Name, Adresse, Kreditkartennummer – die Daten sind schnell in die Online-Maske eingegeben, das gewünschte Produkt einfach und komfortabel im Online-Shop bestellt. Dann der Schock: Beim nächsten Blick aufs Konto fallen Abbuchungen für Käufe auf, die nie getätigt wurden – zumindest nicht von ihnen. Es ist ein Szenario, das wohl alle fürchten: Internetbetrug. „Identitätsdiebstahl und Betrug durch Nutzung gestohlener Identitätsdaten sind im Internet weit verbreitet und sorgen für erhebliche Schäden”, betont Michael Meier, Professor für IT-Sicherheit an der Universität Bonn und Mitglied im Transdisziplinären Forschungsbereich Sustainable Futures. Und das nicht nur bei den Privatpersonen. Die Anbieter von Online-Shops, auf deren Seiten der Betrug stattfindet, werden ebenfalls geschädigt, kämpfen mit den Zahlungsausfällen. Jährlich gehen so laut einer Studie von Juniper Research geschätzt rund 36 Milliarden Euro weltweit durch Online-Betrug verloren – Tendenz steigend. Aktuell haben Betroffene jedoch keine effektive Möglichkeit, gestohlene Identitätsdaten vor betrügerischem Gebrauch zu schützen.
Hier setzt das Forschungsprojekt DARIA, kurz für „Datenschutzkonforme Informationsfusion und Risikobewertung zur Prävention von Identitätsbetrug und Minderung von Ausfallrisiko“, der Universität Bonn an. Das Team um Prof. Dr. Michael Meier entwickelt eine Internet-Plattform, die zum einen ermöglicht, dass Privatpersonen Identitätsdiebstähle melden und ihre Daten sperren können. Zum anderen soll sie Anbietern ermöglichen, datenschutzkonforme Risikoeinschätzungen für angeforderte Transaktionen zu erhalten.
„Bisher nutzen Anbieter umfassende Sammlungen von Nutzerdaten, um Betrug vorzubeugen. Die Auswertung dieser Daten und die Risikoeinschätzung läuft dabei entweder unternehmensintern oder über einen externen Dienstleister, wie zum Beispiel eine Auskunftei“, erklärt Professor Meier. Eine der bekanntesten Auskunfteien ist zum Beispiel die Schufa. Sie sammeln Informationen zu Bankkonten, Kreditkarten, Bürgschaften, unbezahlte Rechnungsforderungen, und vieles mehr.
Diese Datensammlungen und Nutzerprofile geraten jedoch immer wieder in die Kritik vom Verbraucherschutz: Sie bieten selbst einen Angriffspunkt für Betrüger, es ist oftmals undurchsichtig, welche Daten überhaupt erhoben werden – und die Nutzerinnen und Nutzer können so leicht identifiziert werden.
Ziel der Forschenden ist, eine vertrauenswürdige Online-Risikotreuhand aufzubauen: ein Online-Portal, das nicht über den offenen Abgleich von Kundendaten funktioniert, sondern durch effektive Sperrvermerke. „Betroffene Personen können der Online-Risikotreuhand Identitätsdiebstähle melden, woraufhin ein Sperrvermerk für die entsprechenden Daten hinterlegt wird“, sagt Michael Meier. Die einmal als gestohlen gemeldeten Daten sollen dann nicht mehr ohne Weiteres für Transaktionen verwendet werden können. „Gleichzeitig sollen sie aber nicht ungeschützt gespeichert werden. Im Rahmen des Projekts untersuchen wir daher, wie Betrugsschutz funktionieren kann, während die zugrunde liegenden Sperrvermerke keinen Rückschluss auf Betroffene ermöglichen.“
Darüber hinaus soll der Dienst Unternehmen die Möglichkeit geben, datenschutzkonforme Risikoeinschätzungen für angeforderte Transaktionen zu erhalten, um ihrerseits Betrugsversuche zu unterbinden. Ergänzt werden sollen die Sperrvermerke, indem Unternehmen Daten aus aktuellen Betrugsversuchen melden, welche mit den vorhandenen Risikoinformationen zusammengeführt werden. Mittels dieses kooperativen Ansatzes untersuchen die Bonner Forschenden, ob mittels der Zusammenführung von Daten genauere und robustere Risikoeinschätzungen zu erwarten sind.
Projektpartner und Förderung
Um die Entwicklung aus juristischer Perspektive zu begleiten und zu bewerten, insbesondere mit Blick auf die datenschutzkonforme Umsetzung, ist das Team von Prof. Dr. Franziska Boehm vom Leibniz-Institut für Informationsinfrastruktur (FIZ) in Karlsruhe als Projektpartner an dem Vorhaben beteiligt. Das Team von Prof. Dr. Matthias Brand aus dem Fachgebiet für Allgemeine Psychologie: Kognition der Universität Duisburg-Essen untersucht hingegen die Umsetzung des Vorhabens aus psychologischer Sicht, beispielsweise mit Studien zur Verständlichkeit, der erwarteten Akzeptanz und des Vertrauens von Verbraucherinnen und Verbrauchern in die entwickelte Anwendung.
Das Projekt „DARIA“ wird vom Bundesministerium für Bildung und Forschung (BMBF) im Rahmen des Programms „Forschungsnetzwerk Anonymisierung für eine sichere Datennutzung“ mit rund 1,5 Millionen Euro für drei Jahre gefördert. Davon gehen 740.000 Euro an die Universität Bonn.
Weitere Informationen zu „DARIA“ gibt es unter https://itsec.cs.uni-bonn.de/daria/