Mobiltelefonie soll privater werden
Aktuell werden Strafverfolgern, Mobilfunkanbietern und sogar Hackern viele Wege eröffnet, Handynutzer zu verfolgen. "Pretty Good Phone Privacy" hält dagegen.
Die große Mehrheit der Menschen in der westlichen Welt trägt mittlerweile nahezu ständig ein Mobiltelefon mit sich herum. Dabei ist vielen Nutzern nicht bewusst, welche Datenspuren sie hinterlassen – insbesondere Bewegungsinformationen, die bereits anfallen, sobald man sein Gerät auch nur anschaltet.
Die einfachste Art der Verfolgung
Technisch gesehen scheint dies zunächst unvermeidlich. Damit ein Telefonat oder eine SMS – die einfachsten Dinge, die man heutzutage mit einem Handy machen kann – an den Empfänger durchgestellt werden können, muss das Netz wissen, wo sich ein Mobiltelefon zum aktuellen Zeitpunkt befindet. Die jeweilige Funkzelle muss zudem abgespeichert werden, um später eine korrekte Rechnung anfertigen zu können, beispielsweise, wenn man sich gerade im Ausland außerhalb der EU befindet, wo andere Tarife gelten. (Mit der schnellen 5G-Technik wird die Verfolgbarkeit noch schlimmer, da die einzelnen Funkzellen kleiner werden.)
So ergeben sich ganz automatisch große Mengen an sensiblen Daten, für die sich auch regelmäßig Strafverfolger, Schlapphüte, Hacker und sogar Marktforscher interessieren. Doch wie wäre es, wenn man Mobilfunk so gestalten würde, dass das alles wesentlich datensparsamer geht? Das Projekt Pretty Good Phone Privacy (PGPP), das zwei Forscher von der Princeton University und der University of Southern California entwickelt haben, soll einen solchen Weg aufzeigen.
Erinnerungen an E-Mail-VerschlĂĽsselung
Der Name erinnert dabei an die populäre Verschlüsselungssoftware PGP, die schon seit Anfang der Neunzigerjahre zur Kryptierung von E-Mails verwendet wird. Auch E-Mail ist (zu) wenig privat – standardmäßig rauschen die Botschaften im Klartext durchs Netz, können etwa von E-Mail-Servern auf der Route abgefangen werden. Gleiches gilt für Mobilfunk, wo die Telekommunikationskonzerne alle Karten (und Daten) in der Hand behalten.
PGPP verfolgt daher einen neuen Ansatz. Die Forscher Paul Schmitt und Barath Raghavan modifizieren den sogenannten Backend-Stack, den Kernbereich eines 5G-Netzes. Die Veränderung ist über Software umsetzbar, neue Hardware müssen Mobilfunkanbieter nicht kaufen. Statt jedem Telefon eine eindeutige ID zuzuordnen, die wiederum mit dem Kunden verknüpft ist, operiert PGPP mit sogenannten virtuellen Token. Diese "Datenausweise" werden monatlich neu anonymisiert für die jeweilige Zeitperiode zugeteilt und dienen zur Authentifizierung im Netzwerk. Damit ist erstens sichergestellt, dass das Handy stets erreicht wird, zweitens kennen die Funkzellen nur den Token, nicht aber den dahinterliegenden Nutzer. Im nächsten Monat gibt es wieder frische Token, die alten werden ungültig und wertlos.
Die Anbieter mĂĽssten mitspielen
In ihrer Studie weisen Schmitt und Raghavan nach, dass ihr Verfahren weder störende Latenz noch andere technische Schwierigkeiten einführt – anhand einer Simulation. Das Problem bleibt allerdings, dass es aktuell nicht im Interesse der Mobilfunkanbieter ist, PGPP umzusetzen – denn sie machen mit den Bewegungsdaten einträgliche Geschäfte.
Nur wenn offensiv mit den Privatsphärenvorteilen geworben würde, ließen sich zusätzliche Kunden gewinnen. Dass das tatsächlich geht, zeigt der iPhone-Hersteller Apple: Dessen Werbekampagnen stellen die Datensparsamkeit seiner Software heraus und tun das durchaus erfolgreich.
(bsc)