„Das Verbrechen schlummert in den Daten”, meint Donald Farmer, Vize-Präsident des US-Unternehmens QlikView. Genutzt hat das die schwedische Polizei. Mit der Software von QlikView analysierten die Fahnder auf der Suche nach dem „Heckenschützen von Malmö” alle Reports und Daten. Der Kriminelle hatte zwischen 2003 und 2010 auf dunkelhäutige Passanten geschossen, während sie auf den Bus warteten, im Auto saßen oder gerade ein Gebäude betraten. Ein Opfer starb, mehrere Menschen wurden verletzt. Die aus der Datenfülle gewonnenen Informationen führten im November 2010 zur Festnahme des Täters. Ein einzelner Polizist hätte für die manuelle Sichtung des Datenbergs über 40 Jahre benötigt.
Die Kriminalbeamten des mit dem Fall befassten Polizeidepartments im südschwedischen Skåne analysierten die Verbrechen auf der Basis von etwa zwei Millionen Berichten aus den letzten zehn Jahren, die insgesamt zwei Milliarden Datensätze ergaben. In drei Stunden waren diese Informationen in das Programm geladen und interaktive Reports erstellt – danach begann die Recherchearbeit der Polizisten. Als besonders hilfreich erwies sich, dass man mit der Software unterschiedlich strukturierte Datensätze aus vielen Quellen analysieren kann.
So ließen sich Daten, aus denen etwa herauszulesen war, wer wann was gesehen hatte, mit Personendaten wie Alter, Geschlecht, Vorstrafen oder Wohnsitz abgleichen. Dadurch war es den Ermittlern möglich, neue Hinweise von wachsamen Bürgern hinzuzufügen und Verbindungen zu bestehenden Informationen herzustellen.
Solch ein koordinierter Datenabgleich ist eine ergiebige Quelle für Erkenntnisse. Das haben auch Kriminalisten in den USA erkannt: Nach den Anschlägen vom 11. September 2001 richteten sie „Fusion Centers” (Abwehrzentren) ein, die Daten sammeln und auswerten, mit dem Ziel, Verbrechen zu verhindern. Die Zentren ermöglichen – mithilfe einer speziellen Software – den Austausch von Informationen zwischen verschiedenen Behörden, vereinigen die Daten unter einem Dach, können selbst mit „Big Data” umgehen und sollen bei der Prävention von Verbrechen helfen.
Auch Deutschland hat inzwischen solche Abwehrzentren: zum Beispiel das Gemeinsame Terrorismusabwehrzentrum (GTAZ) in Berlin – eine Koordinierungsstelle der Sicherheitsbehörden der Länder und des Bundes mit dem Ziel, die internationale Terrorismusbekämpfung zu verbessern. Nach den Pannen bei der Fahndung nach rechtsextremistischen Attentätern ist kürzlich das „ Abwehrzentrum Rechtsextremismus” dazu gekommen, ebenfalls in Berlin.
Daten erzählen keine Geschichten
Freilich ist es ein Irrglaube, dass Daten quasi ihre eigene Geschichte erzählen. Als Erstes braucht man einen begründeten Anfangsverdacht. Ein fiktives Beispiel illustriert, wie die Datenfahndung arbeiten könnte: Ein Heckenschütze hat an drei Tatorten zugeschlagen. Falls es Mautstationen mit Kennzeichenerkennung gibt, lassen sich die Stationen identifizieren, die der Täter passieren musste, bevor er zu einem der Tatorte gelangte. Es gilt also nach Fahrzeugen zu suchen, die kurz vor und kurz nach der Tatzeit in Richtung des Tatorts beziehungsweise davon weg gefahren sind. Ein erster Hinweis im Datenabgleich gelingt durch die Identifikation der Fahrzeuge, die zu allen drei Zeitpunkten zu je einem Tatort fuhren und wieder davon fort. Um Pendler herauszufiltern, müssten die Fahnder jene Fahrzeuge aus dem Datensatz der Verdächtigen löschen, die immer werktags und nicht nur zu den Tatzeiten dieses Fahrmuster zeigen.
Eine Querverbindung wäre gegeben, wenn Zeugen etwa ein Auto, das genau das passende Fahrmuster zeigt, auch in der Nähe des Tatorts gesehen haben. Allerdings: In Deutschland wäre eine solche Auswertung verboten. Die Mautstationen dürfen hier nicht zum Scannen von Fahrzeugbewegungen genutzt werden. Anders ist das zum Beispiel in Großbritannien, Ungarn und Belgien.
Doch die Software, die solche Korrelationen bilden könnte, gibt es bereits in manchen Unternehmen, auch in Deutschland. Dort werden Verfahren eingesetzt, die Experten Business Intelligence, Business Discovery, Business oder Predictive Analytics nennen. Sie sammeln Geschäftsdaten und werten sie aus, erkennen darin Muster und leiten Handlungsempfehlungen für die Firma ab – damit zum Beispiel rechtzeitig Waren nachbestellt werden können, wenn von einem Produkt nur noch wenige Artikel im Regal liegen. Solche Mechanismen könnten auch bei einer Fahndung greifen.
Der US-amerikanische Rüstungskonzern Raytheon hat eine Software entwickeln lassen, mit der sich Daten über Menschen in sozialen Netzen sammeln und zusammenführen lassen. Die Ergebnisse bilden bestimmte Muster, die es zum Beispiel ermöglichen, das Verhalten eines polizeilich gesuchten Kriminellen zu ermitteln. Angeblich kann die Raytheon-Suchmaschine namens „Riot” (Rapid Information Overlay Technology) auch vorhersagen, wie sich Personen, die auf der Fahndungsliste der Polizei stehen, verhalten werden.
Riot ermittelt dazu alle verfügbaren Informationen über den Gesuchten etwa bei Facebook und Twitter und visualisiert die Ergebnisse. So lässt sich zum Beispiel feststellen, wo sich der Gesuchte besonders häufig aufhält und wann man ihn dort wahrscheinlich antreffen kann – vorausgesetzt, er hat das einmal in einem sozialen Netz mitgeteilt. Wenige Klicks ermöglichen eine ausführliche Einsicht in das Leben einer Person samt Überblick über Kontakte und Freunde.
Die Technik ist laut einem Bericht der britischen Zeitung „The Guardian” bereits an Behörden und Unternehmen in den USA weitergegeben worden – mit dem Ziel, ein nationales Sicherheitssystem aufzubauen, das künftig Billionen von Einträgen auswerten soll: Big Data im Cyberspace.
viele Anfragen an Twitter
Das Thema hat zwei Dimensionen: Erstens geht es darum, aus Daten herauszulesen, wer welches Verbrechen begangen haben könnte. Zweitens ist das Ziel, Verbrechen von vornherein zu verhindern. Entsprechend wächst die Zahl der Anfragen von Strafverfolgungsbehörden nach Nutzerdaten an Twitter rasant. In der zweiten Jahreshälfte 2012 haben den Microblogging-Dienst mehr als 1000 Anfragen von Polizei und Justiz weltweit erreicht. Fast 700 davon kamen aus den USA – aber nur eine Handvoll aus Deutschland. Die Ermittler interessieren sich vor allem für Unregelmäßigkeiten.
So folgt etwa das Abrechnungsverhalten von Hebammen in der Regel einer bestimmten Verteilung, wie Frank Keller, Leiter der Stelle zur Bekämpfung von Fehlverhalten im Gesundheits- wesen der Techniker Krankenkasse auf einer Konferenz über Business Intelligence berichtete: Die meisten Besuche finden tagsüber statt, ein gewisser Prozentsatz dagegen nachts. Sucht man nun gezielt nach Abrechnungen, die einen nächtlichen Besuch belegen, so fallen einige Hebammen auf, die vorrangig in der Nacht unterwegs sind. Möglicher Grund: Nachts lässt sich mehr abrechnen. Der Softwarehersteller SAS Heidelberg bietet ein Programm an, mit dem sich solche Schwindeleien aufdecken lassen. Außerdem hat das Unternehmen kürzlich ein neues Analyseprogramm für die Bekämpfung von Finanzdelikten vorgestellt. Das System verfügt über Funktionen, um Geldwäsche zu enthüllen und Betrug oder Steuerhinterziehung anhand eines Missverhältnisses von Geldströmen und entrichteten Steuern zu erkennen.
Um vorbeugendes Handeln geht es bei der „Zentralstelle für regionales Sicherheitsmanagement und Prävention” des Verkehrsverbunds Rhein-Ruhr. Sie soll für mehr Sicherheit im öffentlichen Personennahverkehr sorgen. Auf der Basis eines Sicherheits- und Beschwerde-Managements werden sogenannte Brennpunktanalysen erstellt. Im Fokus der Software stehen zum Beispiel „Graffiti” oder „Schmierereien”, „Beschädigung von Einrichtungen und Sitzen” sowie „Zerkratzen von Scheiben”. Das Ganze wird aufgelöst nach Merkmalen wie „Zeit” sowie „ Haltestellen und Linien”.
Landkarten des Vandalismus
Das Analyse-Tool, das Experten von Microsoft und der Firma Arcplan aus Langenfeld gemeinsam mit Wissenschaftlern am Lehrstuhl für Wirtschaftsinformatik der Ruhr-Universität Bochum entwickelt haben, belegt, dass sich viele sicherheitsrelevante Hinweise aus den Daten herauslesen lassen. Ein Ergebnis sind Karten, die Orte mit häufigem Vandalismus ausweisen, neben Gebieten, in denen kaum etwas passiert. Damit lässt sich etwa die Aufstellung von Überwachungskameras optimieren.
Doch kann man mit Methoden der Datenanalyse auch Verbrechen vorhersehen und verhindern? Oder bekommen die Fahnder nur das heraus, was sie ohnehin schon wissen – etwa, dass es in sozialen Brennpunkten mehr Gewaltverbrechen gibt als in schicken Wohngegenden? Und dass andererseits in schicken Wohngegenden häufiger eingebrochen und mehr gestohlen wird als in weniger renommierten Stadtvierteln? Eine Gruppe von Wissenschaftlern um Bioinformatiker Kay Hamacher und Informatiker Stefan Katzenbeisser von der Technischen Universität Darmstadt hat die Probe aufs Exempel gemacht.
Die Leitfrage war: Hätten sich die Anschläge von New York auf das World Trade Center vorhersagen lassen, wenn sich die Sicherheitsbehörden nur die richtigen Daten angeschaut hätten? Das ernüchternde Resultat: „Das in den USA häufig vorgebrachte Argument, dass Terroristen schon vor einer Straftat identifiziert werden können, ist nach unserer Studie fraglich”, sagt Kay Hamacher. „Entgegen bisherigen Vermutungen konnten wir durch Simulationen zeigen, dass die Wahrscheinlichkeit, Terroristen noch während der Planungsphase eines Anschlags ausfindig zu machen, durch die automatische Auswertung großer Datenmengen nicht größer wird”, sagt der Forscher.
Die Darmstädter Wissenschaftler hatten eine sogenannte agentenbasierte Simulation angewandt – eine Methode aus der Biologie, mit der sonst Netzwerke von Interaktionen untersucht werden, etwa zwischen Raub- und Beutetieren. Dabei werden konkrete Situationen im Rechner nachgebildet und die Interaktionen der Tiere modelliert.
Terrorist oder Bürger?
Diese Methode haben Hamacher und Katzenbeisser mit ihren Teams aus dem Tierreich ins Reich handelnder Menschen transferiert. Ihre „Agenten” bekamen entweder das Attribut „Terrorist” oder „ normaler Bürger”. Die Daten erhielten die Forscher aus realen Terrornetzwerken, die das FBI nach den Anschlägen vom 11. September ermittelte und deren Kommunikation und Nachrichtenaustausch die US-Bundespolizei nachträglich rekonstruierte. Diese kleinen Gruppen von maximal 17 Terroristen implantierten die Wissenschaftler in unterschiedlich große Gruppen von 50 000 bis zu einer Million „Bürgern”.
Die Forscher erwarteten, dass sich das Kommunikationsverhalten der Terroristen von dem unbescholtener Menschen unterschied. Doch das tat es nicht. Die Planungen für ein Attentat gingen im Rauschen der großen Datenflut unter. Selbst das beste Analyse-Tool ist nur so gut, wie die beteiligten Ermittler, die zuvor – ganz im Sinne von Sherlock Holmes – „kombinieren” müssen. ■
Ulrich Schmitz, Technik- und Wissenschaftsjournalist in Bonn, ist spezialisiert auf Themen rund um die Informationstechnologie.
von Ulrich Schmitz
