Setzen Technologieunternehmen Benutzer einem Identitätsdiebstahl aus?

Nach dem jüngsten Schritt von Apple, iPhone-Benutzern zu ermöglichen, ihre ID auf ihrem Telefon mit iOS 15 zu speichern, warnten Experten vor der Praxis könnte unsicher sein—aber was ist mit dem wachsenden Trend, dass Technologieunternehmen Benutzer auffordern, ihren Personalausweis anzugeben, um ihr Alter oder ihre Identität zu überprüfen?

Experten sagen, dass dies auch riskant sein könnte.

Im vergangenen September war YouTube die neueste in einer Reihe von Plattformen, die Benutzer jetzt auffordern, ihre Ausweisdokumente zur Überprüfung einzureichen. Obwohl das Unternehmen

in einem Blogbeitrag erklärt dass die neue Richtlinie den bevorstehenden europäischen Vorschriften und den länderspezifischen Bestimmungen der Muttergesellschaft Google entspricht Altersregeln, andere Unternehmen wie Facebook, Instagram und LinkedIn haben seit Jahren ähnliche Richtlinien zur Identitätsüberprüfung durchgesetzt.

"Je mehr Dokumente und Elemente Sie einer Organisation zur Verfügung stellen, es besteht immer ein Risiko", James E. Lee, Chief Operating Officer bei der Ressourcenzentrum für Identitätsdiebstahl, sagte Lifewire in einem Telefoninterview.

Die Risiken verstehen

Laut Lee gelten Richtlinien zur Identitätsüberprüfung, wie sie von LinkedIn, Facebook, Instagram, und andere stammen aus einer erst kürzlich erfolgten Verlagerung von Anonymität hin zu Anforderungen an den "richtigen Namen" für Benutzer auf sozialen Websites.

„Wenn Sie Anonymität zuließen, bestand aus Datenschutzsicht weder das Risiko einer Verletzung der Privatsphäre noch eines Cybersicherheitsproblems“, sagte Lee. "Es war nicht das gleiche Risiko für die Einzelpersonen. So begannen insbesondere die meisten sozialen Medien mit der Idee der Anonymität."

Diese Anonymität hatte jedoch eine Kehrseite, und im Laufe der Zeit begannen Unternehmen die potenziellen Sicherheitsrisiken zu erkennen, nicht zu wissen, mit wem Sie auf der anderen Seite des Bildschirms interagieren.

„Als [diese Probleme] zum ersten Mal auftauchten, drehten sie sich mehr um die öffentliche Sicherheit. Du hast nicht gemerkt, mit wem du es am anderen Ende zu tun hast...", sagte Lee. "Also fingen Sie an, Organisationen zu sehen, die sagten: 'Okay, Sie müssen uns Ihren richtigen Namen nennen.'"

Um die mit der Anonymität verbundenen Risiken zu mindern, begannen einige Unternehmen, Richtlinien für "richtige Namen" zu implementieren, die ironischerweise selbst nicht unumstritten waren.

Im Jahr 2014, Facebook Chief Product Officer Chris Cox eine Entschuldigung gepostet für die unerwarteten Kontosperrungen von Mitgliedern der Drag- und LGBTQ-Community aufgrund der Unternehmenspolitik.

Er bemerkte: „Die Art und Weise, wie dies geschah, hat uns überrascht. Eine Person auf Facebook beschloss, mehrere Hundert dieser Konten als gefälscht zu melden“, erklärt, dass die damals zehn Jahre alte Richtlinie immer noch dazu diente, Benutzer vor tatsächlichen gefälschten Konten zu schützen.

Obwohl die meisten Social-Media-Netzwerke die Benutzer anfangs aufforderten, ihre Identität auf harmlosere Weise zu überprüfen, wie zum Beispiel Bestätigung ihrer E-Mail-Adresse oder Telefonnummer, im Laufe der Zeit haben viele von ihnen einen amtlichen Ausweis oder andere verlangt ähnlich sensible Dokumente.

"Jetzt kommen wir an einen Punkt, an dem wir tatsächlich Anmeldeinformationen sammeln", sagte Lee. "Und hier schließt sich der Kreis, wo es ein Problem gibt – zumindest besteht die Gefahr eines Problems."

Sicherheitsfragen

Obwohl es im Allgemeinen eine gute Sache ist, zu überprüfen, ob es sich bei den Social-Media-Nutzern um echte Personen handelt, ist das Risiko eines Identitätsdiebstahls unvermeidlich, wenn Unternehmen die IDs von Benutzern sammeln, um ihre Identität zu bestätigen.

"Es ist gut zu überprüfen, ob eine Person die ist, von der sie sich in jeder Social-Media-Umgebung ausgibt. Es löst eine Vielzahl von Problemen...", sagte Lee. "Aber wir glauben, dass Sie die Grenze überschreiten, wenn Sie anfangen, Anmeldeinformationen zu sammeln."

Eines der offensichtlicheren Risiken bei der Sammlung identifizierender Dokumente ist das Risiko einer Datenschutzverletzung – ein scheinbar endloses Phänomen, das zu einem dramatische Steigerung in der Anzahl der im letzten Jahr veröffentlichten Aufzeichnungen.

Diese Risiken sind nicht ohne Präzedenzfälle. Im Jahr 2016 erlebte Uber eine Datenpanne, die zu Hackern führte Zugriff auf rund 600.000 Führerscheine, heißt es in einem Beitrag im Blog des Unternehmens.

Lifewire hat sich an Google, YouTube, Facebook, Instagram und LinkedIn gewandt, um herauszufinden, wie die Identitätsdokumente der Benutzer verwendet und gepflegt werden, aber wir haben noch keine Antwort erhalten.

Vertrauensprobleme

Obwohl die Richtlinien zur Identitätsprüfung der meisten Unternehmen versprechen, die IDs der Benutzer innerhalb eines bestimmten Zeitraums zu löschen, beruhen diese Versprechen auf Vertrauen.

„Als Person, die die Daten übermittelt, wissen Sie es nicht. Sie erhalten nicht jedes Mal eine Benachrichtigung, wenn sie geteilt wird. Sie erhalten keine Benachrichtigung, wenn es theoretisch zerstört wird", sagte Lee. "Und weil Sie nicht wissen, mit wem es geteilt wurde, kennen Sie ihre Richtlinien nicht."

Aus diesem Grund rät Lee den Benutzern, die möglichen Folgen einer Online-Weitergabe ihres Ausweises an Unternehmen sorgfältig abzuwägen.

„Wenn Sie jemandem Ihren Führerschein geben, fühlen Sie sich wohl, wenn er die Kontrolle darüber verliert? Dein erster Instinkt ist normalerweise dein bester Instinkt", sagte Lee.