1.
Einleitung ^
[1]
In der Konzeption des Internet sind per se keine Mittel zur Identifikation von Personen vorgesehen, mit denen festgestellt werden kann, wer der Nutzer eines Service ist bzw. mit wem man online interagiert. Stattdessen erfolgt die Identifikation auf der Ebene der zur Kommunikation benutzten Geräte. Diese, nicht aber deren Nutzer, sind im Internet eindeutig identifizierbar. Im Alltag, bei der zwischenmenschlichen Kommunikation unter Anwesenden, ist es zwar ebenfalls nicht üblich, dass sich das Gegenüber beim Zusammentreffen zunächst aktiv identifiziert, es stehen uns aber Mittel zur Verfügung, die Identität oder relevante Eigenschaften des Gegenübers mit ausreichender Sicherheit abzuschätzen. Das bedeutendste dieser Mittel ist das Wiedererkennen einer Person anhand ihres Aussehens und weiterer Merkmale, wie zum Beispiel der Stimme. Personen, die wir bereits kennen, können wir anhand dieser Merkmale bei jedem Zusammentreffen – unbewusst bzw. automatisch – mit großer Sicherheit identifizieren. Bei fremden Personen – z.B. einer Person, die behauptet, Arzt zu sein – schätzen wir anhand der Umstände und ihres Auftretens (z.B. Anwesenheit in einer Praxis mit Türschild, weißer Mantel, offensichtliches medizinisches Fachwissen) ab, ob sie tatsächlich sind, wer oder was sie zu sein vorgeben. Ist ein höheres Sicherheitsniveau gefordert, werden Ausweise eingesetzt, wobei diese entweder von öffentlicher oder privater Seite ausgestellt sein können.
[2]
Ob mit oder ohne Ausweis, auch diese Vorgänge unter Anwesenden sind natürlich mit Unsicherheiten verbunden, jedoch ist es aufgrund der eben beschriebenen Möglichkeiten deutlich schwieriger als im Internet, sich als jemand anderer auszugeben. Im Internet fällt es zudem nicht leicht auf, wenn zwei Personen unter derselben Identität auftreten. Hingegen muss in der realen Welt eine Person, als die man sich ausgibt, physisch erst „verschwinden“.
[3]
Die zunehmende Verlagerung von Vorgängen des täglichen Lebens ins Internet erfordert daher geeignete Mittel der Identifikation und Authentifizierung, um mit der jeweils notwendigen Sicherheit feststellen zu können, wer der Nutzer eines Service ist bzw. mit wem man interagiert, und Mittel, mit denen Nutzer im Internet bestimmte Angaben über sich (z.B. Alter, die Eigenschaft, Arzt zu sein etc.) mit der jeweils notwendigen Sicherheit bzw. Glaubwürdigkeit machen können. Kurzum, es bedarf der Identitätsmanagementsysteme, die diese Aufgabe übernehmen. Im Folgenden werden Identitätsmanagementsysteme (weit) als „programs or frameworks that administer the collection, authentication, or use of identity and information linked to identity”1 definiert.
[4]
Das breite Feld des Identitätsmanagements im Internet ist derzeit von einer markanten Zweiteilung gekennzeichnet. Einerseits existieren die staatlichen Systeme, wie die Bürgerkarte in Österreich2 und der neue Personalausweis in Deutschland3 . Diese sind in der Regel geprägt vom Prinzip der Eindeutigkeit der Personenbindung4 und hohen Anforderungen an die Sicherheit, als Folge davon vergleichsweise hohem (Zeit-)Aufwand bei der Verwendung5 und einer geringen Verbreitung sowohl hinsichtlich der angebotenen Einsatzmöglichkeiten, als auch der tatsächlichen Nutzung. Andererseits werden für die überwiegende Mehrzahl der Identifikations- und Authentifizierungsvorgänge im Internet viel einfachere Systeme verwendet, die meist direkt dem Anbieter des zu nutzenden Service zuzuordnen und in der Regel auf diesen beschränkt sind. Im einfachsten und häufigsten Fall legt ein Nutzer bei der erstmaligen Nutzung eines Service im Internet durch Eingabe selbstbehaupteter Daten ein Benutzerkonto an und die laufende Identifikation und Authentifizierung erfolgt dann mittels Benutzername und Passwort.
[5]
Ein solches Benutzerkonto, wie auch eine Bürgerkarte und der neue Personalausweis, ist eine elektronische Identität (eID), auch als digitale Identität bezeichnet. Digitale Identitäten können allgemein definiert werden als „Sammlungen von digitalen Informationen, die zu einem Individuum oder einer Organisation gehören.“6 Diese sind nicht zu verwechseln mit der Identität einer Person, deren Definition an dieser Stelle bewusst außer Betracht bleiben soll, und aus dem Gesagten folgt bereits logisch, dass eine Person mehrere elektronische Identitäten haben kann. Elektronische Identitäten können als Teilidentitäten betrachtet werden, d.h. als digitale Repräsentationen eines Teils der gesamten Identität einer Person. Die einzelnen Informationen über eine Person, die zusammen eine elektronische Identität ergeben und mit dieser gespeichert sind, werden als Attribute bezeichnet.7
[6]
Es ist geradezu unvermeidlich, dass eine Person, die im Internet aktiv ist, mehrere elektronische Identitäten hat, darunter häufig pseudonyme Identitäten, die eine Verknüpfung mit anderen elektronischen Identitäten derselben Person nicht zulassen. Diese Umstände führen in der Regel dazu, dass es keinen Single Point of Information über die gesamte Online-Aktivität einer Person gibt, und können daher im Hinblick auf den Datenschutz grundsätzlich als Vorteil betrachtet werden. Hingegen entstehen Probleme, wenn eine einzelne Person so viele elektronische Identitäten besitzt, dass sie diese nicht mehr überblicken kann, oder aber auch, wenn eine elektronische Identität eines Nutzers, die einem einzelnen Serviceprovider8 – wie etwa Facebook oder einem E-Mail-Provider – zuzuordnen ist, das gesamte Verhalten des Nutzers im Internet dominiert.
2.
Die „Identitätskrise“ des Internet ^
[7]
Die soeben angesprochenen Probleme zeigen die Krise des Identitätsmanagements im Internet, insbesondere der Identifikation und Authentifizierung von Nutzern sowie des qualifizierten Nachweises bestimmter Nutzer-Attribute, z.B. des Alters.9 Während die Bedeutung des Internet immer mehr zunimmt, hat das Identitätsmanagement im Internet mit dieser Entwicklung nicht Schritt gehalten. In vielen Bereichen sind seit den Anfangszeiten der öffentlichen Nutzung des Internet nicht einmal geringe Fortschritte festzustellen. Doch während damals die Anzahl der Benutzerkonten eines Nutzers und deren Bedeutung aufgrund der eingeschränkten Möglichkeiten gering war, hat ein durchschnittlicher Internetnutzer heute eine unüberblickbar große Anzahl von Benutzerkonten mit z.T. sehr weit reichender Bedeutung bei ebenso vielen Serviceprovidern und mit ebenso vielen Passwörtern. Da er sich diese Vielzahl von Passwörtern nicht merken kann, notiert oder speichert er sie, oder – noch viel problematischer – er verwendet ein und dasselbe Passwort für mehrere Benutzerkonten. Die Sicherheit, welche bei der Authentifizierung mittels Benutzername und Passwort ohnehin begrenzt ist, wird dadurch noch erheblich verringert.10 Hinsichtlich des Datenschutzes ist es problematisch, dass der Nutzer jedem Serviceprovider bei der Registrierung oftmals einen Satz wichtiger Grunddaten bekanntgeben muss, die für die beabsichtigte Servicenutzung nicht immer notwendig sind. Hinzu kommt, dass der Nutzer rasch den Überblick darüber verliert, welchem Serviceprovider er welche Daten über sich bekanntgegeben hat, und die Wartung dieser Daten aufwändig ist, sodass sie im Laufe der Zeit inkonsistent werden und z.T. nicht mehr korrekt sind.
[8]
Eine gegenläufige Entwicklung wurde bereits durch Initiativen wie Microsoft Passport, OpenID und Liberty Alliance Project eingeläutet, hat sich aber erst durch die zunehmende Bedeutung der Benutzerkonten von Google und insbesondere Facebook durchgesetzt: die organisationsübergreifende Nutzung elektronischer Identitäten. Das Funktionsprinzip dieser Systeme ist, dass der Nutzer nach Log-in in das Benutzerkonto eines Serviceproviders auch darüber hinausgehende, von diesem unabhängige Services nutzen kann. Facebook treibt diese Entwicklung in zweierlei Hinsicht auf die Spitze. Einerseits besuchen Facebook-Nutzer eine rasch wachsende Zahl anderer Websites nicht mehr anonym, sondern sie treten – vielfach unbewusst – in Form ihrer Facebook-Identität auf, und Facebook protokolliert den jeweiligen Seitenaufruf. Facebook erreicht dies insbesondere durch den Einsatz von Cookies und die Einbindung von Like-Buttons und der damit verbundenen Hintergrundfunktionalität auf immer mehr Websites Dritter.11 Andererseits wandert immer mehr Funktionalität Dritter auf die Plattform Facebook, sodass die Nutzer zum Spielen, Musikhören und Lesen von Zeitungen Facebook nicht mehr zu verlassen brauchen. Der Nutzer tritt bei Verwendung dieser Facebook-Apps stets in Form seiner Facebook-Identität auf.12
[9]
Diese Entwicklung wirkt zwar den weiter oben geschilderten Problemen entgegen, indem sie verhindert, dass ein Nutzer für jedes neue Service ein neues Benutzerkonto anlegen muss, führt aber zugleich zu neuen Problemen: Solche Identitätsmanagementsysteme mit zentraler Stellung eines Serviceproviders führen dazu, dass dieser Serviceprovider einen großen Teil der gesamten Web-Aktivität eines Nutzers protokollieren und immer mehr Attribute des Nutzers sammeln kann. Dies ist ein Datenschutzproblem. Es droht der Missbrauch dieser Daten, nicht nur durch den Serviceprovider selbst, sondern auch durch Dritte, die unbefugt an diesen Datenpool gelangen.
[10]
Ein ähnliches, vielleicht zu wenig beachtetes Problem ist die enorme faktische Bedeutung des E-Mail-Kontos. Viele Serviceprovider haben ihr Identitätsmanagement so aufgebaut, dass sich der Nutzer, wenn er sein Passwort nicht mehr weiß, ein neues Passwort per E-Mail zusenden lassen kann. Somit ermöglicht der (unbefugte) Zugriff auf das E-Mail-Konto eines Nutzers auch den Zugriff auf diverse andere Benutzerkonten dieses Nutzers. Es gilt daher hier, wie auch für die Beispiele Facebook, OpenID etc.: Je größer die Bedeutung und die über den jeweiligen Serviceprovider hinausgehende Reichweite einer einzelnen elektronischen Identität ist, umso größer ist der potenzielle Schaden, wenn es einem unbefugten Dritten gelingt, sich Zugang zu verschaffen. Trotzdem sind auch solch bedeutende Benutzerkonten in aller Regel nicht anders als durch ein Passwort gesichert. Dieser Umstand ist nicht nur angesichts der weit reichenden Möglichkeiten, die diese Benutzerkonten derzeit bereits bieten, ein potenzielles Sicherheitsproblem13 , er verhindert auch, dass für diese Benutzerkonten qualifiziertere Nutzungsmöglichkeiten erschlossen werden, wie insbesondere die Abwicklung sicherheitskritischerer Transaktionen.
[11]
Für sicherheitskritische Transaktionen wie z.B. im Bereich E-Government und E-Banking sind die staatlichen Systeme wie die österreichische Bürgerkarte konzipiert, doch deren Problem ist die bereits angesprochene geringe Verbreitung. Ein weiteres Problem ist die nationale Zersplitterung hinsichtlich dieser öffentlichen elektronischen Identitäten.
[12]
Technisch und organisatorisch wäre es längst möglich, ein angemessenes System des Identitätsmanagements im Internet einzuführen, und diese Probleme zu lösen. Ein Vorbild ist das Kreditkartenwesen, welches sein papierbasiertes System schon längst an die Erfordernisse des elektronischen Zeitalters angepasst hat. Nicht nur die benötigte Organisation wurde geschaffen, sondern auch ein System von Haftungsfonds und mit dem charge back-Verfahren ein Streitschlichtungsmechanismus. Zur Lösung eines komplexen Problems – in diesem Fall der einfachen bargeldlosen Zahlung – hat die Privatwirtschaft hier ein einheitliches aber dezentrales und offenes System entwickelt. Es basiert auf der Zusammenarbeit von Unternehmen in verschiedenen Rollen und ist so gestaltet, dass Unternehmen in jeder Rolle an der Wertschöpfung des Gesamtsystems partizipieren können. Jeder Teilnehmer am System kann potenziell Gewinn erzielen, sodass sich das System selbst erhält. Diese wirtschaftliche Selbsterhaltungsfähigkeit ist für das Funktionieren des Systems ebenso entscheidend wie die klar geregelte Risikotragung: Das System ist nicht vor Fehlern und kriminellem Missbrauch gefeit, doch dies ist in der Konzeption berücksichtigt, das Risiko ist kalkulierbar, es ist klar geregelt, wer es zu tragen hat, und es gibt Mechanismen zur effizienten Beilegung von Konflikten.14
3.
Identity Federation ^
[13]
Ein solches zuverlässiges Modell der standardisierten privatwirtschaftlichen Zusammenarbeit ist auch auf dem Gebiet des Identitätsmanagements im Internet realisierbar und könnte die geschilderten derzeitigen Probleme wesentlich vermindern. Grundlage dafür ist das Konzept der Identity Federation, kurz Federation. Identity Federation baut auf dem beschriebenen Status quo auf und strebt wie die oben beschriebenen Initiativen die organisationsübergreifende Nutzung von – vielfach bereits bestehenden – elektronischen Identitäten an. „Identity federation can thus be defined as a set of agreements, standards and technologies that enable SPs to recognise user identities and entitlements from other SPs.“15
[14]
Es bedarf also eines institutionelle Rahmens, klar definierter Rollen, Regeln und Standards, um – ähnlich wie im Kreditkartenwesen – Netzwerke von Organisationen zum Zwecke des organisationsübergreifenden Identitätsmanagements zu schaffen. Dieser institutionelle Rahmen muss einerseits zwischen den beteiligten Organisationen (institutionalisiertes) Vertrauen herstellen, andererseits technische und organisatorische Interoperabilität. Die Gestaltung kann allerdings technologieneutral erfolgen, d.h. dass die Wahl der Methoden zur Identifikation und Authentifizierung den sogenannten Identitätsprovidern innerhalb des Systems überlassen werden kann. Entscheidend im Vergleich zum Status quo ist aber, dass auch sicherere Verfahren wie z.B. Smartcards oder per SMS zugesandte Einmalpasswörter angeboten werden, sodass das System auch Interoperabilität für vertrauenswürdigere elektronische Identitäten und Attribute bietet, als sie Systeme mit schlichter Passwortauthentifizierung gewährleisten können.
[15]
Ein solches Netzwerk kann als Identity Ecosystem oder schlicht als Federation bezeichnet werden. Die einzelnen daran beteiligten Organisationen werden im Folgenden als Teilnehmer bezeichnet. Der Terminus Identity Ecosystem stammt von der Initiative NSTIC (National Strategy for Trusted Identities in Cyberspace) der US-Regierung zur Förderung der privatwirtschaftlich getriebenen Entwicklung eines solchen Identity Ecosystems, um sichere und vertrauenswürdige elektronische Identitäten in den USA zu schaffen.16 NSTIC definiert ein Identity Ecosystem als
„an online environment where individuals and organizations can trust each other because they follow agreed-upon standards and processes to identify and authenticate their digital identities — and the digital identities of organizations and devices. Similar to ecosystems that exist in nature, it will require disparate organizations and individuals to function together and fulfill unique roles and responsibilities, with an overarching set of standards and rules. The Identity Ecosystem will offer, but will not mandate, stronger identification and authentication while protecting privacy by limiting the amount of information that individuals must disclose.“17
[16]
Auf Initiative österreichischer Unternehmen ist die europäische Projektgruppe Enterprise- and User-oriented Strategy for Trust and Identity in Cyberspace (EUSTIC) entstanden, die unter besonderer Berücksichtigung des aktuellen und zukünftigen europäischen Datenschutzrechts an einem Federation-Modell mit sehr ähnlicher Zielsetzung inklusive technischen Prototypen sowie an Geschäftsmodellen und der Identifikation und Einbindung von Anwendungsfällen einer Federation arbeitet.18 Die Forschung auf dem Gebiet der Identity Federation ist insbesondere auf technischer Ebene bereits weit gediehen.19 EUSTIC hat es sich zum Ziel gesetzt, basierend auf diesen bestehenden Ergebnissen durch gezielte anwendungsorientierte Forschung in mehreren Disziplinen die Entwicklung von profitablen und damit selbsterhaltungsfähigen Federations in der Praxis zu fördern. Die Autoren sind an EUSTIC beteiligt und haben die Rolle inne, die technische Umsetzung mit den rechtlichen Vorschriften in Einklang zu bringen, am internen Regelwerk mitzuarbeiten und insbesondere auch den Datenschutz im Vergleich zum oben beschriebenen Status quo des Identitätsmanagements im Internet wesentlich zu verbessern.
4.
Ein privatwirtschaftlich geprägtes, kollaboratives Identity-Federation-Modell und seine Herausforderungen ^
[17]
EUSTIC entwickelt ein privatwirtschaftlich geprägtes, kollaboratives Modell der Identity Federation, dessen detaillierte Konzeption derzeit in Gang ist, und noch viele offene Forschungsfragen mit sich bringt. Nachfolgend werden diese Forschungsfragen sowie Grundprinzipien dieses Federation-Modells, die z.T. bereits festgelegt und z.T. noch innerhalb von EUSTIC diskutierte Vorschläge sind, skizziert.
[18]
Das EUSTIC-Identity-Federation-Modell ist ein kollaboratives, denn es ist auf einen großen und offenen Kreis von Teilnehmern ausgelegt und baut nicht auf der Dominanz eines zentralen (öffentlichen oder privaten) Teilnehmers auf. Ziel ist, dass das Wachstumspotenzial und der universelle Anspruch einer Federation weder durch deren Organisationsstruktur, noch die Dominanz eines einzelnen Teilnehmers limitiert wird.20 „Privatwirtschaftlich geprägt“ bedeutet keinesfalls, dass staatliche Systeme oder öffentliche Organisationen aus dem System ausgeschlossen sind, vielmehr ist die Integration möglichst vieler bestehender elektronischer Identitäten und möglichst vieler privater und öffentlicher Serviceprovider ein erklärtes Ziel.21 Jedoch muss das Federation-Modell so aufgebaut sein, dass – ähnlich wie im Kreditkartenwesen – jede Rolle in der Federation an der Wertschöpfung des Gesamtsystems partizipieren kann, und dadurch ein wirtschaftlicher Betrieb aller einzelnen Teile des Systems und somit dessen ökonomische Selbsterhaltung möglich ist. Bedeutende Forschungsfragen sind somit, wie die Wertschöpfung einer Federation entsteht und wie die Wertschöpfungskette innerhalb der Federation aufgeteilt werden kann, um dies zu erreichen. Ökonomische Forschung ist daher für EUSTIC sehr bedeutend und auch im Zusammenhang mit den unten angesprochenen Haftungs- und Versicherungsfragen relevant.
[19]
Ein wichtiges Grundprinzip ist die Trennung zwischen Serviceprovidern und Identitätsprovidern. Wie oben beschrieben, nehmen heute die Serviceprovider für die von ihnen angebotenen Services überwiegend selbst die Rolle des Identitätsproviders ein. Die organisatorische und wirtschaftliche Trennung zwischen Serviceprovidern und Identitätsprovidern würde hingegen den Interessenkonflikt zwischen Serviceprovidern einerseits, die für personalisierte Werbung und aus anderen Gründen meist möglichst viele Daten über die Nutzer sammeln möchten, und den Nutzern andererseits, die ihre Privatsphäre schützen möchten, auflösen. Der Identitätsprovider ist in diesem Modell ein Partner des Nutzers, der sich diesen aus mehreren Identitätsprovidern auswählt, dem er vertraut und gewisse Informationen anvertraut und dessen Geschäftserfolg davon abhängt, dieses Vertrauen nicht zu missbrauchen. Dieses Vertrauensverhältnis ist vergleichbar mit dem eines Bankkunden zu seiner Hausbank.
[20]
Die Einführung einer weiteren Rolle, neutral zwischen Serviceprovidern und Identitätsprovidern positioniert, würde anonyme Transaktionen ermöglichen und bereits auf technischer Ebene verhindern, dass weder der Identitätsprovider noch eine andere Stelle umfassende Transaktionsdaten über den Nutzer sammeln kann, z.B. darüber, welche Services dieser nutzt. Die Herausforderung, das System so zu gestalten, dass auch diese von den Serviceprovidern unabhängigen Rollen, wie insbesondere die Identitätsprovider, wirtschaftlich lebensfähig sind, wurde bereits angesprochen. Eine weitere Herausforderung ist es, Serviceprovidern einen ausreichenden Anreiz zu schaffen, sich an einer solchen Federation zu beteiligen. Die Aussicht auf neue Nutzer und weniger Betrug durch zuverlässigere Authentifizierung und Nutzer-Attribute sowie der Vorteil, keine eigenen Identitätsmanagementsysteme mehr betreiben zu müssen, könnten ein solcher Anreiz sein.
[21]
Das EUSTIC-Modell sieht vor, dass jede Identifikation und Authentifizierung eines Nutzers und jedes Attribut eines Nutzers einem von mehreren abgestuften Sicherheitsniveaus (Assurance Levels) zugeordnet werden. Die Sicherheitsniveaus unterscheiden sich in der Haftung eines Identitätsproviders gegenüber der vertrauenden Partei – i.d.R. dem Service Provider – für die Korrektheit der Identifikation und Authentifizierung eines Nutzers oder die Richtigkeit eines bestimmten übermittelten Attributs. Jeder Identitätsprovider wird daher für höhere Sicherheitsniveaus sicherere Authentifizierungsmethoden festlegen. Denkbar ist etwa, dass sich ein Nutzer für ein Service, welches Sicherheitsniveau 3 erfordert, bei seinem Identitätsprovider mit einer Smartcard authentifizieren muss, während für ein Service auf Sicherheitsniveau 1 die einfache Passwortauthentifizierung ausreicht. Ein Serviceprovider kann wählen, für welche Services und Transaktionen er welches Mindestsicherheitsniveau fordert. Mit welcher Methode sich ein einzelner Nutzer tatsächlich authentifiziert hat, bleibt dem Serviceprovider verborgen. Er erhält nur die entsprechenden Daten auf dem geforderten Sicherheitsniveau und vertraut in dieser Hinsicht dem Identitätsprovider, der dafür haftet.
[22]
Durch die verschiedenen Sicherheitsniveaus und Authentifizierungsmechanismen kann jede Aktivität eines Nutzers innerhalb einer Federation mit dem für diese Aktivität angemessenen Sicherheitsniveau durchgeführt werden. Festgelegte Haftungssummen je Sicherheitsniveau ermöglichen auch die Entwicklung von Versicherungsmodellen, sodass sich die Verantwortlichen, insbesondere die Identitätsprovider, für Haftungsfälle versichern können. Die verschiedenen Sicherheitsniveaus sind überdies ein Schlüssel dazu, die Nutzung sichererer Authentifizierungsmethoden mittels eines Bottom-up-Ansatzes zu fördern: Der Nutzer meldet sich erstmalig auf der gewohnten einfachen Ebene – Passwortauthentifizierung und selbstbehauptete Attribute – für das System an und bekommt dann innerhalb des Systems die Möglichkeit geboten, mit seiner elektronischen Identität auch sicherheitskritischere Transaktionen online durchzuführen, sofern er für sich eine qualifiziertere Authentifizierungsmethode aktiviert.22
[23]
Die Quelle qualifizierterer Attribute wurde bisher weitgehend ausgeblendet. Zur Bereitstellung von Attributen ist die Rolle des Attributsproviders vorgesehen. Attributsprovider können alle Institutionen sein, die qualifiziertes Wissen, möglichst aus erster Hand, über einen Nutzer haben. Attributsprovider könnte beispielsweise eine Universität sein, an welcher der Nutzer studiert, sodass es ihm möglich ist, vor Dritten qualifiziert zu belegen, dass er Student ist, etwa um einen Rabatt zu erhalten. Der rabattgewährende Serviceprovider würde dabei nicht erfahren, an welcher Universität der Nutzer studiert, d.h. wer der Attributsprovider ist. Der Serviceprovider vertraut lediglich dem übermittelnden Identitätsprovider, der mit einem bestimmten Sicherheitsniveau belegt, dass der Nutzer Student ist, und bis zu einer klar festgelegten Grenze für die Richtigkeit dieser Information haftet.
[24]
Wie bereits mehrfach angedeutet, ist ein erklärtes Ziel von EUSTIC die Verbesserung des Datenschutzniveaus im Vergleich zum Status quo. Zentrales Prinzip ist daher die Nutzerorientierung mit dem Grundsatz, dass ohne die Veranlassung23 durch den Nutzer keine personenbezogenen Daten übertragen werden. Dies wird bereits in der Konzeption des Systems berücksichtigt, sodass die Sammlung umfassender Datenbestände über die Eigenschaft und das Verhalten einzelner Nutzer nicht nur rechtlich unzulässig ist, sondern aufgrund des Aufbaus des Systems faktisch verhindert wird.24 Trotz dieser ohnehin hohen Priorisierung des Datenschutzes ist eine wesentliche juristische Aufgabe, das gesamte System datenschutzrechtskonform zu gestalten.25
[25]
Weitere juristische Forschungsfragen sind die allgemeinen Regeln zur Haftung einzelner Teilnehmer einer Federation gegenüber anderen Teilnehmern sowie gegenüber den Nutzern und die für die verschiedenen Teilnehmer einer Federation zu beachtenden gewerberechtlichen, wettbewerbsrechtlichen und weiteren öffentlich-rechtlichen Bestimmungen. Da das Federation-Modell international, jedenfalls europaweit einsetzbar sein soll, müssen zahlreiche Rechtsordnungen berücksichtigt sowie Fragen des grenzüberschreitenden Charakters, wie insbesondere nach dem anwendbaren Recht und der Äquivalenz der jeweiligen elektronischen Identitäten, geklärt werden.
[26]
Darüber hinaus muss ein detailliertes internes Regelwerk einer Federation definiert werden, welches die oben beschriebenen Grundprinzipien in verbindliche Regeln fasst, und es muss ein geeigneter institutioneller Rahmen einer Federation gefunden werden, etwa in Form einer eigenen Trägerorganisation, sodass die Einhaltung dieser Regeln auch kontrolliert werden kann. Ein System ausschließlich bilateraler Verträge zwischen den einzelnen Teilnehmern ist dazu aus der Sicht der Autoren keine hinreichende Lösung, da nur eine zentrale Organisationseinheit effizient für Compliance und Streitschlichtung sorgen kann. Hohe Bedeutung hinsichtlich der praktischen Umsetzbarkeit hat dabei die Automatisierung. Neben automatisiertem Compliance-Monitoring und automatisierter Streitschlichtung bedarf auch die hohe Zahl einzelner Vertragsabschlüsse und die durch den Datenschutz gebotene Datenlöschung effizienter Automatisierung. In dieser Hinsicht tut sich umfassender Forschungsbedarf der klassischen Rechtsinformatik und im Bereich (Rechts-)Ontologien auf.
5.
Schnittstellen zum staatlichen Identitätsmanagement ^
[27]
Ein Identitätsprovider kann grundsätzlich sowohl selbst Authentifizierungstokens – wie z.B. Smartcards – ausgeben, als auch bestehende Authentifizierungstokens nutzen, sofern dies zulässig ist. Auf diese Weise kann das beschriebene Identity-Federation-Modell potenziell auch öffentliche Identitätsmanagementsysteme miteinbeziehen, wie am Beispiel der Bürgerkarte demonstriert werden soll. Im Rahmen der Verwendung der Bürgerkartenfunktion im privaten Bereich26 kann sich ein Nutzer bei einem Identitätsprovider, der dies unterstützt, authentifizieren und somit seine Bürgerkartenidentität in der gesamten Federation nutzen, ohne dass die einzelnen Serviceprovider eine Bürgerkartenumgebung bereitstellen müssen.27
[28]
Es stellt sich auch die Frage nach dem umgekehrten Fall, der Nutzung qualifizierter elektronischer Identitäten, die von privaten Identitätsprovidern stammen, für E-Government-Anwendungen. Während den Autoren in Österreich in dieser Hinsicht keine Initiativen bekannt sind, beschreibt Mahler28 , dass dies im Rahmen des norwegischen E-Government-Identitätsportals bereits möglich ist. 29
6.
Zusammenfassung und Ausblick ^
[29]
Als Lösungsvorschlag für die eingangs beschriebenen Probleme im Zusammenhang mit elektronischen Identitäten im Internet wurde das Identity-Federation-Modell der Initiative EUSTIC präsentiert. Wichtige Grundprinzipien dieses Modells, die z.T. noch nicht endgültig festgelegt sind, wurden erläutert und zur Diskussion gestellt, darunter privatwirtschaftliche Prägung, kollaborative Struktur, Nutzerorientierung, verschiedene Sicherheitsniveaus, Trennung von Identitäts- und Serviceprovidern. Zur Realisierung dieser Grundprinzipien wurden innerhalb von EUSTIC z.T. bereits Lösungsansätze entwickelt, jedoch sind noch zahlreiche Forschungsfragen zu lösen, die ebenfalls oben angesprochen wurden. Über die erwähnten Disziplinen hinaus ist bei der Entwicklung eines solchen Systems auch Forschung in den Disziplinen Soziologie und Ethik notwendig, nicht zuletzt um das Ziel der Nutzerakzeptanz zu erreichen, an welcher alle Lösungen auf dem Gebiet der elektronischen Identitäten letztlich gemessen werden.
- 1 Hansen, M., Schwartz, A., Cooper, A., Privacy and Identity Management, IEEE Security & Privacy 6 (2) (2008), S. 38-45 (38). Siehe zum Thema Identity Management allgemein Clarke, R., Identity management, Xamax Consultancy, Chapman (2004), abrufbar unter http://www.rogerclarke.com/EC/IdMngt-Public.pdf, abgerufen 11.02.2012.
- 2 Siehe dazu aktuell Kustor, P., Rössler, Th., Mobile qualifizierte elektronische Signatur: technisches Konzept und rechtliche Bewertung. In: Schweighofer, E., Geist, A., Staufer, I. (Hrsg.), Globale Sicherheit und proaktiver Staat – Die Rolle der Rechtsinformatik, Tagungsband des 13. Internationalen Rechtsinformatik Symposions IRIS 2010, gewidmet Roland Traunmüller, books@ocg.at, Wien (2010), S. 295-306, m.w.N.
- 3 Siehe dazu Borges, G., Der neue Personalausweis und der elektronische Identitätsnachweis. In: Neue Juristische Wochenschrift (NJW) (2010), S. 3334-3339 und allgemein Kubicek, H., Noack, T., Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich, LIT Verlag, Berlin (2010).
- 4 Dies bedeutet, dass eine bestimmte Person im System nicht mehr als einmal repräsentiert ist und eindeutig identifiziert werden kann.
- 5 Die Ende 2009 eingeführte Handy-Signatur-Option der Bürgerkarte kann als Reaktion auf diesen Umstand verstanden werden. Den Autoren ist allerdings nicht bekannt, dass sich die Verbreitung der Bürgerkarte dadurch bisher signifikant verbessert hätte.
- 6 Hansen, M., Meints, M., Digitale Identitäten – Überblick und aktuelle Trends. In: Datenschutz und Datensicherheit 30 (2006), S. 543-547 (543).
- 7 Ebenda.
- 8 De Begriff Serviceprovider ist innerhalb dieses Beitrags sehr weit definiert und bezeichnet Anbieter von serverbasierter Funktionalität im Internet, die eine Individualisierung bzw. Identifikation des Nutzers erfordert.
- 9 Die Krise erstreckt sich nicht nur auf die Identitäten der Internetnutzer, sondern auch auf die in diesem Beitragnicht behandelten Server-Identitäten (Serverzertifikate und TLS/SSL, siehe allgemein zu den Problemen von Zertifikaten/PKI Gutmann, P., Engineering Security, Book Draft (2012), abrufbar unter www.cs.auckland.ac.nz/~pgut001/pubs/book.pdf, abgerufen am 11.02.2012, S. 548 ff.) und die Identitäten im Zusammenhang mit Domainnamen. Zu Letzteren ein kurzer Exkurs: Während die – viel einfachere – Frage der technischen Eindeutigkeit mit den IP-Adressen (IPv4 bzw. IPv6) und dem Dynamic Host Configuration Protocol (DHCP) – zur heute sehr bedeutsamen Mehrfachverwendung von IP-Adressen – sehr gut gelöst ist (wenn auch unter wenig Beachtung von Regulierungsfragen), wurde der Frage der eindeutigen Namen sehr wenig Bedeutung geschenkt. Die technisch naheliegende Lösung des „first come, first serve“, d.h. letztlich die Gleichsetzung des Domainnamens mit einer Zeichenkette, die nur eindeutig sein muss, hat zu großen Schwierigkeiten geführt. Die jeweiligen Registerführer – seien es generische oder staatliche Top Level Domains (gTLD oder ccTLD) – sind zwar nach ICANN-Recht, internationalem Recht bzw. dem jeweiligen staatlichen Recht verpflichtet, das anwendbare staatliche Recht über die Führung von Namen, Firmenbezeichnungen, Geschäftsbezeichnungen, Pseudonymen, Marken etc. zu beachten sowie – unter Beachtung des Datenschutzes – Zugang zu den jeweiligen Namensdatenbanken (WHOIS-Verzeichnissen) zu gewähren. Leider ist faktisch die Qualität sehr unterschiedlich. Nach unbestätigten Berichten sind etwa ein Fünftel der Einträge des .COM-Registers vorerst für polizeiliche Ermittlungen unbrauchbar, weil sich die jeweils handelnde Person hinter einem Proxy, einer Briefkastenfirma oder dgl. verbirgt. Die bisherigen Aktivitäten der ICANN haben allerdings bereits zu einer wesentlichen Verbesserung dieser Situation geführt. Die eindeutigen Namens- und Markenrechtsverletzungen sind mit der Einführung der UDRP (Uniform Domain Name Dispute Resolution Policy, siehe http://www.icann.org/en/dndr/udrp/policy.htm, abgerufen am 11.02.2012) in guten Händen eines Streitschlichtungsmechanismus, sunrise periods etc. verhindern eindeutige Rechtsverletzungen schon vorab.
- 10 Vgl. Birch, D. G., Digital Identity Management: Perspectives On The Technological, Business and Social Implications, Gower Publishing, Aldershot (2007), S. 82 f. und ausführlich Gutmann, P., Engineering Security, Book Draft (2012), abrufbar unter www.cs.auckland.ac.nz/~pgut001/pubs/book.pdf, abgerufen am 11.02.2012, S. 467 ff.
- 11 Vgl. Schrems, M., Facebook: Überwachung auf „freiwilliger“ Basis?, juridicum Nr. 4 (2011), S. 523-533 und Thiele, C., Europe vs. Facebook, jusIT Nr. 5 (2011), S. 174-177.
- 12 Vgl. The Economist, The value of friendship, The Economist, Printausgabe vom 4. Februar 2012, S. 23-26 (24).
- 13 Siehe dazu bereits oben FN FN \* MERGEFORMAT 10.
- 14 Das Kreditkartenwesen wird hier als unabhängiges, hinsichtlich des zu lösenden Grundproblems vergleichbares Beispiel herangezogen. Allerdings sei angemerkt, dass es mit dem Thema der elektronischen Identitäten auch direkt zusammenhängt: Kreditkartenbetrug macht sich genau den Umstand zunutze, dass die Identität des Zahlenden und dessen Berechtigung, mit einer bestimmten Kreditkartennummer zu bezahlen, im Internet nicht zuverlässig festgestellt werden kann. Die Lösung der „Identitätskrise“ im Internet hat also auch das Potenzial, das Zahlungswesen im Internet noch sicherer zu gestalten.
- 15 Jøsang, A., Zomai, M., Suriadi S., Usability and privacy in identity management architectures. In: Brankovic, L., Coddington, P., Roddick, J.F., Steketee, C., Warren, J.R., Wendelborn, A. (Hrsg.), ACSW '07 Proceedings of the fifth Australasian symposium on ACSW frontiers - Volume 68, Australian Computer Society, Inc., Darlinghurst, (2007), S. 143-152 (147). “SP“ seht für Serviceprovider.
- 16 Siehe zu NSTIC http://www.nist.gov/nstic abgerufen am 09.02.2012.
- 17 NSTIC Strategy Document. The White House (2011), abrufbar unter http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf, abgerufen 15.01.2012.
- 18 Siehe http://eustic.eu bzw. http://www.univie.ac.at/RI/EUSTIC.
- 19 Vgl. insbesondere die Ergebnisse der von der EU in FP6 und FP7 geförderten Projekte, wie etwa FIDIS, PRIME, PrimeLife und TAS3, sowie die Technologien, die bereits in den oben angesprochenen staatlichen Lösungen eingesetzt werden, und Standards wie insbesondere die Security Assertion Markup Language (SAML). Zum Einsatz von SAML siehe z.B. Scudder, J., Jøsang, A., Personal Federation Control with the Identity Dashboard. In: de Leeuw, E., Fischer-Hübner, S., Fritsch, L. (Hrsg.), Policies and Research in Identity Management, Springer, Berlin, Heidelberg und New York (2010), S. 85-99 sowie die dort zitierte Literatur.
- 20 Siehe zur Unterscheidung von kollaborativen, konsortialen und zentralisierten Federation-Modellen Sheckler, V., Liberty Alliance Contractual Framework Outline for Circles of Trust, Liberty Alliance Project (2007), abrufbar unter http://www.projectliberty.org/liberty/content/download/2962/19808/file/Liberty%20Legal%20Frameworks.pdf, abgerufen 15.01.2012 und Schweighofer, E., Hötzendorfer, W., Elektronische Identitäten – Öffentliche und private Initiativen. In: von Lucke, J., Wimmer, M. A., Kaiser, S., Schweighofer, E., Geiger, Ch. P. (Hrsg.), Staat und Verwaltung auf dem Weg zu einer offenen, smarten und vernetzten Verwaltungskultur, GI-Edition Lecture Notes in Informatics (LNI), in Druck.
- 21 Siehe dazu auch Kapitel 5.
- 22 Ein Beinspiel dafür, dass eine solche Aktivierung einer qualifizierteren Authentifizierungsmethode sehr komfortabel gestaltet werden kann, ist die Online-Aktivierung der Bürgerkartenfunktion in Form der Handy-Signatur (mit postalischer Rückantwort). Siehe dazu Futurezone.at, Handy-Signatur jetzt mit Online-Anmeldung, Futurezone.at (2011), abrufbar unter http://futurezone.at/digitallife/5135-handy-signatur-jetzt-mit-online-anmeldung.php, abgerufen am 15.01.2012. Für die Ausgabe von Smartcards für ein sehr hohes Sicherheitsniveau wird es aber wohl unumgänglich sein, dass der Nutzer physisch mit entsprechenden Ausweisdokumenten bei einer dafür eingerichteten Anmeldestelle erscheint.
- 23 „Einwilligung“ und „Zustimmung“ (i.S.v. § 4 Z 14 DSG 2000) wären hier zu enge Begriffe.
- 24 Ein Aspekt der Nutzerorientierung ist aber auch, dass der Nutzer nachvollziehen kann, wer welche Informationen über ihn erhalten hat. Auf Wunsch des Nutzers (oder zur Aufklärung schwerer Straftaten) muss es daher möglich sein, Informationen über erfolgte Transaktionen aus den im System verteilt gespeicherten Daten zu rekonstruieren.
- 25 Zum Thema Datenschutz und Identity Federation siehe Olsen, Th., Mahler T., Identity management and data protection law: Risk, responsibility and compliance in ‘Circles of Trust’ – Part I + II. In: Computer Law & Security Report 23 (2007), S. 342-351, 415-426.
- 26 § 14 E-GovG.
- 27 Die Bürgerkarte dient in diesem Szenario der Identifikation und Authentifizierung, erfüllt aber in Bezug auf die Serviceprovider nicht mehr die Funktion einer eigenhändigen Unterschrift i.S.d. § 4 Abs. 1 SigG. Diese Funktion spielt allerdings im Geschäftsverkehr im Internet bisher ohnehin eine geringe Rolle.
- 28 Mahler, T., Governance Models for Interoperable Electronic Identities. In: Journal of International Commercial Law and Technology (JICTL), Forthcoming; University of Oslo Faculty of Law Research Paper No. 2011-37.
- 29 Dazu ausführlicher Schweighofer, E., Hötzendorfer, W., Elektronische Identitäten – Öffentliche und private Initiativen. In: von Lucke, J., Wimmer, M. A., Kaiser, S., Schweighofer, E., Geiger, Ch. P. (Hrsg.), Staat und Verwaltung auf dem Weg zu einer offenen, smarten und vernetzten Verwaltungskultur, GI-Edition Lecture Notes in Informatics (LNI), in Druck.