wir wirklich verstanden haben, sind sogenannte Merkles-Signature und die basieren auf Heschfunktionen. Und das ist eigentlich faszinierend, dass diese selbst gegen Quantencomputeranggriffe äußerst robust sind. Deswegen können wir durchaus einige Ideen von Bitcoin und der Blockchain, damit ich das Wort auch mal getroppt habe, anschauen, nämlich, dass wir durchaus Heschfunktionen als Bildungsburg verwenden. Das haben wir verstanden insbesondere, weil wir nur relativ schwache annahmen. Da machen in der Regel die Einweg-Eigenschaft sogar zentraler. Natürlich braucht man für alles, was man ernsthaft noch, auch die Kollisionsfreiheit. Aber da haben wir Heschfunktionen da. Ein cooler Hack von Bitcoin ist, die Leute sind gute Kryptografen. Insbesondere wissen sie, dass sie nicht alles wissen. Insofern hächen sie an allen möglichen Stellen zweimal oder kombinieren zwei Heschfunktionen hintereinander. Und das ist wirklich schöne russische Weltraumtechnik. Es hält. Nein, ich fühle mich damit besser. Es ist nicht in keiner Weise despektierlich zu sagen, ich habe irgendwie mal gelästert, wenn ich das machen würde, würde ich hier noch ein bisschen drehen und da noch ein bisschen drehen. Das ist das, was die machen so, dass sie nie mal erklären müssen, warum das sicherer ist, sondern die machen das ein bisschen langsamer, aber dennoch dann ungeheuer robust. Zum Abschluss möchte ich auch nur diese kurze Folie noch mal sagen. Das ist eine Folie, die ich auch den Ministerien relativ massiv gesagt habe. Wir haben die Art, wie wir produzieren, haben wir eine Reihe von Software, die systemimmanent relevant ist. Also wenn die auseinanderfliegt, haben wir Probleme. Und das ist, zum einen, Truggrüpp und Terrakrüpp. Ich will aber nur mal auf DPG eingehen, Leute, das ist nicht nur dieses niedliche Tool, mit dem man Sachen signieren kann. Darauf baut die gesamte Update-Verwaltung im Linux-Bereich an. Und wenn wir wissen, dass Linux eine komplette Durstringung hat im Bettsystemmarkt, ist wirklich die Situation, dass DPG ordentlich geführt werden wollen, wirklich systemrelevant. Weil wenn das wegbricht, dann haben wir wirklich die Grundtechnik, um irgendwelche Updates anzustehen, auf einmal verloren. Abschließend wollen wir, bevor ich mit Freude folge, das Wort ergeben, der einen Schwerpunkt auf Scoring macht, auf eine sehr spannende Sache, die wir da zusammen angeguckt haben. Noch mal wirklich die Worte von etwas Noten noch mal wiederholen. Kryptografie hat Mathematik drin, aber es ist keine schwarze Wissenschaft. Es ist eine Sache, wo wir verstanden haben, wo wir diskutiert haben. Man muss auch nicht alle Mathematik verstehen, die dahinter liegt. Die verstehe ich nach 30 Jahren auch nur so ganz beschränkt teilweise. Aber man muss irgendwie sagen, was gibt es für Möglichkeiten. Und wir haben schon, wie es letztens mal gesagt hat, unsere Politiker können nicht garantieren, dass wir nicht mehr abgehört werden. Aber wenn wir halt Verschlüsselung, End-to-End-to-Verschlüsselung anschalten, dann sind wir auf einmal nicht so dieses abgefichte Massenopfer. Sondern wenn die Leute uns angreifen wollen, müssen sie dann bei jedem persönlich angreifen. Und das ist durchaus sehr viel aufwendig. Also insofern verschlüsseln als Standard die Freude ist wirklich die vernünftige Regelung, die wir da haben. Und dann die Einladung an die Hacker und die Akademie. Wir müssen es implementieren. Und wir müssen daran forschen. Wir haben hier wirklich die Bitte, alle Leute, die soziale Probleme sehen, die mit verteiltem Vertrauen zusammenhängen. Oder die mit Fragen, wie tut man was Bescheinigen, ohne dann die Privatsphäre der Leute zu beleichten. Redet mehr mit euren Kryptografen. Wir haben zahlreiche kryptografische Protokolle, die hier hilfreich sein konnten. Und die mich sehr freuen, wenn sie implementiert werden. Vielen Dank für eure Aufmerksamkeit. Auf 20 Minuten mehr, ich würde auf meinen Talk verzichten. Lass uns lieber in die Diskussion. Na ja, nee, nee, nee, nee. Also der Talk ist gute 20 Minuten über Scoring. Wir haben keine 20 Minuten mehr. Ich bin sicher nach Redis Talk gibt es eine Menge Diskussionsbedarf. Und den Scoring-Vortrag werde ich halten. Am 3. Januar auf dem Netzpolitischen Abend in Berlin wird live gestreamt, wird aufgezeichnet. Kann man hinterher sehen, ich würde vorschlagen, Stage Manager, gibt es eine Entscheidung? Dann können wir überziehen. Wir haben noch ordentlich Zeit. Also ich meinte, so ist das nicht. Na gut, dann mach ihn doch mal auf, bitte. Wir müssen jetzt nicht über eine halbe Stunde Q&A machen. Also wir haben genau eine halbe Stunde Zeit nach. Also bei mir ist es 17.42 Uhr, wir haben eine Viertelstunde nach. Das ist dieser Talk noch eine halbe Stunde? Wir haben um 17.15 Uhr angefangen. Entweder fängt der Folger jetzt an oder ich fange an mit dem Ding? Okay, das ist eine interessante Neuigkeit. Okay, Vorree für den holprigen Start. Jetzt geht es los, Scoring. Also, um erstmal ein naheliegendes Missverständnis zu vermeiden. Nein, es geht nicht um Tipps, wie man auf der Party heute Abend ein Date bekommt. Es geht um Statistik. Das hilft. Ich muss auch erstmal genau dahin, wo wir eigentlich sind. Nämlich jetzt da. Risiko. Seine Abschätzung, Minimierung und Absicherung sind die zentralen Fragen der modernen Ökonomie. Dazu muss man Prognosen erstellen, die bekanntlich besonders schwierig sind, wenn sie sich auf die Zukunft richten. Der Ursprung dieses Bamos ist unsicher, aber ist ja immerhin eine interessante Gruppe. Ein Komiker, ein Schriftsteller, ein Physiker, die das möglicherweise gesagt haben. Problem bei dem Bamos ist, dass man meinen könnte, dass Prognosen, die sich auf die Vergangenheit richten, einfacher zu machen sind. Das ist keinesfalls so. Allerdings haben wir da den Vorteil, dass wir das zukünftige Ergebnis bereits kennen. Wir wissen, ob das fragliche Ereignis, die Diedrückzahlung oder Versicherungsfall oder ähnliches eingetreten ist oder nicht. Aber ein prognostisches Modell zu erstellen, das aus den Daten vor der Zeit, vor dem Eintreffen dieses Ereignisses, sein Eintreffen erschließen lässt, ist deshalb keineswegs trivial. Dazu nehme man Massendaten von früheren Fallgeschichten. Man suche in den vorhandenen unabhängigen Faktoren, Alter, Geschlecht, Punktezahl in Flensburg und so weiter per Regressionsanalyse nach solchen, die zu verschiedenen Graden mit dem Eintreffen des fraglichen Ereignisses korreliert sind. Man erhält so ein Datenmodell mit gewichteten Faktoren. Man validiere dann dieses Modell, reduziere Störgrößen, vermeide Überanpassung, ausreißer den üblichen Statistikfu. Dann lasse man wieder historische Daten durch das Modell laufen und wenn die Vorhersagen mit dem Bekannten in der Vergangenheit liegenden Ereignis tatsächlich mit einer gewissen Wahrscheinlichkeit übereinstimmen, ist das Datenmodell so robust oder gilt dann als robust und kann auf aktuelle Fälle losgelassen werden. Man nehme nun also die konkreten Faktoren eines Einzelfalls, lasse sie durch das Datenmodell laufen und erhält eine Eintreffenswahrscheinlichkeit des fraglichen Ereignisses, also einen Risikoscore. Daran schließen sich dann noch die eigentlichen Entscheidungen an. Sollen wir dieses Risiko eingehen? Wie hoch sollen wir das absichern? Gewichtungsalgorithmen sind normalerweise geheim. Hier ein Beispiel für eine Gewichtung aus dem Kreditwesen in den USA. Also wer, so ist hier der, also wer ein Giro- und Sparkonto hat und einen Kreditkartenkonto kriegt hohe Punktzahlen, hat schon mal Probleme, hatte mit der Rückzahlung von Krediten, kriegt Punkte abgezogen. Alter ist hier noch ein Faktor und je älter, desto höher die Rückzahlungswahrscheinlichkeit, wobei die jüngste Gruppe interessanterweise nicht den schlechtesten Score hat, sondern die 26 bis 31-Jährigen. Anwendungsfelder von Scoring, hier beispielsweise in der Medizin werden Vorhersagen damit getroffen über Krankheitsverläufe, Predictive Policing, da haben wir das Beispiel der Rasterfahnung von Horst Herold, Leiter des Bundeskriminalamtes. In den 70er Jahren hat das erfunden Steuerrisiko wird damit errechnet, wie wir heute Nachmittag im CCC Jahresblick Rückblick gehört haben. In China entsteht gerade eine Scoring-Infrastruktur, die ab 2020 dann gesellschaftsweit verbindlich werden soll. Ich konzentriere mich im folgenden auf den Versicherungsbereich. Die Personenwaage war in der zweiten Hälfte des 19. Jahrhunderts eines der ersten Messinstrumente, das für große Messreihen verwendet wurde und so ein statistisches Normalgewicht etabliert hat, das damals bereits für die Risikoabschätzung bei Versicherungen eingesetzt worden ist. Noch 2004 schreiben fünf Autoren aus den Verkehrswissenschaften in einem Bericht an die Bundesanstalt für Straßenwesen, dass mit der Kombination von drei Risikomerkmalen, Geschlecht, Alter und Anzahl der Verkehrszentralregistereintragungen eine umfassende Risikodifferenzierung erreicht werden kann. Die Autoren erwähnen allerdings auch, dass weitere Tarifmerkmale hinzugekommen sind mit der Deregulierung des deutschen Versicherungsmarktes Mitte der 1990er. So gibt es zum Beispiel Rabatte für Neuwagen, wenig Fahrer, Versicherungsnehmer im mittleren Alter oder Polizeibeamte und Absolventen eines Sicherheitstrainings. Umgekehrt gibt es Zuschläge für alte Fahrzeuge, viel Fahrer, Fahrzeugtypen mit besonderem Risiko und Fahrzeuge, die in osteuropäischen Staaten genutzt werden. Allerdings zeigt die Studie, dass nur wenige dieser Merkmale sich als wirksame Predictoren eignen. Seit dem 19. Jahrhundert hat sich einiges verändert. Die Personenwagen hatten damals noch keine Alpi. Heute tragen wir mächtige Rechengeräte ständig mit uns rum, mit einem Haufen Sensoren bereits eingebaut. Es kommen weitere Sensoren dazu in unserer Umgebung auf, am und in unseren Körpern. Außerdem werden über soziale Medien alle möglichen Daten freiwillig geteilt. Außerdem haben wir schließlich Big Data, die cloud-künstliche Intelligenz cyber-cyber. Weil wir es können, wird jeder Datenstrom, den wir absondern, entsprechend für Scoring verwendet. Dabei hilft ein Mentalitätswechsel. In den 1980ern gab es noch Massenbewegungen gegen Volkszählung und gegen den maschinenlesbaren Ausweis. Heute gibt es Massenbewegungen gegen die Privacy und Self-Tracking. Hier der deutsche Zweig der Quantified-Self-Bewegung und auch die gute alte Personenwaage treffen wir hier wieder. Die spielt immer noch eine wichtige Rolle. Hier ein konkretes Beispiel für eine Kfz-Versicherung. Die Bonus-Drive genannt wird von der Allianzversicherung. Sie richtet sich an junge Fahrer. Es geht um Menschen, die noch keine Kreditversicherungs- diewilligen ein, ihr Fahrverhalten messen zu lassen und können so nachweisen, dass sie vorsichtig fahren und bekommen dann Rabatte bis zu 40%. Hier sieht man die Datenströme, die ein solches Auto dann absondert. Der Technikdienstleister Octo Telematics 2002 in Italien gegründet baut und betreibt diese Systeme für mehr als 60 Versicherungsunternehmen in 23 Ländern unter anderem eben für die Allianz. Dafür wird eine Blackbox ins Auto gebaut mit Beschleunigungssensor, GPS, SIM-Karte und noch anderen Sensoren und die erfassen dann, wie man hier sieht, Geodaten Richtung Bremsverhalten, Beschleunigung, Kurvenfahrverhalten, Zusammenstöße, Dauer- und Distanz einer Fahrt und Straßenart. Und die werden dann an Octo übertragen. Als Zusatz nutzen wird dann alles Mögliche weitere angepriesen, zum Beispiel die Möglichkeit, ein gestohlenes Auto wiederzufinden. Hier ein Beispiel aus dem Gesundheitsbereich. Vitality ist das Programm von Generali für Risiko Lebens- und Berufsunfähigkeitsversicherungen. Natürlich die selbe Idee. Lasst euch tracken und ihr werdet belohnt. Was hier noch wichtig ist, bewusst machen. Also das Feedback wird nicht nur an das Versicherungsunternehmen gegeben, sondern auch an die Nutzer selber. Und die können dann beispielsweise Gesundheitsziele sich setzen und über diesen Tracker schauen, wie sie ihren Ziel nahekommen. Also es geht nicht nur um Verhaltensmessung, sondern auch um Verhaltenssteuerung. Gamification ist eine beliebte Strategie dafür. Hier die Sparkassen-Direktversicherung, die als eine der ersten in Deutschland eine Kfz-Telematikversicherung angeboten hat. Das Programm ist jedoch zum Jahresende 2015 eingestellt worden. Die Kunden waren zwar höchst zufrieden, aber die haben festgestellt, dass die Kosten sich auf 100 Euro pro Kunde und Jahr belaufen hätten. Die arbeiten jetzt also dran, erst mal für ein Nachfolgeprodukt die Kosten zu senken. Aber solange das lief, kann man hier sehen, sind die Nutzer angehalten worden gegeneinander um den High Score des Monats zu Wetteifern. Neuester Trend ist es, Facebook-Posts zu verwenden, um den Preis einer Autoverseicherung zu bestimmen. Admiral, eines der größten britischen Versicherungsunternehmen, hat das Angebot First Car Quote entwickelt, eine Versicherung für die digitale Generation. Die Idee war, um ein Angebot für eine Versicherung zu bekommen, sollte eine Anwärterin Admiral Zugriff geben auf ihren Facebook-Account. Da ist ein Algorithmus drüber gelaufen lassen, hätte dann ein Algorithmus drüber laufen sollen, der diese Text-Posts lingoistisch nach Anzeichen untersucht, ob diese Person gewissenhaft und gut organisiert ist. Kurze Sätze, die Verwendung von Listen, Verabredungen mit Freunden zu konkreten, Zeit und mit Ortsangaben statt nur heute Abend, sprechen dafür umgekehrt sein Ausrufezeichen und die häufige Verwendung von immer oder nie, statt vielleicht Anzeichen für allzu große Selbstsicherheit und damit Risikobereitschaft. Die werden also Charakterdaten erhoben, um sie mit Risiko zu korrelieren. Im November war der Start dieses Angebots geplant, aber Facebook hat dem umstrittenen Angebot im letzten Moment einen Strich durch die Rechnung gemacht. Es hat Admiral den Zugriff auf die Daten seiner Nutzer untersagt, obwohl der Testbetrieb mit Facebook ja vorher schon monatelang lief, also auch mit deren Billigungen. Auf die Begründung komme ich gleich noch zu sprechen. Stattdessen verwendet Admiral jetzt ein Short-Service, also einen kurzen Fragebogen, verlangt aber immer noch das Facebook-Login. Die Markteinführung von Telematikversicherungen wird stets begleitet von einer Rhetorik von Objektivität und Fairness. Algorithmen kennen keine Vorurteile. Sie suchen einfach nach statistischen Korrelationen zwischen Datenpunkten. Die Verfahren, das wird stets betont, seien wissenschaftlich fundiert und werden eingesetzt mit Unterstützung, Zitat mit Unterstützung führende akademische Einrichtungen aus der Pressemetalung von Generali. Welche führenden akademischen Einrichtungen das sind, wird allerdings nicht gesagt. Auch die Schufa erhebt hervor, Credit Scores sind frei von subjektiven Faktoren. Doch wir wissen natürlich, dass sich Herkunft, Religion, sexuelle Orientierung erstaunlich leicht aus unverfänglichen Daten ableiten lässt. Wir wissen es nicht zuletzt, dank Michael Kosinski, dessen Verfahren von Cambridge Analytica, weil Brexit und Trump eingesetzt worden ist, und gerade die Runde macht hier aus dem ursprünglichen Paper, also die Wahrscheinlichkeit mit der, die dann nachträglich abgefragten Eigenschaften anhand von durchschnittlich 70 Facebook-Likes errechnet worden sind. Also es gibt hier nirgends eine Frage sozusagen auf Facebook bist du schwul, ja, nein, sondern das wird dann aus dem individuellen Musikgeschmack oder aus dem Kaufverhalten oder aus dem eben was geliked worden ist, lässt sich das ableiten. Fairness. Scoring wird verwendet, um Verbraucher davor zu schützen, dass sie sich überschulden, weil die das ja selber nicht einschätzen können und die Algorithmen das viel besser wissen. Sie sorgen für niedrigere Preise, weil es weniger Zahlungsausfälle gibt, was noch lange nicht heißt, dass diese Kosteneinsparung auch Nikunden weitergegeben werden. Ein ganz wichtiges Argument, es gibt ja Leute, die riskant sich verhalten und andere, die sich bewusst nicht riskant verhalten und Letztere müssen so das Argument die Ersteren quersubventionieren und das ist ja unfair. Das Ganze ist immer freiwillig und es wird ausschließlich für Boni verwendet, also nicht etwa für Strafzahlungen für riskantes Verhalten, das hat sicherlich nicht nur Marketinggründe, sondern vor allen Dingen gesetzliche, im allgemeinen Gleichbehandlungsgesetz ist so etwas nämlich also Strafzahlungen für bestimmte Personengruppen verboten. Soweit der Überblick über das Phänomen nun zu Diskussionen. Datensparsamkeit, Erforderlichkeit und Zweckbindung sind die Grundprinzipien des Datenschutzes und die werden durch Scoring systematisch unterlaufen. Je mehr Informationen desto besser die Prognose, der Zusammenhang ist klar, seinem Wesen nach ist Scoring also das genaue Gegenteil von Datensparsamkeit. Auch die Zweckbindung geht in Bach runter, denn Fahrzeug, Trainingsdaten, Posts auf Social Media werden ja nicht generiert als Prediktoren für Risiken, also als Faktoren für die Preisdifferenzierung. Da aber Daten das Öl des 21. Jahrhunderts sind, sehen wir eine Rhetorik von höchster Stelle. Dobrindt, Gabriel Merkel, alle fordern Datenreichtum statt Datensparsamkeit, Datensouveränität statt Datenschutz. Die Lösung dazu ist ganz klar, diese Rhetorik von Datenschutz als Innovationshindernismus aufhören und ersetzt werden durch ein ganz klares Bekenntnis zur Sicherung von informenziellen Grundrechten auch im Netz. Wir müssen Grenzen aushandeln. Ich hatte erwähnt, dass Facebook im letzten Monat Admiral den Zugriff auf die Post seiner Nutzer verweigert hat. Dabei berief es sich auf seine Plattform Policy und da drin steht, Facebook-Daten dürfen nicht verwendet werden, um Entscheidungen zu treffen über Bewerbungen oder die Konditionen von Krediten. Nicht etwa, dass Facebook jetzt plötzlich der Datenschutz seiner Nutzer am Herzen lege. Nein, der wahrscheinlich Hintergrund ist, dass sie sich dieses Geschäftsmodell selber vorbehalten wollen. Gleichwohl gibt es aber gute Gründe, dass auch eine verfassungsrechtliche Abwägung der Auswirkung von Social Media Scoring auf das Grundrecht von freier Meinungsäußerung ein solches Verwertungsverbot normieren würde. Opt-In wird ja häufig auch gerne genannt als ein Grundprinzip des Datenschutzes. Hier das Beispiel Cookies. Jedeszeit hat, nachdem das inzwischen vorgeschrieben worden ist, jetzt ein solches Banner, wo man dann unten auf OK drücken kann. Ich akzeptiere Cookies oder Nein, Seite verlassen. Und dann ist man raus. Na doll, da haben wir echt was gewonnen. Opt-In ist natürlich eine notwendige Voraussetzung, aber sie ist nicht hinreichend. Wir wissen, dass durch Umfragen das mindestens 30 % in Deutschland bereit sind, Daten gegen Rabatte preiszugeben. Daher muss auch bei freiwilliger Preisgabe gesichert sein, dass Privacy by Design trägt. Zum Beispiel durch differential Privacy, wie wir das von Rudi Freund gehört haben. Das ist eine öffentliche Aufgabe der digitalen Daseinsvorsorge. Und eine Technik, das durchzusetzen und ein Verfahren ist, die Zertifizierung durch unabhängige Stellen. Nur so haben Verbraucher die Chance, sich darauf verlassen zu können, dass da, wo vertrauenswürdig draufsteht, da drinnen ist. Anders als bei der Brauseerweiterung Web of Trust. Falsche und veralteten Daten sind natürlich immer ein Problem. Dazu hat der CCC seit Jahren gefordert, einen Datenbrief, also alle Unternehmen, die Daten über mich haben, müssen mir das einmal im Jahr mitteilen. Was wir im Bundesdatenschutzgesetz haben, ist den Anspruch auf Auskunft und Korrektur. Für Scoring heißt das, dass in sechs Monaten erhobene Wahrscheinlichkeitswerte sowie die für die Berechnung genutzten Daten Arten müssen bekanntgegeben werden. Da schließt sich die Forderung an, dass natürlich nicht nur die Datenarten, sondern die ganz konkret im Einzelfall verwendeten Daten bekanntgegeben werden müssen. Algorithmen. Bei Verbrauchern stellt sich zunehmend das Gefühl, ein vollkommen transparent zu sein für Institutionen, die selber vollkommen intransparent Entscheidungen über sie treffen. Algorithmen können systematisch Verzerrung und Diskriminierung enthalten. Merkel sagte jüngst auf den Medientagen in München, ihre persönliche Meinung sei, dass Algorithmen transparenter werden müsste. Ihr medienpolitischer Sprecher Thomas J. Zombelk hat dann korrigiert, nein, nein, die Kanzlerin wolle nicht etwa, dass Google und Facebook ihre Kroniowählen öffentlich machen sollten, sondern also zumindest so im Prinzip, wie im Großen und Ganzen diese Algorithmen funktionieren. Das müsse schon offengelegt werden. Im Bundesdatenschutzgesetz haben wir zu Scoring die Ansage, dass es ein Ausgurtsanspruch gibt über das Zustande kommen und die Bedeutung der Wahrscheinlichkeitswerte Einzelfall bezogen und nachvollziehbar in allgemein verständlicher Form. Was immer das dann ist. Vielleicht eine Ampel, Rot-Grün, Gelb so, weiß man. Die Schufa sagt dazu ganz klar, geht nicht, wir können die Algorithmen nicht offenlegen, aus zwei Gründen. Einmal, weil das der betrügerischen Manipulation Tür und Tor öffnet und vor allen Dingen könnten die Konkurrenten uns dann das Geschäftsmodell wegnehmen. Sie verweisen dabei auf eine Studie, die ein Zusammenhang zwischen der Subprime-Hypotheken-Krise und Transparenten und damit manipulierbaren Scores in den USA aufgezeigt hat. Lösungen dafür, mindestens bei Algorithmen, die Verbraucher folgenreiche Entscheidungen treffen, braucht es ein unabhängiges vertrauliches In-Kamera, also hinterverschlossener Tür, Auditing und da kann man dann geheimhaltungserklärungen ohne Ende draufschmeißen. Aber hier muss dann der volle Zugang auf alle Datensätze, auf Algorithmen, auch auf Trainingsdaten gewährleistet sein. Von Leuten, die solche Arbeiten machen, habe ich mir sagen lassen, dass das im Prinzip möglich ist mit diesem vollen Zugriff einigermaßen nachzuvollziehen, wie diese Elemente zusammenwirken und ob dann systematischer bei es drin ist. Aber das ist elende Puzzlearbeit, aber es muss ja jemand machen. Grenzenziehen hatte ich beim Facebook-Beispiel gesagt, genau das hat der Europäische Gerichtshof 2011 getan. Der hat gesagt, die Gleichstellung von Mann und Frau ist ein so fundamentaler Grundwert, dass Versicherungsprämien und Leistungen nicht nach Geschlecht getrennt werden dürfen. Nun wissen wir Frauen leben länger. Das ist relevant für Renten und Lebensversicherungen. Dennoch hat das Gericht entschieden. Es geht, es macht Sinn, aber es darf nicht. Das finde ich auch ein Applaus wert, genau. Also wir sehen, man kann Grenzen setzen, wenn wir als Gesellschaft diese Grundwerte so hochhalten, dann kann man hier gerichtlich eingreifen in diesem Fall. Einspruchsrechte versteht sich von selber. Bei fragwürdigen Entscheidungen müssen Verbraucher niedrigschwellig die Möglichkeit haben, Einspruch zu erheben und eine Einzelfallprüfung fordern können, bei der auch alle eingegangenen Daten überprüft und möglicherweise mit lokalen Lockbuchtdaten abgeglichen werden können. Sobald Daten meine persönliche Geräteumgebung verlassen, wo ich überhaupt noch eine Chance habe, die zu kontrollieren, ist es vorbei mit der Kontrolle. Beim Scoring gehen die Gesundheits- und Fahrverhaltendaten an ein Unternehmen, das daraus den Risikoscore errechnet und den an die Versicherung mitteilt. Die kriegt also nicht die Rohdaten, allerdings lassen die sich auch das Recht unterschreiben, Daten mit Partnern zu teilen. Vitality z.B. wirbt auch mit Rabatten von Sportartikelherstellern und anderen Partnern. Losung, die Daten werden nur lokal beim Verbraucher verarbeitet, also erst mal gesammelt und verarbeitet und nur in einer für den Score erforderlichen aggregierten Form übermittelt. Ein Beispiel aus einem etwas anderen Bereich, das BSI hat in seinen zehn Datenschutzpunkten zum smarten Metering festgestellt, dass vor Ort der Stromverbrauch viertelstündlich erhoben wird, was für Verbraucher natürlich interessant ist. Es gibt Feedback, welche Geräte verbrauchen viel Strom. Für die Abrechnung ist allerdings nur die Übertragung des aggregierten Jahresstromverbrauches nötig. Also es ist gar nicht notwendig, hier feinteilig Daten zu übertragen und dann soll das auch unterbleiben. Und die Daten, die uns dann doch noch verlassen können eben mithilfe von differential privacy abgesichert werden. Wer entscheidet, also in der lokalen Sparkassenfiliale beispielsweise, die ihr Kunden seit Jahren kennt, kann eine sachbare Arbeiterin natürlich auch gegen den Score entscheiden. Im Massenmarkt entscheiden im Wesentlichen heute Algorithmen, da ist die Forderung, dass im Streitfall das Verfahren nachvollziehbar ist. Aber was machen wir mit selbstlernen Systemen, mit neuronalen Netzen, da ist es mit der Nachvollziehbarkeit dann vollends vorbei. Scoring zielt darauf, dass jeder für sein individuelles Risiko einen individuellen Preis bezahlt. Und Preis-Differenzierung heißt End-Solidarisierung. Wenn das freiwillige Verhaltens-Trackings basierte Rabatt-System sich einmal durchsetzt. Wenn die in den, was ich vorhin unter Fairness-Rhetorik genannten Vorteilen und Firmen sich einstellen, wenn es keine spektakulären Sicherheitsprobleme gibt, die den Ruf von Scoring ruiniert, wird es sich absehbar normalisieren. Das heißt, die Risikominimierer sammeln sich alle in den Telematik-Tarifen und in dem, was bisher eben der Normal-Tarif war, bleiben alle riskanten Kunden übrig. Dort muss also der Normal-Tarif logischerweise steigen, um dieses Risiko abzusichern. Mit dem Ergebnis, die Armen bezahlen mehr. Für Wasser, Nahrungsmittel, Wohnungen, Kredite, Versicherungen, David Kaplowitz hat diesen Zusammenhang 1963 erstmals festgestellt und der gilt bis heute unverändert und setzt sich auch durch Scoring fort. Menschen, die sich kein Smartphone- oder Fitnessarmband leisten können, die ein altes Auto fahren, die mit einer schlechten Ernährung aufgewachsen sind, die weiter zahlen mehr. Und sie tun das systematisch, weil die Merkmale von Armut mit Risiko korreliert sind. Letzte Folie, letzter Vorschlag, die freie oder Forderung, die freie Tarifmusik gesichert werden, auch für Menschen, die sich nicht tracken und Scoring lassen wollen und schließlich natürlich nicht die Lösung für alles, aber immerhin ein ganz wichtiger Schritt dazu, das bedingungslose Grundeinkommen, das von immer mehr und auch immer unwahrscheinlicheren Menschen gefordert wird. Hier, jüngst vom Siemenschef, Joe Kaiser, der sagt, das Grundeinkommen ist unvermeidlich. So, wir machen jetzt ganz unerwartet nochmal 6 Minuten Fragen und Antworten. Ihr kennt das Spiel, da sind die Mikrofone, stellt euch hin, wenn ihr eine Frage habt und wenn ihr in dieser Cybersphäre unterwegs seid, dann könnt ihr natürlich auch Fragen stellen. Aber Interface-Geräte bereitgestellt hier. Ja, Mikrofon Nummer 2, bitte. Ja, meine Herren, erst mal vielen lieben Dank für diesen wunderbaren Vortrag, mit vielen interessanten Denkan setzten, die man sonst in der Form nicht zusammengefasst findet. Ich habe da Danke auch für die Möglichkeit, jetzt als Frage getragen, das kurze Wort zu halten. Nein, man Scherz. Zum Teil eines Vortrags, wir haben wunderbare Krypto-Algorithmen, aber es gibt halt eine ganze Menge Artikel zu dem Thema der Manipulierbarkeit der Plattform, auch wie man Krypto-Algorithmen durch Prozessormonipulation brechen kann. Wenn wir davon ausgehen, dass die Plattform toxisch ist, wäre es in dem Fall nicht tatsächlich mittelfristig und langfristig sinnvoll, wenn sich die Bundesregierung da am Vorbild der russischen Föderation orientiert und sagt, okay, wir gehen für die kritischen Systeme immer auf eigene Prozessorentwicklungen oder wir finanzieren halt auch einfach mal ein Windows-Klon, damit wir im Zweifelsvollen mit Microsoft unabhängig sind. Zu dem zweiten Teil, dem Scoring, der aber auch mit dem ersten Teil zusammenhängt. Wir haben noch fünf Minuten, ne? Bei begrenzter Redezeit, das tut mir leid. Okay, was mir halt an der Stelle fehlt und wo ich auch keine Lösungen an der Seite sehe, ist, dass ich zwar wunderbare Datensätze habe, die gut aggregiert sind oder auch gut anonymisiert sind, aber in dem Moment, wo ich vier Datensätze zusammenführe. Vierundhalb Minuten. Gibt es dafür Ansätze wie lauten diese Entschuldigungen? Ja. Vielen Dank für die Frage. Es ist schon auffällig, dass nach der Trump-Wahl in den Ministerien doch eine Explosion des Nachdenkens eskaliert. Man muss es auch noch mal ganz deutlich sagen, will ich jetzt gar nicht polimisch oder ist lächerlich zu sagen, die Lebensweisheit eines Teils der bundesrepublikanischen Regierungsmenschen, oder auch Leute in der Verwaltung, war halt immer ein Gurnsicht, wir können den Amerikanern im Prinzip vertrauen. Und bei diesen ist im Moment ein erheblicher Umdenkungsprozess da. Ich bin mal gespannt, wie es vorangeht. Worauf ich nur hinweisen will, schon vor Trump war es durchaus so, dass Hardware-Hersteller und andere Hersteller einen Backdoor-Zugang zu daten. Der NSE geben mussten. Es gab sogar diese Knebelerklärung, dass man also gar nicht darüber reden darf. Die Computerindustrie hat es dann mit Kanarienvögeln versucht, zu bekämpfen. Aber das ist schon durchaus ein Punkt da, wo ich sage, es gibt eine Notwendigkeit, und das habe ich auch unter Systemrelevanter Software genannt. Das ist ein gewisses Bars, an einem, meine ich, auch einen Core-Root-Boot-System, durchaus in einer nachvollziehbaren öffentlichen Art und Weise betreiben. Und das Wunderschöne ist, dass das für uns Hacker seit Jahrzehnten den schönen Begriff Open Source hat und für uns nicht so richtig überraschend ist. Ich möchte es unterstützen. Ich glaube, es werden sich einige Entwicklungen in diese Richtung ergeben. Einmal Cyber, bitte. Darf ich noch? Natürlich, natürlich. Die zweite Frage war ja eigentlich zwei. Aber ganz kurz, ich habe auch keine Lösung. Ja, natürlich, Pseudonymisierung, Anonymisierung wird überall im Datenschutz gefordert. Als Lösung vorgeschlagen, dass es relativ leicht möglich ist, diese Dinge wieder zusammenzuführen. Ich habe keine Lösung. Es schlagen zwei Herzen in meiner Brüche. Ich würde ja auch gerne als Soziologe auf ganz viele Daten zugreifen und sehe dann aber genau die Möglichkeit, nicht das auf eine Weise zu tun, die das verantwortungsvoll erlaubt. Also nur ein kurzer Satz interab. Differential privacy ist dort aus Ansätze in die Richtung. Aber wir müssten es doch mal deutlicher anschauen und auch Parameter und Anforderungen definieren. Aber es gibt Durchausschritte in die Richtung, aber einfach ist es nicht und es ist auch keine endgültliche, nachhaltige Lösung von der Sache, sondern wie ich in den Folien auch geschrieben habe. Man kann dann den Verlust der Privatsphäre messen. Und man kann natürlich, wenn man messen kann, festsetzen, dass eine gewisse Schranke da ist. Und wir werden in der Endversion der Studie dadurch aus ganz deutliche wirklich Epsilon-Zahl-Vorschläge auch reinbringen. So, die Zeit ist um. Bitte Applaus von so beiden Sprecher.