Das Anreizsystem für Dateneinliefernde

Foto von Glen Carrie auf Unsplash

Ein zentraler Baustein des technischen Systems bei DROPS ist das Anreizsystem für Dateneinliefernde. Dieses dient dazu, Dateneinliefernden eine direkte Rückmeldung zu geben als Rückmeldung und Belohnung. Dabei wurde entschieden, nicht den Weg klassischer Anreizsysteme (z.B. Bug Bounties für Software oder Kickbacks für Produktempfehlungen) einzuschlagen, sondern einen eigenen Weg zu gehen. Insbesondere da einerseits keine Mittel vorhanden wären, um Dateneinliefernde zu bezahlen, solch eine Bezahlung schnell falsche Anreize setzen könnte, und es keinen Weg gibt geleakte Daten zu verifizieren. Dieser letzte Punkt ist auch der größte Unterschied zu Bug Bounties für Sicherheitslücken in Software. Bei entsprechender Beschreibung lassen sich diese relativ einfach verifizieren, indem geprüft wird, ob die beschriebene Lücke tatsächlich existiert und ausgenutzt werden kann. Für geleakte Daten ist aber maximal eine oberflächliche Plausibilitätsprüfung möglich. Jede weitergehende Prüfung würde nicht nur die Speicherung von Klardaten voraussetzen, sondern auch großen personellen Aufwand bedeuten, und nicht zuletzt die Möglichkeit von Folgeschäden erhöhen, da Klardaten nicht nur gespeichert werden müssten, sondern zur Prüfung auch Leute darauf zugreifen müssten.

Aus diesen Gründen haben wir uns im Projekt DROPS für ein Anreizmodell entschieden, das die Arbeit und das Risiko von Dateneinliefernden anerkennt, aber darauf setzt, dass diese, wenn sie mit dem Datentreuhandmodul zusammenarbeiten, aus lauteren Beweggründen handeln. Die Beweggründe können trotzdem ganz unterschiedlich sein, sei es, um Datenlecks aufzudecken, um Datensubjekte zu schützen oder generell für die gute Sache. Die Dateneinliefernden können im bisher geplanten und implementierten System dann nachverfolgen, dass ihre Datenlieferung verarbeitet wurde, ob Datensätze darin erkannt wurden, und ob diese für eine Warnmeldung benutzt wurden. Dabei wird jeweils nur eine positive oder negative Antwort gegeben, keine weiteren Details.

Ein Bildschirmfoto der DROPS Plattform. In die Eingabemaske kann eine Leak-ID eingegeben werden, um zu prüfen ob eine Dateneinlieferung verarbeitet wurde.
Ein Bildschirmfoto der DROPS Plattform. In die Eingabemaske kann eine Leak-ID eingegeben werden, um zu prüfen ob eine Dateneinlieferung verarbeitet wurde.
In dem Bild oben sehen sie die Eingabemaske(n) für das Anreizsystem. Um auch die Dateneinliefernden zu schützen, und keine unnötigen Daten zu erstellen und zu speichern, verlangen wir sowohl für die Einlieferung als auch für das Anreizsystem nicht die Erstellung eines Benutzerkontos oder Ähnliches. Die Hauptgründe dafür sind, dass wir keine unnötigen Daten speichern wollen, um diese erst gar nicht zu haben, und damit die Dateneinliefernden schützen möchten. Des Weiteren ist es auch für die rechtliche Situation der Plattform von Vorteil, so wenig Daten wie möglich zu speichern. Die Dateneinliefernden bekommen nach dem Upload ein anonymes Token zugeteilt. Dieses ist zwar lose mit den hochgeladenen Daten verknüpft, aber nicht mit Daten des Dateneinliefernden.
Ein Bildschirmfoto der DROPS Plattform, die den Bildschirm nach dem erfolgreichen Abfragen einer Leak-ID zeigt. Der Text zeigt, das die Dateneinlieferung verarbeitet wurde, wieviele Dateien erkannt wurden und ob Identitäten extrahiert wurden.
Ein Bildschirmfoto der DROPS Plattform, die den Bildschirm nach dem erfolgreichen Abfragen einer Leak-ID zeigt. Der Text zeigt, das die Dateneinlieferung verarbeitet wurde, wieviele Dateien erkannt wurden und ob Identitäten extrahiert wurden.
Im zweiten Bildschirmausschnitt sehen sie oben nun das Ergebnis, nachdem Dateneinliefernde einen Datensatz hochgeladen haben. Daraufhin wird Ihnen angezeigt, dass die Daten verarbeitet wurde, wie viele Dateien enthalten waren, und ob Identitäten extrahiert wurden. Dies soll als Rückmeldung an die Dateneinliefernden funktionieren, ohne falsche Anreize zu setzen oder die Sicherheits- und Anonymisierungskonzepte der Plattform zu schwächen.