Bereits am gest­ri­gen Eröff­nungs­tag hat der 35. Chaos Com­mu­ni­ca­tion Con­gress (CCC) mit sehr span­nen­den Vor­trä­gen auf­ge­war­tet. Her­aus­strei­chen möchte ich den Vor­trag von Anto­nia Hmaidi zum chi­ne­si­schen Social Cre­dit Sys­tem (SCS).

Beim SCS han­delt es sich um ein Punk­te­sys­tem, das die Bür­ger zu Wohl­ver­hal­ten bewe­gen soll. Das Wohl­ver­hal­ten wird durch ein Regel­sys­tem defi­niert, über das noch das meiste im Dunk­len ist. Ich habe vor ein paar Mona­ten bereits ein­mal zum SCS etwas gepos­tet: Know­ledge Is Power, Code Is King and Orwell Was Right.

In etwas weni­ger als einer Stunde gibt Anto­nia Hmaidi einige Ein­bli­cke in die Denk­weise der Ent­wick­ler des SCS. Es lohnt sich auf jeden Fall:

Unter GDPR oder unter Schwei­zer DSG scheint mir das nicht vor­stell­bar. Ein sol­ches Sys­tem würde eine Mehr­zahl an Grund­rech­ten ver­let­zen. Den­noch: Die Grund­la­gen sind in fast jedem Land schon längst vor­han­den. In der Schweiz haben wir die AHV-Num­mer, die in der neu­es­ten Ver­sion als sol­che zwar ent­per­so­na­li­siert wurde. 

Trotz­dem ist diese Num­mer ein ein­deu­ti­ger Ident­fier und wer über den ent­spre­chen­den Zugriff ver­fügt (AHV-Stel­len, Steu­er­amt etc. pp.), kann mit die­sem Iden­ti­fier bereits sehr viele Daten zusam­men­su­chen. Ver­knüpft man das dann noch mit dem Betrei­bungs­re­gis­ter­aus­zug, dem Grund­buch und dem Straf­re­gis­ter und lässt etwas Open Source Intel­li­gence ein­flies­sen (craw­len von Face­book, Inter­net­fo­ren (da gibt es alles Denk­bare und Undenk­bare), Insta­gram usw.) hät­ten wir schon ein ähn­li­ches Sys­tem. Viel fehlt also nicht und wir hät­ten ein SCS à la China. Solange aber die Gross­wet­ter­lage im Bereich Per­sön­lich­keits­schutz nicht kippt, ist das für mich wie erwähnt kaum vorstellbar.

Die Kom­bi­na­tion von Steu­er­da­ten, Grund­buch­da­ten und Betrei­bungs­re­gis­ter­aus­zü­gen ergibt schon heute ein Pro­fil über die Kre­di­bi­li­tät; das Abgra­sen von Inter­net­fo­ren und den Social Media-Platt­for­men ergibt zusätz­lich ein Per­sön­lich­keits­pro­fil und in Kom­bi­na­tion mit Rand­da­ten unse­rer Tele­kom­an­bie­ter hat man sogar ein Bewe­gungs­pro­fil. OSINT-Tools wie z.B. Mal­tego, Sho­dan etc. sind schon seit Jah­ren frei erhält­lich und fin­den brei­ten Ein­satz für Social Engi­nee­ring-Atta­cken. Sie lie­fern im Gros­sen und Gan­zen recht inter­es­sante Resul­tate. Pro­bie­ren Sie es mal aus!