Mit der fortschreitenden Digitalisierung kommunizieren, mieten oder kaufen wir immer mehr online. All das funktioniert nur mithilfe einer digitalen Identität, also dem Nachweis, dass tatsächlich die vermutete Person interagiert. Derzeit entwickeln sich verschiedene Möglichkeiten, wie man im Internet seine Identität nachweisen kann.

Ich bin ich und du bist du

Unter Identität versteht man generell die „Echtheit einer Person oder Sache; völlige Übereinstimmung mit dem, was sie ist oder als was sie bezeichnet wird“. Dabei gibt es unfälschbare Merkmale wie Fingerabdruck und DNA, aber auch Merkmale, die durch Handlungen, Vorlieben etc. ersichtlich werden.

Identität macht Menschen adressierbar. Durch das „Erkennen“ einer Person oder durch die Zuschreibung von einem Namen zu einer Person ist es möglich, jemanden zu kontaktieren. Für die Vertrauenswürdigkeit einer Identitätsinformation wie z. B. dem Namen ist ein Identitätsanbieter notwendig. Dies kann zum Beispiel der Staat sein, der durch das Ausstellen von Personalausweisen eine Identifikation ermöglicht.

Vertrauen ist gut, Kontrolle ist besser

Mit der Einführung des Internets begegnete man nicht nur neuen Möglichkeiten, sondern auch neuen Herausforderungen, so auch bei den Identitätssystemen. Emailadressen, Webadressen und Nutzerprofile auf Plattformen sind nun Teil der Identität, sie machen eine Person adressierbar.

Bei komplexeren Handlungen im Internet reicht es jedoch nicht aus, jemanden nur zuverlässig adressieren zu können. Beim Kauf von Produkten, der Autorisierung von Finanztransaktionen oder auch dem Nachweis von Zugangsvoraussetzungen, wie etwa einer Altersbestätigung, muss man sich im Internet als konkrete Person mit bestimmten, in diesem Zusammenhang geforderten Eigenschaften ausweisen können.

Die Frage ist allerdings, wie eine solche vertrauenswürdige Identität gewährleistet werden kann. Denn eine große Gefahr im Internets ist der Identitätsraub. Einen Account zu hacken oder den Namen einer fremden oder erfundenen Person anzunehmen, sind häufige Vergehen in der digitalen Welt, mit großen Auswirkungen auf das gesamte Leben des Betroffenen. Das Vertrauen in digitale Identitäten sinkt. Wie muss also eine vertrauenswürdige Identität im Netz aussehen?

Vertrauenswürdige Identität im Netz

Wichtig ist, dass digitale Identität nicht die Offenlegung aller privaten Informationen bedeutet, sondern nur die Richtigkeit relevanter Informationen gewährleistet.

Die Nutzung vieler Onlinedienste erfordert eine Registrierung. Angabe von Geschlecht, Vor- und Nachname, Geburtsdatum und Emailadresse sind längst Standard. Doch natürlich ist es möglich, falsche Angaben zu machen und sich so einer fremden oder erfundenen Identität zu bedienen.

Im März 2015 hatte Facebook rund 1,42 Milliarden monatlich aktive Nutzer. Das sind 1,42 Milliarden Identitäten. Personen, die sich im digitalen Raum bewegen, kommunizieren, kommentieren, einkaufen und vieles mehr. Die Echtheit der Personen ist nicht nachweisbar. Erst kürzlich richtete Facebook die Klarnamenpflicht ein, die Fakeprofilen den Garaus machen sollte. Das wurde von vielen Nutzern kritisiert, die lieber anonym bleiben wollten und z. B. auf die Gefahr der Klarnamenpflicht für Oppositionelle und Journalisten in undemokratischen Ländern hinwiesen.

Die anonyme Nutzung ist nach deutschem Recht möglich (§ 4 Abs. 6 Teledienstdatenschutzgesetz), greift aber nicht bei Facebook, da dessen europäischer Sitz in Irland ist.

Zu der Klarnamenpflicht kommt die immer mehr verbreitete Möglichkeit hinzu, sich via seines sozialen Netzwerkprofils auch bei anderen Websites einzuloggen, ohne dort extra einen Account anlegen zu müssen. Ein so genanntes single sign on-Verfahren mag für den Nutzer vieles vereinfachen, doch gibt es dem Sozialen Netzwerk mehr Informationen (durch Datenaustausch) und mehr Macht (durch Monopolstellung). Auf einigen Plattformen ist es gar nicht möglich, sich ohne Facebookprofil anzumelden. Die Betreiber von Websites verlassen sich also auf die Echtheit der Identitäten von anderen Websites, genauer von sozialen Netzwerken. Auch das Vertrauen zwischen Nutzern wird durch Maßnahmen wie die Klarnamenpflicht gestärkt, und zunehmend entstehen Profile, die den Personen der realen Welt immer mehr ähneln. Denn waren Informationen vor einigen Jahren noch auf unterschiedliche Userprofile (je Plattform ein eigenes) verteilt, bündelt sich immer öfter alles in einem einzigen „totalen“ Profil.

„Bitte halten Sie Ihr Facebookprofil bereit“ – bald Realität?

„Mit Facebook anmelden“ oder „sign in with google“ sind längst übliche Verfahren, um den Dienst einer Website zu nutzen; die digitale Plattform (z.b. Facebook oder Twitter) werden zu einem Identitätsanbieter. Ein Hoheitsakt, der früher Aufgabe des Staates war, wird Facebook, Google und Linkedin übertragen.

Besonders die Leute hinter Facebook haben früh die Notwenigkeit einer glaubwürdigen, anerkannten und vielseitig einsetzbaren digitalen Identität erkannt und sind durch Klarnamenpflicht und single sign on- Verfahren auf bestem Weg, unser Profil zum digitalen, vertrauenswürdigen Ausweis zu machen. Gefährlich ist jedoch, dass die Identitäten dann zwar glaubhaft sind, aber eben auch alle Daten preisgeben und kommerziell verwertet werden. Zwar ist es die Aufgabe des Staates, seinen Bürgern verlässliche Identitätsnachweise auch für den digitalen Raum bereitzustellen, allerdings haben die bisherigen Versuche zumindest in Deutschland wenig Erfolg gehabt. Und selbst wenn dem Staat der Spagat zwischen Sicherheit und Usability gelänge, entscheidet letztlich der User, ob er datensparsam auf einige nur per Facebook nutzbare Dienste verzichtet, oder doch bequem den single sign on-Weg geht.

Bild: geralt (CC0 1.0)

Video der Woche

In unserem Video der Woche haben wir dieses Mal einen Zusammenschnitt der Aktuellen Stunde zum No-Spy-Abkommen aus dem Deutschen Bundestag ausgewählt. Der „Popcorn-Cut“ von Digitalcourage e.V.: Holen Sie sich was zu knabbern!

Die NSA nach der Rede von Barack Obama

In einem Kommentar von Johannes Kuhn wird die Blickrichtung des US-amerikanischen Präsidenten Barack Obama und damit seine zukünftige Politik in Sachen NSA unter die Lupe genommen. In Wahrheit habe sich Obama „für die Logik der NSA“ entschieden, weil er an der „Ethik seiner Geheimdienste“ nicht zweifle. In dem Artikel können Sie sich auch das Interview mit Obama selbst noch mal angucken und sich darüber ein eigenes Urteil bilden.

Debatte zum NSA-Untersuchungsausschuss in der BRD hat begonnen

Da ein Untersuchungs-Ausschuss zur NSA-Affäre in greifbare Nähe rückt, denkt Wolfgang Gast darüber nach, welches Aufklärungspotential dieser haben könne. Der Ausschuss werde sich schwertun, da sich die NSA-Verantwortlichen nicht äußern werden. Dennoch sei er wichtig für die Debatte im Inland, da mindestens der BND sich dem Ausschuss nicht entziehen könne, Politiker erklären müssten, warum etwa ein No-Spy-Abkommen nicht zustande komme und eben, ganz nach dem Zweck eines Untersuchungsausschusses, Rechenschaft über ihre derzeitige Politik ablegen müssen.

Die Zukunft der Netzneutralität in der EU

Die Diskussion um die Regelung der Netzneutralität auf europäischer Ebene ist im vollen Gange. Ein Artikel von Barbara Wimmer stellt den aktuellen Diskussionsstand und die Kritik der EU-Kommissions-Vorschläge im Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) des EU-Parlaments dar. Es scheint als greife das Europäische Parlament die von Bürgerrechtsinitiativen gestartete Kampagne safetheinternet.eu zur Sicherung der Netzneutralität in Europa auf.

Die Illusion des Netz-Optimismus der letzten Dekade

Die Debatte über das Internet, die letzte Woche von Sascha Lobo angestoßen wurde, zieht weitere Kreise bzw. sie verlagert sich. Es werden Themenkreise ausführlicher diskutiert, die uns auch in Zukunft noch weiter beschäftigen werden – hier das Demokratisierungspotential des Internets (Stichwort: Online-Petitionen, „Erregungsdemokratie“ usw.), dort das Verhältnis von Öffentlichkeit und Privatsphäre (Stichwort: „Post-Privacy“). Und darüber hinaus werden die optimistischen Einschätzungen des Internets der Vergangenheit zunehmend kritischer reflektiert. Marco Settembrini di Novetrem kritisiert diese „Heilsversprechen“ der Vergangenheit bis hin zur Gegenwart nach dem Motto: „Wer nichts hat als einen Hammer, dem erscheint die ganze Welt als Nagel.“

Digitale Sicherheit in Zeiten der „Post-Privacy“

Anne Roth präsentiert uns auf ihrem Blog Annalist Thesen zum Thema „digitale Sicherheit“. Aufhänger für ihre aktuellen „Innenansichten“ ist ein Artikel von Das Nuf, der argumentiert, wir seien „zu faul, um nicht überwacht zu werden“. So ist ihr Artikel auch ein Plädoyer für unsere eigene digitale Selbstermächtigung sowie die Frage nach dem Widerstandspotential gegen die Ohnmacht in postdemokratischen Zeiten der totalen Überwachung. Sie weist dabei galant auf Widersprüche hin: Obwohl es auch mit Verschlüsselungstechniken keine perfekte digitale Sicherheit gebe, sei „jeder Schritt in Richtung mehr digitaler Sicherheit ein Schritt in die richtige Richtung.“

Multiple digitale Identitäten vs. totales Profil

Last but not least weisen wir auf den Stream eines erfrischend unaufgeregten sowie spannenden Radiogesprächs der Sendung „Breitband“ auf Deutschlandradiokultur hin. Philip Banse, Prof. Dr. Petra Grimm (Hochschule für Medien Stuttgart), Sascha Lobo (Blogger und Strategieberater) und Jochen Wegner (Chefredakteur von Zeit Online) diskutieren das Thema der multiplen digitalen Identiäten im Spannungsfeld mit dem „totalen Profil“ in Zeiten der „Hyperkonnektivität“.

 

Dabei haben die Bank of America und der Telekomriese AT & T gemessen an der absoluten Anzahl an Vorfällen am meisten mit Identitätsbetrügern zu kämpfen. In einer ersten Stellungnahme verwies eine Sprecherin der Bank of America darauf, dass einem Identitätsdiebstahl nicht notwendigerweise ein Versagen der Bank zugrunde läge.

Wenn genauere Daten über Identitätsbetrug verfügbar wären, so hätten Verbraucher mehr Auswahlmöglichkeiten, Strafverfolgungsbehörden könnten sich auf die am meisten betroffenen Einrichtungen konzentrieren und die Unternehmen selbst könnten auf einer verlässlichen Grundlage um die Auszeichnung der höchsten Datensicherheit konkurrieren, so Hoofnagle.

Daten zum Identitätsbetrug angefordert

Auf Grundlage des „Freedom of Information Act“ hatte er Daten über Identitätsbetrug angefordert. Das Gesetz berechtigt jeden US-Bürger, Zugriff auf Dokumente der Exekutive zu verlangen. Die untersuchten Daten wurden 2006 an die us-amerikanische Handelskommission übermittelt. Diese fungiert als Verbraucherschützer und Wettbewerbsbehörde.

Aus drei zufällig ausgewählten Monaten flossen Daten in die Studie ein. Ingesamt lagen Hoofnagle fast 90.000 Beschwerdefälle vom Januar, März und September 2006 vor.

Nicht alles landet bei Behörden

Doch die Studie erfasst keinesfalls alle Vorfälle der untersuchten Monate. Die meisten Bankkunden etwa würden das Problem mit einem Anruf beim Kundenservice lösen und den Vorfall nicht der Behörde melden, so Hoofnagle.

Während die Studie einige Schwierigkeiten beim Strukturieren der vorliegenden Daten eingesteht liefert sie doch wertvolle Informationen:

Sie stellt einen ersten Versuch dar, Datensicherheit als Qualitätsmerkmal für sensible Dienstleistungen zu etablieren. Dabei ist die Genauigkeit der eingereichten Beschwerden teilweise für eine weitergehende Analyse der Situation unzureichend. Auch unterscheidet die Studie nicht zwischen Online- und Offlinebetrug.

Lage in Deutschland

In Deutschland steige derweil die offizielle Zahl der Kontodatenklaus via Internet, des sogenannten Phishings, rasant an, wie BKA-Chef Jörg Ziercke der Neuen Osnabrücker Zeitung berichtete. 2007 registrierte seine Behörde 4.200 Fälle und damit 20 Prozent mehr als im Vorjahr. Die Dunkelziffer liege jedoch deutlich darüber.

Ziercke forderte Internetnutzer zu einem sensibleren Umgang mit dem Internet auf. Auf Schutzmechanismen zu verzichten oder diese nicht zu aktualisieren bedeute, früher oder später in die Fänge von Kriminellen zu geraten.

Schutzmechanismen

Konventionelle Maßnahmen wie die Ablehnung aller HTML-EMails oder eine Deaktivierung von Javascript können dabei mit fortgeschritteneren Methoden ergänzt werden. HBCI in Kombination mit einer Chipkarte und iTAN sind zwei Technologien, die sich bei Banken steigender Beliebtheit erfreuen. HBCI wird als gemeinsamer Standard fuer Homebanking bereits seit 1995 kontinuierlich weiterentwickelt. Bei etwa einer Ueberweisung mit indizierten Transaktionsnummern (iTAN) wird von der Bank eine zufällig ausgewählte Transaktionsnummer verlangt, was die Chance eines erfolgreichen Phishingangriff verringern soll.

Allerdings bleibt Deutschland international dabei vergleichsweise unattraktiv für ID-Banditen. Denn aufgrund gesetzlich vorgeschriebener strengerer Authentifizierung für Online-Banking sind Phishingversuche weniger effektiv, so eine aktuelle Untersuchung.

Identitätsdiebstahl ist mittlerweile eines der größten
Internetprobleme. Die Bandbreite ist hier gewaltig: sie reicht vom
Ausspähen von Passwörtern für den eBay-Account über
Banktransaktionen auf fremde und nur schwer zu kontrollierende Auslandskonten
in Offshoreparadiesen bis hin zur gezielten Manipulation einer Person
beispielsweise durch Veränderung der Kreditwürdigkeitseinträge
bei entsprechenden Auskunfteien.

Rein technisch meist ohne allzu grossen Aufwand, doch die Folgen
sind enorm. Fatalismus, Ignoranz oder gar totale Hingabe an die
vermeintlich übermächtige Technik sind oftmals die Folge,
wenn der durchschnittliche User erst einmal Opfer geworden ist.
Wechselwirkungen mit medialen Darstellungen, eigenen Wissenslücken
oder der Professionalisierung der Täter verstärken häufig
die Wirkung. Sollten „nur“ ein paar Euro auf ein fremdes
Konto überwiesen worden sein, so lässt sich das vielleicht
noch verschmerzen – sobald aber Zweifel an der eigenen Organisations-
und Kontrollfähigkeit aufkommen, weil man sich eigentlich sicher
war, dass man seine Mails unter Verschluss gehalten, die privaten
Tagebücher gut versteckt sowie die TAN-Liste ausreichend geschützt
hatte, wird es kritisch.

Die Identität ist im digitalen Raum nicht einfach gleichzusetzen
mit dem Schutz eigener Daten wie PIN, digitalisierter Unterschrift
oder Käufervorlieben. Identität bedeutet Individuum: es
ist kein Problem, einem User ein anderes Ich oder gar eine real
nicht existierende Person vorzugaukeln. Alle Ebenen, bis hin zur
einzigen technisch-individuellen Identifikationsmöglichkeit
während einer Surfsession, der IP-Nummer, können verschleiert
oder gar gefälscht werden. Und auch andersherum kann natürlich
getäuscht werden, da der Diebstahl fremder Identitäten
mittlerweile ein milliardenschwerer Markt geworden ist, vor allem
in den USA. Wer ein Passwort erspäht und damit den gewünschten
seriösen eBay-Account nutzt, der kauft nicht nur zu Lasten
eines Users ein, sondern – und das ist besonders wichtig –
agiert als diese Person und kann so zum Beispiel durch entsprechendes
Verhalten für negative Bewertungen sorgen. Den Schaden hat
dann der „echte“ User – und zwar nicht nur in
der digitalen, sondern eben auch in der nichtdigitalen Welt, da
man ihn mit den negativen Ergebnissen assoziiert.

Hinsichtlich der digitalen Identität werden freilich auch
beim Identitätsgeber Begehrlichkeiten wach. Eröffnet man
sich den individuellen Denk-Raum, so eröffnet man sich zugleich
zahlreiche verlockende Chancen. So würde es einem Single zweifellos
gut gefallen, wenn seine digitale Identitätserweiterung oder
–darstellung bei anderen Singles gut ankommt. Durch den Flirtchat
hätte er beispielsweise eine Erweiterung in seinem Leben gefunden,
die ihm schnell und unkompliziert Kontakte zum anderen Geschlecht
ermöglicht. Wird die Realität verfälscht, unterscheiden
sich digitale und reale Identität und früher oder später
kann es zu einem Konflikt kommen. Dies ist das grösste Risiko,
aber zugleich auch eine faszinierende Verlockung. Das Spiel mit
den Identitäten ist im Internet und hier ganz besonders im
Chat mit Sicherheit eine der reizvollsten Angelegenheiten. Anders
als bei einem Gespräch in der realen Welt erfordert der Chat
in der digitalen Welt eine enorme Imaginationskraft. Die Möglichkeiten
sind vergleichbar mit den Begehrlichkeiten: es ist nur schwer ein
Ende abzusehen. Wir sind heutzutage nicht nur aufgrund der fortschreitenden
technischen Entwicklung kaum in der Lage, alle Möglichkeiten
abzuschätzen. Bisher haben sich auch keine nennenswerten Grenzen
aufgetan, die ein Ende dieser Technik aufgezeigt hätten. Die
zahlreichen medialen Verbindungen wie die von PC, Internet und SMS-Versand
oder Handy und Fotoapparat zeigen dies nur ansatzweise, aber beeindruckend.
Eine ständige Erweiterung bestehender Medientheorien ist also
notwendig, um mit den Möglichkeiten und ihrer Realisierung
auch nur ansatzweise Schritt zu halten. Die Grenze setzt da höchstens
das Individuum, denn gesellschaftliche Grenzen sind oftmals nicht
erkennbar: da, wo es für den Mann die Chance zum Chat als Frau
gibt und umgekehrt, da wo es die Chance zum Spiel mit den Identitäten
gibt, da wird sie mit grosser Wahrscheinlichkeit auch von jemandem
genutzt – egal, wie gleichgültig oder verwerflich dies
insgesamt sein mag.

Die digitale Identität ist ein wichtiges soziologisches Thema
– wir sind soziale Wesen und wirken immer auch auf andere. Unsere
digitale Identität füllt eine mehrfache Form opulent aus:
sie dient sowohl als Inhalt und beschreibt uns als Individuum, aber
sie ist auch Produkt unseres Onlineverhaltens oder dessen, was andere
daraus machen. Sie ist eine soziale Institution, genau wie unsere
reale Identität. Der Umgang mit der digitalen Identität
hat bedeutende Symbolkraft. Produktion und Rezeption haben nicht
nur für uns, sondern auch aufgrund der Aussenwirkung für
andere eine große Bedeutung. Und ebenso müssen gleichzeitig
auch immer Mythen und Rituale aufgeklärt und entzaubert werden,
die es zuhauf gibt in den unscharfen Vorstellungen der meisten Userinnen
und User. Deutlich wird dies durch ein einfaches, aber beeindruckendes
Beispiel: Entscheidend sind nicht die einzelnen Informationen, die
machtvoll in der Vorstellung des Durchschnittsusers über ihm
schweben wie ein Damoklesschwert, sondern nur ihre erfolgreiche
Verknüpfung. Wer also meint, dass alles über ihn bekannt
ist – Büchervorlieben, Kreditwürdigkeit, Chatpartner
– der vergisst sehr oft, dass diese Daten fragmentiert und
verteilt sind. Sie wirken in ihrer Singularität bereits bedrohlich,
sie sehen aus wie eine machtvolle Einheit – sie sind jedoch keine.
Denn sie können nur in einer richtigen Verknüpfung gefährlich
werden.

Als Fazit bleibt zu sagen, dass die gesellschaftliche Relevanz
der zunehmend digitalisierten Identität unbestritten ist. Ein
neues Denken ist notwendig im digitalen Raum! Wir sind nicht nur
die Person vor dem Monitor, sondern auch das, was auf der eBay-Bewertungssseite
über uns steht. Wir sind, wenn wir Onlinebanking nutzen, bereits
anders als die Personen, die dies nicht tun – wobei die Art
der Aktion im Onlinebanking uninteressant ist. Allein die Tatsache,
dass wir es tun, ist ausreichend. Wir sind durch unsere Ausdrucksweise,
unsere Reaktionszeit, unsere Aussagen und unser Folgehandeln eine
Person in der Imagination einer anderen Person, wenn wir online
sind. Es tun sich also zahllose Ergänzungen und Unterschiede
im Vergleich zur realen Welt auf, was ausreichend gewürdigt
werden muss. Denn wenn wir uns nicht darüber im Klaren sind,
dass wir zumindest fragmentarisch auch digital existieren, dann
sind sich andere darüber längst im Klaren. Der eBay-Account-Dieb
weiss, dass wir den Schaden haben, wenn er uns ein negatives Feedback
beschert. Eine generelle Kontrolle unserer digitalen Identität
ist in vielen Fällen schwierig, aber eben nicht unmöglich.
Auch hier kann man durch Redundanz, Mischung und andere Einflussnahmen
mehr Kontrolle behalten, als man auf den ersten Blick vermuten mag.

Gespeicherte Daten über uns sagen alleine noch nicht viel
aus. Es ist nicht besonders schlimm, wenn eBay weiss, dass wir unter
dem Pseudonym xyz Waren kaufen und verkaufen, denn Vergleichbares
weiss unser Kaufmann um die Ecke auch. Doch wir müssen den
Maschinen nicht übermässig viel Vertrauen zukommen lassen,
wenn wir selbst die Macht über unsere Informationen und somit
letztlich über die Maschinen behalten können. Eine kritische,
detailgenaue und technisch fundierte Analyse kann hier eine enorme
Hilfestellung bieten.