Privatsphäre, Identität und Anonymität im Web 2.0
Geschrieben am 27.12.2006
Ob Ebay-Username oder Myspace-Profil: Seit das Web nicht nur Informationen darstellen, sondern - ganz Web 2.0 - Identitäten abbilden soll, sind Digitale Identitäten werden immer wertvoller, gleichzeitig auch immer unübersichtlicher geworden. Mit jedem neuen Web-Angebot, bei dem wir uns anmelden, erhalten wir einen Usernamen und ein Passwort mehr. Abhilfe schaffen sollen Identity Management Systeme, wie sie unter anderem Microsoft und Google anbieten. Doch diese Systeme stellen ein großes Risiko dar für Privatsphäre und Datensicherheit.
Üblicherweise verifiziert man sich heute über einen Usernamen und ein Passwort, und das für jede Seite einzeln. Unterschiedliche Digitale Identitäten sind schon aus Gründen der funktionellen Differenzierung verschiedener Web-Angebote unerlässlich. Die gute Reputation von Ebay muss sich nicht auf Myspace übertragen lassen und den Banker, der über meinen Kredit entscheidet, wird meine "gute Führung" in einer Online-Community nicht interessieren. Doch der Bedarf für ein Identity Management-System, das die eigene Digitale Identität mit Sicherheit verifiziert und damit die Gefahr von Missbrauch vermindert, steigt. Der Haken: Wer auf ein solches Angebot setzt, muss seine sensibelsten Daten einem Dritten anvertrauen.
Unsere Digitale Identität ist eine Wolke aus den verschiedensten Online-Aktivitäten. Für diese Erkenntnis reicht ein Ausflug zu google. Bei claimID lässt sich ein wenig Übersicht schaffen. Man kann dort mehrere Profile über sich anlegen, die auf andere Seiten verweisen, auf denen der Nutzer aktiv ist. So kann man zum Beispiel seinen potentiellen Arbeitgeber auf Fachforen und das eigene Xing-Profil verweisen, während private Bekanntschaften den Link zur Fotosammlung und zum Blog bekommen. Das minimiert auch die Wahrscheinlichkeit, dass jemand auf der Suche etwas findet, das er nicht sehen soll. Einen Schritt weiter geht der Reputation Defender, der verspricht, die Digitalen Identitäten seiner Kunden nicht nur aufzulisten, sondern auf Wunsch auch reinzuwaschen.
Microsoft startete mit "Passport" den ersten großen Versuch, den Nutzern mit einem einzigen Passwort Zugriff auf alle ihre Accounts zu bieten. Problematisch an dieser Entwicklung war die zentrale Speicherung nicht nur der Zugangsdaten, sondern auch diverser Nutzungsdaten. Und kaum jemand möchte seine sämtlichen Bewegungen im Internet zentral gespeichert wissen.
Einen etwas anderen Weg gehen Digitale Visitenkarten, die selbst keine Informationen, sondern nur Referenzen enthalten. Die Daten werden auf der Karte nur verlinkt und aus einer zentralen Datenbank gelesen, die ein Identity Provider bereithält. Wer sich in einer Website einloggen will, wählt eine Visitenkarte und damit die zu übermittelnden Informationen aus, die Website bekommt dann vom Provider die verschlüsselte Information und kann verifizieren, dass der Absender der ist, der er zu sein vorgibt. Der Vorteil ist, dass nur die notwendigen Informationen übermittelt werden und auch nur, wenn der Nutzer das will.
Egal welches System verwendet wird, die Schwachstelle ist immer, dass beim Anbieter, dem Identity Provider, alle Fäden zusammenlaufen und eine große Datensammlung entsteht, ein fast lückenloses Profil des Nutzers. Nur clevere Anonymisierung von Nutzungs- und Userdaten, die Einhaltung hoher Ansprüche an die Datensicherheit und große Transparenz auf Seiten der Anbieter können dem entgegensteuern, denn - so das Fazit der Veranstaltung: "A system of perfect identity is a system of perfect control."
Steckbrief des Vortrags beim 23c3
0 Kommentare