Prof. Dr.-Ing. Tibor Jager

Die Wahrung von Betriebsgeheimnissen

Start-up-Unternehmen ´utilacy` bietet perfekte Digitalisierungsmethoden unter Beibehaltung des Datenschutzes

Rund zwei Drittel der deutschen Unternehmen sehen laut einer repräsentativen Umfrage Datenschutz als den Innovationskiller überhaupt an. Allein 18 verschiedene Lesarten von Datenschutzaufsichten in Deutschland sind zu beachten sowie zusätzlich diverse europäische Gerichtsurteile und deren Auslegungen. Das kann kleinere Unternehmen schon mal in die Knie zwingen. Dabei sind die Daten eines Unternehmens in Zeiten der Digitalisierung deren größtes Hab und Gut. Die Frage, die sich dann unweigerlich stellt, ist: Was kann ich mit meinen Daten dann überhaupt machen? Welche Möglichkeiten gehen mir permanent verloren? Vom Datenschutz oder durch den Betriebsrat gestoppt, schlummern in allen Unternehmen Datensätze, die man jedoch sinnvoll nutzen, vernetzen und auswerten kann, um wirtschaftlich effektiver oder konkurrenzfähiger zu werden.

Neue Möglichkeiten braucht das Land. An dieser Stelle kommen Prof. Dr.-Ing. Tibor Jager, Dr.-Ing. David Niehues, Moritz Schmidt, Amin Faez und Sebastian Overhage ins Spiel. Das heterogene Team rund um die ausgewiesenen Kryptographen der Bergischen Universität, plant im Zuge eines Projektes technische Möglichkeiten anzubieten, die unter Wahrung des Datenschutzes sowie etwaiger Betriebsgeheimnisse trotzdem vertrauliche Daten analysieren können, um Betriebe wirtschaftlich sicher in die Zukunft zu bringen. Das Projekt mündet nun schließlich in das Start-up-Unternehmen utilacy GmbH. Utilacy ist ein zusammengesetztes Kunstwort aus den Begriffen ´UTILity` (Nutzen) und ´privACY` (Privatsphäre).

Kryptographie – viel mehr als Verschlüsselung

„Moderne Kryptographie ist vielmehr als nur reine Verschlüsselung“, sagt Tibor Jager, Lehrstuhlinhaber für IT-Security und Kryptographie. „Ein Beispiel ist die digitale Signatur, also digitale Unterschriften, die wir alle im Alltag schon benutzen, sei es im Internet, auf unseren Mobiltelefonen oder unseren Personalausweisen. Auch die gemeinsame Auswertung von Daten ist etwas, was schon seit 40 Jahren in der Kryptographie untersucht wird. Jetzt allerdings sind wir an einem Punkt angekommen, wo wir diese Verfahren in der Praxis wirklich gut benutzen können, weil sie ausgereift sind. Das hat auch Parallelen zur Entwicklung der Künstlichen Intelligenz, denn auch da sind die Verfahren im Grunde schon seit 60 Jahren bekannt und finden jetzt ihren Weg in die Praxis.“ Das Problem bei der Digitalisierung sei jedoch, dass wir an vielen Stellen Daten hätten, die wir aufgrund von Vertraulichkeitsanforderungen wie dem Datenschutz oder auch interner Betriebsgeheimnisse, bisher nicht nutzen könnten. „Dazu gibt es heute aber nun genau diese Technik“, fährt Jager fort, „und das Potential haben die Kollegen David Niehues, Moritz Schmidt, Amin Faez und Sebastian Overhage erkannt. Sie können nun Leuten und Betrieben helfen, Digitalisierung möglich zu machen.“ Bisher werde leider immer nur entweder Datenschutz oder Nutzung diskutiert. Das neue Start-up könne aber beweisen, dass beides gleichzeitig funktioniere. Der IT-Spezialist nennt ein simples Beispiel. „Wir können das Durchschnittalter aller in einem Betrieb Beschäftigten errechnen, ohne dass ein Mitarbeiter sein tatsächliches Alter preisgeben muss, der Datenschutz bleibt also bestehen. Und das geht auch mit allen anderen vertraulichen Daten. Auch in der Diskussion um die Nutzung von Gesundheitsdaten aus der Elektronischen Patientenakte, die Gesundheitsminister Lauterbach im Moment vorantreibt, gehe es oft darum, dass Datenschutz gegenüber der Nutzung von Daten für die Forschung abgewogen werden müsse. „Die Nutzung von Gesundheitsdaten könnte zur Entwicklung besserer Heilungsansätze führen. Gleichzeitig handelt es hier aber auch um höchst schützenswerte, privateste Daten von Individuen. In diesem Spannungsfeld könnte die moderne Kryptographie helfen, innovative Lösungen zu finden, von denen wir als Gesellschaft profitieren können, ohne dabei den Schutz der oder des Einzelnen zu vernachlässigen“, ergänzt Jager.

Bandbreite von Netzwerken und Endgeräten ist größer geworden

„Frühere Methoden mit statischen Servern sind heute auch nicht mehr nötig“, erklärt Start-up – Gründer Moritz Schmidt. „Man hat erkannt, dass die IT da auch kostengünstiger arbeiten kann.“ Veränderte Endgeräte in allen Größen sowie die enorme Bandbreite von Netzwerken kann das Projekt bedienen. „Wir haben heute die Rechenpower und auch das technologische Verständnis, sodass wir es jetzt machen können“, ergänzt Gründungspartner David Niehues, „und wir wollen der Diskussion entgegentreten, dass der Datenschutz das unmöglich mache, denn die Daten, die dringend gebraucht werden, können unabhängig vom Datenschutz genutzt werden. Das ist Kryptographen schon lange klar.“

Mit SMPC in die Zukunft

Das Projekt utilacy wurde bereits beim Gründungswettbewerb Digitale Innovationen des Bundesministeriums für Wirtschaft und Klimaschutz im August 2022 mit dem Gründungspreis+ ausgezeichnet und arbeitet mit der sogenannten Secure Multiparty Computation Technologie, kurz SMPC genannt.

Bei utilacy sei vor allem der Ansatz ausgezeichnet worden, sagt Jager, dass Jungunternehmer diese Technik nutzen würden und in einen Anwendungskontext brächten. Daten unserer Rechner könnten auf einmal ungewöhnliche Dinge tun. Im Bereich Automotive, erklärt der Wissenschaftler, könne man z.B. Wartungen voraussagen, Produktionsbetriebe könnten durch Vernetzungen sogar deutlich leistungsstärker werden. Maschinenhersteller könnten durch Informationen über Fertigungsprozesse anderer Firmen, ohne deren genauen Abläufe zu kennen, präzisere Modelle konzipieren. Auch bisher undenkbare Kooperationen könnten so entstehen. Dazu Schmidt: „Auch Konkurrenten können sich nun die Hand geben und ihre Effizienz steigern, sich gegenseitig unterstützen, ohne eigenen Datenverlust. Hier schlummert ein immenses Potenzial, das im Moment noch nicht ausgenutzt wird.“

Kunden aus allen Branchen werden bedient

Potentielle Kunden sehen die Gründer in nahezu allen Bereichen der Wirtschaft und Verwaltung. Dabei unterscheiden sie zwischen unternehmens-internen und -externen Projekten, die man je nach Branche und Unternehmensgröße auch skalieren könne. Oft bestehe selbst im eigenen Unternehmen die Schwierigkeit, Daten über eine Abteilung hinaus weiterzugeben. Der Bereich, der über Unternehmensgrenzen hinausgehe, erklärt Schmidt, betreffe dann Branchen, die ähnliche Tätigkeiten ausübten, oder sich durch Systeme ähnelten. Mit der neuen Technikanwendung könnten sich diese Betriebe vergleichen und schauen, wo sie im Wettbewerb stünden, um dann ihre Produktionseinheiten zu verbessern.
Auch im Versicherungsbereich böten sich neue Möglichkeiten. „Wenn z.B. mehrere Versicherungen in einem Unternehmen meist säulenartig aufgeteilt sind, also Krankenversicherung, KFZ-Versicherung, Lebensversicherung usw., scheint es bisher unmöglich, den Endkunden als eine Einheit anzusehen. Unser System bietet da die Möglichkeit, einen allumfassenden Blick über einen Versicherten zu erhalten, wenn man innerorganisatorisch die verschiedenen Säulen zusammenführt“, sagt Schmidt.

Ein schwieriges Thema einfach erklärt

Damit die Neugründer erfolgreich werden können, müssen sie vor allem ihre Kunden überzeugen. Das ist bei dieser Thematik gar nicht so einfach. Jager nennt ein Beispiel: „Nehmen wir an, wir haben eine Lebensversicherungssparte und eine KFZ-Sparte. Die dürfen keine Daten miteinander austauschen. Wenn ich also jemanden habe, der schon einmal dadurch aufgefallen ist, dass er seine KFZ-Versicherung mit einer gefälschten Rechnung betrügen wollte und dieser jemand nun eine Lebensversicherung anfragt, würde diese Abteilung sicher gerne wissen, ob dieser Kunde ´sauber` ist, um ihm im negativen Fall kein Angebot zu offerieren.“ Das gehe aber abteilungsübergreifend nicht, weil dann die jeweilige andere Abteilung Kenntnisse über einen Kunden erhalten würde, die sie nichts anginge. „Genau an dieser Stelle setzen die Techniken ein. Ich habe also jemanden, der eine Lebensversicherung anfragt, und frage den KFZ-Sacharbeiter, der die Liste seiner Betrüger vorliegen hat, nach einem bestimmten Namen, der nicht verraten werden darf, so dass der Gefragte lediglich mit ja oder nein antworten muss.“ Technisch und datenschutzsicher sehe dieser Vorgang so aus: „Man kann sich das vorstellen wie eine magische Box, die zwischen den beiden Abteilungen steht, in die die jeweiligen Abteilungen ihre Informationen eingeben, die für die andere Partei weiterhin geheim bleiben. Innerhalb der Box werden dann die Informationen gelesen, verarbeitet und gefiltert, so dass nur die eine Information herauskommt, die dem Mitarbeiter sagt, ob er dem Kunden ein Angebot machen sollte. Nur das es in Wahrheit keine Box gibt, sondern stattdessen eine geschickte Anwendung modernster kryptographischer Methoden. Der Name und die Adresse eines Kunden werden praktisch zu einem einmaligen Fingerabdruck verschlüsselt, der keine Rückschlüsse auf die Person zulässt und abteilungsübergreifend verglichen werden kann. Bei einer erneuten Anfrage würde der Fingerabdruck schon wieder anders aussehen, so dass auch hier der Datenschutz gewährleistet ist.“ Jager weiß, dass aufgrund eines umfassenden mathematischen Wissens, technische Erklärungen für den Laien oft unverständlich seien. „Tatsache ist“, sagt Jager bestimmt, „diese Algorithmen sind mathematisch beweisbar sicher, und in diesem Sinne unknackbar, denn man kann Verfahren heute so bauen.“

Plattform kann standardisierte Formate auswerten

In der Praxis funktioniere dieses Verfahren über eine externe Plattform, erklärt Schmidt, die Firmen unnötiges und teures Fachpersonal sowie Outsourcing-Kosten erspare, die Arbeit also aus dem Unternehmen herausziehe. Dazu stellen die Gründer dann Schnittstellen bereit sowie Konnektoren zu anderen Standarddiensten wie z.B. Excel. „Wir haben dann sozusagen ein Frontend, was der Kunde benutzen kann, um z.B. Daten aus verschiedenen Bereichen anzubinden. D.h. der Kunde pflegt seine Daten in die Plattform ein, dort werden sie durch die Anwendung kryptographischer Verfahren so ausgewertet, dass selbst wir als Plattformbetreiber sie nicht sehen können. Dann werden die Ergebnisse zu den entsprechenden Kunden wieder zurückgeführt. Firmenübergreifend muss man natürlich vorab mit allen Playern sprechen, damit man auch vielfältige Daten bekommt, die dann ausgewertet werden. Man benötigt dann ein standardisiertes Format von allen und kann nach einer vorgegebenen Zeit Ergebnisse liefern.“

Leuchtturmprojekte können Weg ebnen

Zu den ersten Leuchtturmprojekten könnten Betriebe gehören, die ihre internen sensiblen Daten auswerten möchten. Über diesen Weg könne man dann weiter zu branchenübergreifenden Vernetzungen gelangen. „Die Metallindustrie, die ihre Parameter vergleichen möchte, auch Konkurrenzbetriebe, die ja auch einen Preisdruck haben, könnten von dieser Technik profitieren“, sagt Jager. „Wenn ich z.B. einen Lieferanten habe, von dem ich Stahl in großen Mengen beziehe und mein Konkurrent dies auch tut, könnte man sich zusammenschließen, um evtl. einen besseren Preis auszuhandeln. Vielleicht haben wir aber auch gemeinsame Kunden. Wenn beide Firmen in den gleichen Ländern große Absätze generieren würden, braucht vielleicht in Zukunft nur einer einen Businessflug dorthin zu buchen, um gemeinsam etwas anzubieten. So können auch Konkurrenzbetriebe, ohne Geheimnisse zu teilen, positive Effekte daraus erzielen.“ Transportunternehmen könnten halbvolle Ladungen durch Zusammenarbeit mit anderen Firmen bei gleichen Wegen zu vollen Ladungen machen. Gleiche Transportwege mit weniger Fahrzeugen bedeute dann auch mehr Klimaschutz. „Konkurrierende Supermärkte könnten Verbesserungspotenzial bei der Nachhaltigkeit erkennen, zum Beispiel indem sie vergleichen, wie viele Lebensmittel sie unverkauft entsorgen müssen, weil das Verfallsdatum erreicht ist. Wenn der eigene Markt dort viel schlechter dasteht als der Branchendurchschnitt, dann könnte es sich lohnen, einmal zu untersuchen, was man tun könnte, um sich in dieser Hinsicht zu verbessern.“

Ein weiteres enormes Einsparungspotential sieht Schmidt auch in der Produktentwicklung im Pharmabereich. „Wenn man sozusagen anonym mit den vorhandenen Daten einer Studie arbeiten könnte, ließen sich enorme Summen einsparen, einfach, weil bereits vorhandene Studien nicht wiederholt werden müssten.“

Start-up-Gründer informieren ab sofort

Pilotkunden sind herzlich willkommen und können sich unter info[at]utilacy.de und der Internetseite https://www.utilacy.de ab sofort informieren.

Uwe Blass

Prof. Dr.-Ing. Tibor Jager leitet die Abteilung IT Security and Cryptography der Fakultät Elektrotechnik, Informationstechnik und Medientechnik. Zu seinen Mitarbeitern gehören Dr.-Ing. David Niehues, Moritz Schmidt, Amin Faez und Sebastian Overhage, die neuen Gründer des Start-up-Unternehmens utilacy GmbH.