Von Ralf Keuper

Der Hack der größ­ten ame­ri­ka­ni­schen Kre­dit­aus­kunf­tei Equi­fax, bei dem die Daten von 145 Mil­lio­nen Kun­den abge­grif­fen wur­den, wirft die Fra­ge auf, ob das Cre­dit Scoring in sei­ner heu­ti­gen Form über­haupt noch eine Zukunft hat. Durch den Hack ist die Hälf­te aller US-Bür­ger ein poten­zi­el­les Betrugs­op­fer, wie u.a. in “Schlimms­ter Daten­ver­lust aller Zei­ten” berich­tet wur­de. Bei der Anhö­rung im ame­ri­ka­ni­schen Kon­gress muss­te der mitt­ler­wei­le in den Ruhe­stand ver­setz­te Ex-CEO von Equi­fax ein­räu­men, dass ein Patch für die Behe­bung der Sicher­heits­lü­cke nicht ein­ge­spielt wur­de (Vgl. dazu: Equi­fax-CEO erhöht Opfer­zahl und gibt zu, dass nicht gepatcht wur­de). Hin­zu kom­men noch orga­ni­sa­to­ri­sche Män­gel, so dass ein US-Sena­tor in der Anhö­rung im Kon­gress an den Ex-CEO von Equi­fax gerich­tet sag­te: Equi­fax Can’t Be Trus­ted With Ame­ri­cans’ Per­so­nal Data.

Ein Hor­ror­sze­na­rio für jede Auskunftei.

Der Fall Equi­fax wirft einen Schat­ten auf die gesam­te Bran­che, so dass die Fra­ge schon zwin­gend ist, ob das Cre­dit Scoring in den Hän­den von Unter­neh­men belas­sen wer­den kann, die sich tech­no­lo­gisch und orga­ni­sa­to­risch allem Anschein nach schwer damit tun, für die nöti­ge Sicher­heit zu sorgen.

In Our enti­re cre­dit bureau sys­tem is bro­ken ver­or­tet der Autor Rus­sell Bran­dom das Pro­blem auf einer tie­fe­ren, grund­sätz­li­che­ren Ebene.

The cre­dit bureau sys­tem is bro­ken, and it’s been bro­ken for a long time. The enti­re con­cept of a breach—hackers ste­al­ing cor­po­ra­te-held data for iden­ti­ty theft—is the result of a fai­led iden­ti­ty model that’s long out­lived its useful­ness. It’s easy to point to Equi­fax as the pro­blem, and its poor hand­ling of the breach (and pos­si­ble insi­der tra­ding) cer­tain­ly doesn’t help. But the pro­blem is big­ger than any sin­gle com­pa­ny. In a world floo­ded with infor­ma­ti­on, we’re still rely­ing on a tiny set of sen­si­ti­ve data to pro­tect us from fraud, and put­ting the bur­den on the avera­ge con­su­mer when that data leaks out. We tre­at data as pri­va­te when it’s alre­a­dy been expo­sed in breach after breach. This sys­tem has rea­ched its brea­king point. It’s time to burn it all down and start over.

Es stellt für den Ver­brau­cher dem­nach ein nicht mehr trag­ba­res Risi­ko dar, dass sei­ne sen­si­ti­ven Daten von Unter­neh­men ver­wal­tet und ver­wer­tet wer­den, die ihn im Fall des Ver­lusts sei­nem Schick­sal über­las­sen und bes­ten­falls ihr Bedau­ern aus­drü­cken. Die Fol­gen hat der Ver­brau­cher zu tragen.

Als Lösung bie­ten sich nach Ansicht von Bran­chen­be­ob­ach­tern die Ser­vices eini­ger auf­stre­ben­der Fin­tech-Start­ups und das (eigen­ver­ant­wort­li­che) Manage­ment digi­ta­ler Iden­ti­tä­ten an, wie u.a. in Rethin­king Cre­dit Scores in the Age of Fin­tech zu lesen ist.

The Equi­fax débâcle tur­ned up the volu­me on the call for chan­ge. We’re about to see more inno­va­ti­ve ways of loo­king at cre­dit, most of them built by mobi­le-first fin­tech com­pa­nies. We’re also going to demand more secu­re cus­to­mer log­in at cre­dit agen­ci­es, and we’re going to demand sys­tems that give the cus­to­mer con­trol of locking and unlo­cking their own accounts for cre­di­tors to see. The man­tra “your data belongs to you and should be made available with your per­mis­si­on in order to get some­thing that you want” will be heard across the payment/​lending landscape.

In The Equi­fax Breach And The Case For Digi­tal Iden­ti­ty beschreibt Dan­te Dis­par­te das struk­tu­rel­le Pro­blem der Aus­kunf­tei- und Finanz­bran­che, das nach ande­ren Lösun­gen ver­langt, die bereits zur Ver­fü­gung stehen:

In the world of ana­log iden­ti­ty, which labors under high-fric­tion, opa­ci­ty, fraud, moral hazards and con­flicts of inte­rest, to name but a few chal­lenges, cre­di­tors, banks and len­ding insti­tu­ti­ons requi­re inter­me­dia­ries like Equi­fax for decis­i­on sup­port. In a flat world whe­re digi­tal iden­ti­fy is owned at the gra­nu­lar citi­zen level, much of this sen­se­l­ess risk-pro­ne fric­tion goes away and the true cus­to­di­an of an iden­ti­fy – peo­p­le – beco­me the most important actor. How can iden­ti­ties beco­me digi­tal­ly nati­ve making mas­si­ve brea­ches like Equi­fax a thing of the past? Firms like Civic, ID.me and glo­bal initia­ti­ves like the World Iden­ti­ty Net­work, among others, are sta­king their cla­im and future on ans­we­ring this question.

Die Ver­mu­tung liegt nahe, dass die Block­chain die Tech­no­lo­gie der Stun­de ist. In Can Block­chain Pre­vent the Next Equi­fax? Not So Fast gibt Robert Hackett zu bedenken:

While con­su­mers and com­pa­nies could use a block­chain to access the score, it’s still up to the cre­dit bure­aus to pro­tect the under­ly­ing pool of per­so­nal infor­ma­ti­on. Doing that, says Tre­at, requi­res segre­ga­ting sen­si­ti­ve data and pro­per­ly encryp­ting it.

Das Pro­blem liegt mitt­ler­wei­le auf einer ande­ren Ebe­ne: Ist es über­haupt noch nötig, dass die Kre­dit­aus­kunftei­en im Besitz der Daten sind? Gibt es nicht schon längst, wie die ande­ren Autoren beto­nen, Alter­na­ti­ven, womit nicht nur das Social oder Algo-Scoring gemeint sind. Neben den genann­ten Bei­spie­len wäre noch Bloom zu erwäh­nen (Vgl. dazu: Cre­dit Scoring auf Block­chain-Basis: Bloom).

Fest steht, dass das momen­ta­ne Sys­tem, die der­zei­ti­ge Infra­struk­tur den Anfor­de­run­gen der Nut­zer und der Sicher­heit kaum noch gerecht wer­den. Wir benö­ti­gen hier – ähn­lich wie im Bereich der Mobi­li­tät – einen Sys­tem­wech­sel, der bereits unter­wegs ist.

Wenn Daten und Digi­ta­le Iden­ti­tä­ten das neu­es Öl sind, dann ist es ohne­hin nicht mehr nach­voll­zieh­bar, dass die Pro­du­zen­ten und Eigen­tü­mer nicht an den Erträ­gen betei­ligt wer­den, die Risi­ken jedoch zu tra­gen haben. Ein schlech­ter Deal.

In The value of data gibt das World Eco­no­mic Forum die Rich­tung vor:

The fun­da­men­tal issue will beco­me “Who owns the data and has intellec­tu­al pro­per­ty rights on it”? The glo­bal data eco­no­my is peg­ged at $3 tril­li­on and con­su­mers also need to reap the bene­fits of their self gene­ra­ted data. Data does have value in under­stan­ding, pre­dic­ting and influen­cing indi­vi­du­al beha­viour and decis­i­ons, but it is exact­ly this power that makes it dan­ge­rous. As the world moves towards a uni­ver­sal online pre­sence and open data sys­tems, it is important to keep dis­cus­sing the issues sur­roun­ding open dat­aand work towards resol­ving them, as oppo­sed to vie­w­ing and eva­lua­ting data through the sole eco­no­mic lens of a commodity.

Eine Lösung könn­ten Per­so­nal Data bzw. Iden­ti­ty Banks sein. Der Bedarf danach wird m.E. immer offen­sicht­li­cher. Mit der Umset­zung der GDPR und mit PSD2 kommt in das The­ma zusätz­li­che Dynamik.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert