Gegenwärtig können rund 60 Prozent der US-Amerikaner europäischer Herkunft durch öffentlich verfügbare Gendatenbanken identifiziert werden, schon in wenigen Jahren wird das für alle gelten. Denn wenn nur 2 Prozent einer Bevölkerungsgruppe in solch einer Datenbank versammelt sind, enthält sie für 90 Prozent der gesamten Gruppe mindestens einen Cousin oder eine Cousine dritten Grades, die eine Identifizierung ermöglicht. Das haben Forscher ermittelt, die einen spektakulären Kriminalfall als Anlass für ihre Analyse genommen hatten. Als Konsequenz fordert das Team um Yaniv Erlich von der Columbia University, dass die Daten verschlüsselt werden, damit nur berechtigte Personen sie einsehen und verwenden können.

Neuartiges Werkzeug für Ermittler

Im Frühjahr hatten US-Ermittler einen Mann festgenommen, den sie beschuldigen, der "Golden State Killer" zu sein und zwischen 1974 und 1986 mindestens zwölf Morde sowie mehr als 50 Vergewaltigungen begangen zu haben. Sie hatten ihn identifiziert, indem sie DNS des Mörders auf der Genealogie-Datenbank GEDMatch hochgeladen haben. Dort können Menschen solche Daten einstellen, die sie etwa von 23andMe bekommen haben, um dann nach Verwandten zu suchen. Die Ermittler fanden auf diesem Weg entfernte Verwandte des Mörders und konnten dessen Identität über weitere Angaben zu Geschlecht und Alter ausreichend eingrenzen, erklärt das Wissenschaftsmagazin Science, in die Forschungsarbeit nun veröffentlicht wurde.

Ziel ist es, über das öffentlich verfügbare Angebot Personen zu finden, die genug DNS mit der selbst hochgeladenen teilen, um mindestens als Cousin oder Cousine dritten Grades in Frage zu kommen – die können dann per E-Mail kontaktiert werden. Für jeden von uns gebe es rund 800 dieser Menschen, schreibt die New York Times. Ist mindestens eine solche Person gefunden, könne ein geschulter Experte mit weiteren öffentlich verfügbaren Informationen einen Familienstammbaum erstellen, über den sich letztlich jene Person identifizieren lässt, von dem die bis dahin anonyme DNS stammt. Ansonsten lässt sich der Personenkreis zumindest eng genug eingrenzen, um eine klassische Ermittlung zu ermöglichen.

Immer mehr Erfolge

Weil die DNS-Dienste vor allem von Menschen europäischer Abstammung genutzt werden, ist in diesen Fällen ein Erfolg besonders wahrscheinlich. Mit dem Ansatz haben US-Strafverfolger allein in diesem Jahr mehr als ein Dutzend Verdächtige identifiziert, vornehmlich in Fällen, die schon lange Zeit zurückliegen und in denen jegliche Ermittlungsarbeit bislang erfolglos war. Gegenüber der New York Times erklärte die Genealogin CeCe Moore sogar, dass ihre Forensikfirma bis zum Mai in insgesamt 100 Fällen genau so vorgegangen sei. Die Hälfte der Fälle sei so "offensichtlich lösbar" gewesen, 20 weitere ließen Hoffnung auf eine positive Identifizierung.

Damit dieses Vorgehen Erfolg verspricht, müssen vergleichsweise wenige – aber weit voneinander entfernte – Personen einer Gruppe ihre DNS zur Verfügung stellen. Zwar gibt es schon immens umfangreiche Datensätze, die für eine leichte Identifizierung von quasi jedem ausreichen würden, aber Portale wie 23andMe und Ancestry.com machen es den Nutzern nicht so leicht wie die genau dafür gedachten GEDMatch oder MyHeritage. GEDMatch verfügt über rund 1,5 Millionen Datensätze. Gegen die kann jeder einen selbst eingesammelten DNS-Satz abgleichen, ohne Kontrolle, ob dafür überhaupt eine Befugnis vorliegt.

Ruf nach mehr Datenschutz

Erlich – der selbst auch für MyHeritage arbeitet – und sein Team fordern deswegen mehr Datenschutz. Was Strafverfolger machen, könnten ja auch andere mit weniger ehrenhaften Motiven unternehmen, um Menschen zu identifizieren. Und auch für Strafverfolger gibt es Vorgaben, wie etwa die Pflicht zur Einholung eines Durchsuchungsbefehls, die gegenwärtig durch das Angebot und die Funktionsweise von GEDMatch ausgehebelt werden. Nutzer, die ihre DNS analysieren lassen, sollten diese nur kryptographisch signiert erhalten. Bei Folgeangeboten wie dem von GEDMatch wäre dann eine Authentifizierung möglich und man könnte keine fremden Daten mehr hochladen, wie die Ermittler es derzeit tun.

[Update 17.10.2018 – 13:55 Uhr] Es geht um Gendatenbanken, der ungenaue Begriff wurde korrigiert. (mho)