Symbiose aus Datenschutz und Accountability: CISPA-Forscher entwickelt ein Token-basiertes System zur Verteilung humanitärer Hilfe
Humanitäre Hilfsprogramme werden durchgeführt in schwierigen, manchmal sogar feindlichen Umgebungen, in denen es in der Regel keine angemessene digitale Infrastruktur gibt. Zudem haben die Empfänger humanitärer Hilfe nur wenig Handlungsspielraum, um auf die Einhaltung ihrer Rechte zu pochen. Dies macht es unabdingbar, Verfahren zur Verteilung von Hilfsgütern zu entwickeln, mit die keine negativen Konsequenzen für die Empfänger:innen mit sich bringen und die auch für große Empfängergruppen skalierbar sind. Gemeinsam mit dem Internationalen Komitee des Roten Kreuzes haben CISPA-Faculty Dr. Wouter Lueks und seine Kolleg:innen vom EPFL in Lausanne eine neue datenschutzgerechte digitale Lösung für die Verteilung humanitärer Hilfe entwickelt. Seine Arbeit wurde kürzlich auf dem renommierten 44rd IEEE Symposium on Security and Privacy veröffentlicht, wo es mit einem „Distinguished Paper Award“ ausgezeichnet wurde.
Im Jahr 2021 versorgte das Internationale Komitee vom Roten Kreuz (IKRK) 3.575.484 Menschen weltweit mit Nahrungsmittelhilfe. Hilfsorganisationen wie das IKRK müssen in der Lage sein, Opfern von Gewalt, Hungersnöten und Katastrophen unter schwierigen Bedingungen in Regionen mit begrenzter Internetanbindung zu helfen. Sie tun dies mit begrenzten finanziellen Ressourcen. Um zu gewährleisten, dass so viele Menschen wie möglich unterstützt werden können, muss der Verteilungsprozess effizient und nachvollziehbar gestaltet sein. Traditionell verlassen sich humanitäre Organisationen auf papiergestützte Systeme, um die Verteilung der Hilfe zu organisieren. Diese lassen sich jedoch nur schwer auf große Gruppen von Empfänger:innen ausweiten. Darüber hinaus erschweren sie die Durchführung von Audits, um aus Donor-Sicht die zweckgemäße Verwendung der Hilfsgelder zu überprüfen. Aus diesen Gründen haben einige Organisationen zuletzt damit begonnen, digitale Lösungen auszuprobieren. Die meisten arbeiten mit so genannten Identitätsmanagementsystemen (IdM), wie sie etwa bei Reisepässen Verwendung finden. Die Verwendung von IdM-basierten Lösungen birgt jedoch erhebliche Risiken für die Privatsphäre der Empfänger:innen humanitärer Hilfe, da in zentralen Datenbanken gespeicherte Informationen gestohlen oder missbräuchlich genutzt werden könnten.
Probleme lösen, ohne neue Risiken zu schaffen
Um eine datenschutzgerechte Lösung für diese Probleme zu finden, wandte sich das IKRK an Dr. Wouter Lueks. „Zwei Dinge haben mein Interesse geweckt", erklärt er: „Es geht um eine technische Herausforderung und um ein datenschutzsensibles Thema". Das aus der Anfrage entstandene Projekt war eine Kooperation zwischen Lueks' ehemaligem Arbeitgeber, dem EPFL in Lausanne, und dem IKRK. „Die übliche Antwort wäre gewesen, biometrische Daten zu verwenden", so Lueks weiter. Für das IKRK war die Verwendung von Fingerabdrücken jedoch nicht die präferierte Lösung. Denn biometrische Daten sind extrem datenschutzsensibel, gerade weil sie unveränderlich sind. Und auch die Sicherung dieser Daten ist schwierig. An dieser Stelle kamen Lueks' Forschungsinteressen ins Spiel. "Normalerweise entwickeln wir ein System, um ein Problem zu lösen. Mich interessieren jedoch die Risiken, die mit der Lösung des Problems erst entstehen können. Während einige Risiken mit dem Problem selbst verbunden sind, ergeben sich andere aus der Art und Weise, wie man die Lösung gestaltet". Nutzt man Fingerabdrücke, um eine gerechte Verteilung humanitärer Hilfe zu gewährleisten, entstehen gleichzeitig bedeutende Risiken. Staatliche oder nichtstaatliche Akteure könnten sich etwa Zugang zu den biometrischen Informationen in der zugrunde liegenden zentralen Datenbank verschaffen und sie für Repressionen nutzen. Solche Risiken sind auf eine Entscheidung bei der Projektentwicklung zurückzuführen. Um so etwas zu vermeiden und eine maßgeschneiderte Lösung zu entwickeln, stimmten sich Lueks und das IKRK eng ab. So fanden im Laufe eines Jahres zwei Workshops und regelmäßige Treffen statt. Es entstand eine Liste von Lösungsanforderungen, die verschiedene Bereiche von den Einsatzbedingungen bis hin zu Sicherheits- und Datenschutzfaktoren umfasst und die Einhaltung der ethischen Standards des IKRK gewährleisten soll.
Um die genannten Anforderungen zu erfüllen, schlugen Lueks und seine Kolleg:innen einen Token-basierten Ansatz vor. Die wichtigste Entscheidung des CISPA-Forschers war es, die für das Verfahren nötigen Informationen zu dezentralisieren und über digitale Token verfügbar zu machen. Dies bedeutet, dass alle gesammelten Informationen nur in einem bei den Empfänger:innen verbleibenden Token gespeichert werden. Als Token können eine Smartcard oder ein Smartphone verwendet werden. Smartcards haben den Vorteil, dass sie preiswert sind und sich für Hilfsmaßnahmen mit großen Empfängergruppen in Regionen mit mangelnder Infrastruktur eignen. Das Token-basierte System folgt dem bestehenden Workflow bei der Verteilung humanitärer Hilfe (siehe Abbildung oben). Ist das System einmal eingerichtet, was etwa außerhalb der Zielregion und vor Beginn eines Einsatzes geschehen kann, müssen keine Updates mehr übertragen werden und auch eine Internetverbindung ist nicht mehr erforderlich. Die Token funktionieren offline, d. h. die Chipkarte kommuniziert bei Vorlage lokal mit den Registrierungs- und Verteilungsstationen. „Eine der größten Herausforderungen bei der Entwicklung war es sicherzustellen", erklärt Lueks, „dass nur berechtigte Personen Hilfe erhalten und die Prüfprotokolle nicht gefälscht werden können, während gleichzeitig so wenig Informationen wie möglich über die Empfänger:innen preisgegeben werden." Aufgrund von Lueks‘ Token-basiertem Ansatz können die Verteilerstation und die Auditor:innen überprüfen, ob berechtigte Empfänger:innen erschienen sind, ohne dass Informationen über die Empfänger:innen selbst preisgegeben werden. Auf diese Weise wird der Schutz der Privatsphäre gewährleistet und gleichzeitig die Durchführung von Audits durch die Geldgeber:innen ermöglicht.
Mehr Effizienz erhöht die Fähigkeit zu helfen
Ein auf dezentrale, digitale Prozesse gestütztes System zur Verteilung von Hilfsgütern kann dazu beitragen, die Effizienz humanitärer Hilfe zu steigern. Da jede vor Ort durchgeführte Handlung gleichzeitig einen Kostenfaktor darstellt, benötigen NGOs effizientere Registrierungs- und Verteilprozesse, um mehr Menschen in Not helfen zu können. Bisher bestand das Problem papierbasierter und auch vieler digitaler Lösungen im mangelnden Datenschutz sowie Schwierigkeiten beim Durchführen von Audits. Das von Lueks entwickelte Verfahren schließt diese Lücke. „Wenn man herausfindet, was das eigentliche Problem ist, stößt man oft auf neue Herausforderungen, was diese Arbeit sehr befriedigend macht", erklärt er. Lueks‘ Ansatz, sich auf das Problem selbst und nicht auf die Lösung zu konzentrieren, passt sehr gut zum Do-No-Harm-Ansatz, der in der humanitären Hilfe breite Anwendung findet. Er zielt darauf ab, unbeabsichtigte negative und positive Auswirkungen von humanitärer Hilfe vor Beginn eines Einsatzes zu ermitteln. Lueks hat gezeigt, dass dieser Ansatz auch für die Entwicklung neuer digitaler Lösungen genutzt werden kann. In Zukunft möchte er weiter mit NGOs zusammenarbeiten: „Für mich sind sie ein interessanter Partner, weil sie sich für die Gesellschaft einsetzen“. Das passt hervorragend zu dem, was Lueks antreibt: Technologie für einen guten Zweck zu nutzen.
Wenn Sie mehr über die Arbeit von Dr. Wouter Lueks erfahren möchten, hören Sie sich unseren CISPA TL;DR-Podcast an! In Folge 18 spricht Tobias Ebelshäuser mit Lueks über seine Forschung im Bereich datenschutzkonformer digitaler Lösungen.
