News | Digitalisierung | IT-Security

ME, MYSELF AND I – IDENTITÄT(EN) AUF DEM PRÜFSTAND 

Illustration: Absmeier Geralt

Es ist Dienstagnachmittag, Sie wollen den Zug nach Hause nehmen, aber Ihr Anschlusszug hat zehn Minuten Verspätung. Also setzen Sie sich auf eine Bank, öffnen Ihre Dating-App und wischen: Links, links, rechts – »It’s a Match!«.

Wow! Sie sind angenehm überrascht und freuen sich, mehr über diese unglaubliche Frau zu erfahren, die ebenfalls nach rechts gewischt hat. Also schicken Sie ihr eine Kurznachricht, um ein Gespräch anzufangen. Schon nach ein paar Minuten wissen Sie mehr. Sie ist Single (offensichtlich, oder?!), blond, fünfundzwanzig Jahre alt, lebt im Stadtteil Cricklewood in London und ist ein echter Rolling-Stones-Fan.

Die Tage vergehen. Sie tauschen sich über unterschiedlichste Themen aus: Essen, Musik, Reisen, Ausgehen. Sie teilen was sie erfahren und erlebt haben, welche Orte sie mögen, senden sich gegenseitig Spotify-Playlists, Bewertungen auf TripAdvisor und Airbnb und so weiter. Die digitalen Ökosysteme verschmelzen. Obwohl Sie sich auf eine romantische Begegnung freuen…, im echten Leben steht sie noch aus. Sie kennen nur ihre »virtuelle Identität« oder »Internet-Pseudonyme«, viel mehr wissen Sie nicht. Könnte sie vielleicht doch eine Betrügerin sein? Und wie lautet eigentlich ihr richtiger Name? Sie recherchieren im Internet und fragen sich: Soll ich sie Lilly Green nennen? LillyGPretty wie auf Instagram? Wildflower952 wie auf Spotify? Oder Lillian Elisabeth Green, wie auf LinkedIn? Wie lautet ihr richtiger Name, und für wen stehen all die anderen in Wirklichkeit? In Ihrem Kopf tauchen Fragen auf.

 

Wieso hat sie so viele unterschiedliche Identitäten, und ist auch nur eine davon echt?

David Birch schreibt in seinem Buch »Identity is the New Money«: »In der Welt der Postmoderne ist nicht mehr länger klar, dass irgendeine Identität »real« ist. Alle Identitäten, die wir austauschen, sind virtuell. Obwohl diese virtuellen Identitäten natürlich mit unseren »weltlichen« Identitäten verbunden sind, sollte man sie nicht durcheinander bringen. Keine von ihnen ist »real«.«

Die Identität ist, wie Birch es erklärt; »ein netzwerkbasiertes, sozial unterstütztes Pseudonym«. Sie ist nicht einfach nur ein Begriff. Menschen haben potenziell viele verschiedene, sich überschneidende Identitäten, die sämtlich für ihre Individualität wesentlich sind. Zwar sind sie alle unterschiedlich, aber sie beziehen sich auf dieselbe Person und können – jeweils bis zu einem gewissen Grad – zur Identifizierung einer Person verwendet werden.

Immer mehr Websites gestatten es, über ein Google- oder Facebook-Konto auf Portale und Services zuzugreifen. Das ist weder neu noch besonders außergewöhnlich. Vielmehr etwas, das wir inzwischen als selbstverständlich voraussetzen. Ihr Benutzername ist möglicherweise nicht mit Ihrem Sozialversicherungskonto identisch. Sie haben aber eine bestimmte (einfache) Identitätsprüfung durch einen Drittanbieter bestanden (die bestätigt, dass Sie kein Roboter sind). Dadurch sind Sie berechtigt, diesen Benutzernahmen auch für andere Instanzen zu verwenden.

Was, wenn Sie ein Bankkonto eröffnen, eine Hypothek aufnehmen oder eine Wohnung mieten wollen? Können Sie dazu Ihr Facebook-Konto verwenden? Offensichtlich (und glücklicherweise) nicht.

Für solche Aktionen brauchen Sie zwingend einen stärkeren Identitätsnachweis – hier  kommen TTPs (Trusted Third Parties) ins Spiel. Diese Entitäten erleichtern die Interaktion zwischen zwei Parteien, die beide dem jeweiligen Dritten vertrauen. Sie überprüfen jegliche kritische Transaktionskommunikation zwischen den Parteien, ausgehend von der Prämisse, dass sich betrügerische digitale Inhalte leicht erstellen lassen. In solchen Modellen nutzen die beteiligten Parteien dieses Vertrauen, um ihre eigenen Interaktionen abzusichern.

Sie führen also eine gründliche Identitätsprüfung auf der Grundlage strenger Validierungsregeln der Branche durch. Damit stellen Sie sicher, dass Ihre digitale Identität eindeutig ist und mit den Daten übereinstimmt, die in Ihrem Personalausweis, Reisepass oder Führerschein stehen. Eine solche digitale Identität (ausgestellt von einer TTP) macht Sie im Internet vertrauenswürdiger: Eine unabhängige Person/ein Akteur bestätigt, dass Sie tatsächlich die Person sind, für die Sie sich ausgeben. Trotzdem öffnet sich dadurch immer noch kein Tor zu allen Anwendungen und/oder Diensten.

Warum? Weil jedes Portal, jeder Anbieter oder Verkäufer die Legitimität Ihrer Identität sicherstellen möchte, bevor er Ihnen den Zugang oder Zugriff gewährt – um sich selbst zu schützen und damit er weiß, mit wem genau er spricht und/oder interagiert.

»Die Stärke des Vertrauens ist nur so stark wie ihr schwächstes Glied« – ein Satz, den Sie wahrscheinlich nicht zum ersten Mal hören. Vertrauen kann also offensichtlich nur bis zu einem gewissen Grad aufgebaut werden.

 

Föderierte Identitäten

Um die User Experience zu optimieren und einen reibungslosen Zugang zu ermöglichen, setzen immer mehr Unternehmen und Behörden auf sogenannte föderierte Identitäten. Die verknüpfen die Identität eines Benutzers über mehrere Identitätsmanagementsysteme hinweg, so dass sie sicher und effizient auf verschiedene Anwendungen zugreifen können. Wir bewegen uns also langsam, aber sicher in die richtige Richtung. Allerdings sind wir noch Jahre von einer auch nur annähernd perfekten Situation entfernt. Und die stetig steigende Zahl von Cyberangriffen spricht eher für weitere Verzögerungen und wachsende Probleme – von Quanten-Computing ganz zu schweigen…

Wir alle wünschen uns ein ausgeklügeltes Zugangsmanagement. Trotzdem gilt es noch etliche Hürden und Schwierigkeiten zu überwinden, bis alles nahtlos und benutzerfreundlich funktioniert. Es lohnt sich aber durchaus, erst einmal die kleinen Erfolge zu feiern.

Noch haben nicht alle Bürger und Nutzer das Glück, ein hochgradig digitalisiertes Netz zur Verfügung zu haben oder auch nur ihre Identität eindeutig nachweisen zu können. Mit der Einführung von Web3 und Anwendungen wie Blockchain, Kryptowährungen und NFT, um nur einige zu nennen, tritt die digitale Identität jedes Benutzers/jeder Person/jedes Bürgers immer mehr in den Vordergrund und gewinnt weiter an Bedeutung. Die Plastikkarte, die wir heute noch alle bei uns tragen, wird bald überflüssig sein.

Jetzt und erst recht in Zukunft wird Ihre digitale »Identität« bestimmen, wer Sie sind, woraus Ihr (digitaler) Besitz besteht und wie Ihr Social Graph aussehen könnte. Ihr digitaler Fußabdruck und Ihre Daten werden darüber entscheiden, was Sie erwarten und was Sie möglicherweise erreichen können. Die digitale Identität kann sogar, wie David Birch konstatiert, zum Schlüssel für Transaktionen und zu einer wichtigen individuellen Ressource werden. Angesichts dessen empfiehlt es sich, sicherzustellen, dass solche Identitäten von verantwortlichen Organisationen gepflegt werden.

Anonymität ist im Internet und innerhalb der digitalen Welt zu einer Chimäre geworden. Ein illusorischer Traum von Freiheit und Privatsphäre, der unerreichbar ist. Manche mögen sogar argumentieren, dass es schädlich sein könnte, zumindest einige Informationen über sich selbst nicht preiszugeben.

Sie haben in diesem digitalen Zeitalter einen bestimmten Bekanntheitsgrad, werden von anderen gesehen und müssen das auch. Schon allein deshalb sollten Sie geeignete Maßnahmen ergreifen, um eindeutig nachzuweisen, wer sie sind und mit wem Sie andererseits Geschäfte machen.

Arnaud Vanderoost, VP EMEA, GlobalSign

 

Zur Startseite →

← Zurück