Donnerstag, 10. September 2015

Sensitivität für Datensicherheit

Patrick Bernau berichtet auf Fazit, dem Wirtschaftsblog der F.A.Z. über ein interssantes Experiment über die Reaktion von Menschen auf Zweifel an der Sicherheit (gegen Hacker) von gespeicherten Daten.

"Dass auch die Pflicht zur Veröffentlichung von Hacks nicht unbedingt hilft, zeigt jetzt ein neues Experiment. Es stammt unter anderem von Nicola Jentzsch am Deutschen Institut für Wirtschaftsforschung, [...] Francesco Feri von der University of London und Caterina Giannetti von der Universität Bologna.

Das Experiment war gar nicht so leicht auf die Beine zu stellen. Auch die Forscher müssen sich nämlich an Datenschutzbedingungen halten – und trotzdem idealerweise mit Informationen arbeiten, die den Teilnehmern wichtig sind. Am Schluss kamen sie auf einen kleinen Intelligenztest. Jeder Experiment-Teilnehmer musste seinen Namen per Ausweis angeben und einige Testfragen beantworten. Für eine komplette IQ-Einschätzung reichte der nicht, aber einen groben Eindruck ergab der Test schon mal. Dann erfuhr jeder, ob er laut dem Test zur intelligenteren Hälfte der Teilnehmer gehörte oder nicht. Diese Information wiederum konnten die Teilnehmer verkaufen: Sie bekamen dann einen um drei Euro reduzierten Einkaufsgutschein für einen Medienladen. Doch die Teilnehmer wussten auch: Wenn sie Pech hatten, wurden die Daten „gehackt“. Das heißt, wenn der Computer die falsche Zufallszahl zog, lasen die Forscher am Schluss den Namen vor – mitsamt dem Ergebnis aus dem Intelligenztest. Nach einer ersten Runde konnten die Teilnehmer ihre gleichen Testergebnisse noch mal verkaufen.

Von vornherein wollten nicht alle ihr Testergebnis preisgeben. Unter den Teilnehmern mit den besseren Testergebnissen waren 60 Prozent dazu bereit, unter denen mit den schlechteren Ergebnissen nur 25 Prozent.

Schon auf diese Weise ergibt sich eine Nebenwirkung auf die Teilnehmer, die ihr Testergebnis nicht angeben. Denn die Geschichte lässt sich auch umgekehrt betrachten: Wenn ein Teilnehmer sein Testergebnis nicht angegeben hat, gehörte er mit größerer Wahrscheinlichkeit zur schlechteren Hälfte des Felds.

Doch das wurde noch deutlicher, als im Experiment die ersten Hacks auftauchten. Sobald der Datensatz einmal gehackt war, schreckten viele der Teilnehmer mit den schlechteren Testergebnissen davor zurück, ihre Daten noch einmal zu verkaufen. Selbst zwei Drittel der Leute, die anfangs noch ihre Daten verkauft hatten, entschieden um. Die Leute mit den erfreulichen Ergebnissen störten sich dagegen überhaupt nicht an der mangelnden Datensicherheit und verkauften ihre Daten munter weiter. Sie schienen nicht das Gefühl zu haben, dass sie auf ihre Angaben achten müssten. Selbst nachdem sie gehört hatten, dass ihre Daten gestohlen worden waren, entschieden sich nicht mal sieben Prozent der Daten-Verkäufer in der nächsten Runde um.

Die Forscher ziehen daraus den Schluss: Wenn die Daten nicht sensibel genug sind, dann lassen sich auch die Deutschen nicht von einem Hacker-Angriff beeindrucken.
Interessant ist vor allem die Verstärkung der negativen Externatiltät, die dadurch entsteht, dass bei Vorhandensein der Möglichkeit des Datenverlustes schon die Entscheidung, die Daten nicht "zu verkaufen" dazu führt, dass bestimmte Eigenschaften der Menschen mit einer bestimmten Wahrscheinlichkeit identifiziert werden können. (So ähnlich, wie wenn man auf "freiwilliger" Basis der Krankenkasse bestimmte Merkmale melden könnte, es aber eher nicht tut, wenn es zu einer Beitragerhöhung oder Nichtaufnahme in die Kasse führen könnte.)

Keine Kommentare:

Kommentar veröffentlichen