Auch IAM hat psychologische Komponenten
Microsoft und die Identitäten
Das Konzept der Online-Identität gehört wohl zu den am schwierigsten zu verstehenden Konstrukten der IT-Welt. Microsoft versucht, das Thema auf der "Metaphern"-Ebene zu entschärfen. Interessanterweise könnten sich manche Schwächen des Redmonder Softwareriesen hier als Stärken erweisen - und der Internetwelt wirklich weiterhelfen.
Im Bereich benutzerzentriertes Identitätsmanagement hat Microsoft Lehrgeld gezahlt. Als der
Hersteller vor einigen Jahren versuchte, sich mit Microsoft Passport als Identity Provider zu
etablieren, stieß er auf Misstrauen: Ausgerechnet dem "Datenkraken" mit seinen überzogenen
DRM-Plänen für Software, seinen plumpen und scheinheiligen Anti-Piracy-Kampagnen und seinen allzeit
nach Hause telefonierenden Softwareprodukten könne man persönliche Informationen doch zuallerletzt
anvertrauen, tönte es fast unisono aus Presse, Blogs und Newsgroups.
An den damaligen Verdächtigungen mag vieles überzogen gewesen sein, aber der Windows-Hersteller
musste bei aller Entrüstung über den stürmischen Gegenwind letztlich einsehen, dass sich ein
Quasi-Monopolist das Vertrauen der Endanwender hart erarbeiten muss und es nicht einfach
voraussetzen kann. Microsoft betätigt sich heute zwar immer noch im Feld Identity Federation, hat
die Rolle als Provider aber hauptsächlich Dritten zugedacht – wie etwa Banken,
Open-Source-Gruppierungen oder anderen Organisationen, denen unterschiedliche Bevölkerungsgruppen
in ihren jeweiligen Umfeldern Vertrauen entgegenbringen. Der Windows-Hersteller selbst konzentriert
sich auf ein Gebiet, in dem er traditionell auch der Open-Source-Gemeinde den Schneid abkaufen
kann: die Usability (Benutzerfreundlichkeit).
Das neue benutzerzentrierte Identitätsmanagementsystem heißt "Cardspace", ist ein "
Identitäts-Metasystem" und fasst Online-Identitäten in die allgemein verständliche Metapher
virtueller "Karten" auf dem Desktop zusammen. Der Begriff "Metasystem" stammt dabei von Kim
Cameron, dem Identitätsguru in Diensten von Microsoft, der auch jenseits der Windows-Gemeinde ein
hohes Ansehen genießt (siehe dazu Beitrag über die European Identity Conference 2008 in LANline
5/2008, S. 16,
www.lanline.de/kn 31512651).
Erfahrungen aus der Lebenswelt
Technisch arbeitet Cardspace mit anderen, auch quelloffenen Systemen zum Identitätsaustausch und
zur Bildung von so genannten "Identitätsbussen" für die Bestätigung von Identitätsmerkmalen
zusammen. Der eigentliche Clou ist allerdings das virtuelle Kartenmodell. Es ist der alltägliche,
meist intuitive und vor allem durchaus souveräne Umgang der Menschen mit teils weniger wichtigen,
teils sehr wichtigen Kartentypen wie Eintrittskarten, Fahrkarten und Visitenkarten sowie Kredit-
und EC-Karten, der Microsoft auf virtuelle Karten als Bild für den Umgang mit Online-Identitäten
setzen lässt. "Hier kann der Anwender Erfahrung aus der Alltagswelt in die Online-Umgebung
übertragen", erklärt Tom Köhler, Direktor Strategie Informationssicherheit und Kommunikation bei
Microsoft Deutschland. Techniker unterschätzen häufig den Wert von Metaphern und diskutieren auch
bei Cardspace lieber über die Details unter der Motorhaube – die erwähnte Interoperabilität mit
Open-ID etwa oder die Möglichkeit, den Gebrauch bestimmter Identitätskarten an die Bestätigung
durch Identitäts-Provider oder zusätzliche Authentifizierung mittels Biometrie, Smartcard oder
Token zu binden. Eines der wichtigsten Ziele des benutzerzentrierten Identitätsmanagements ist nach
Kim Camerons berühmten "Laws of Identity" aber, dass der Anwender die Gewalt darüber behält, welche
persönlichen Informationen er in welchem Authentifizierungsprozess preisgibt. Das schafft ein
Nichttechniker nur, wenn er die Credential-Sets und ihre Bedeutung versteht und sie jederzeit
schnell wiedererkennt und einordnen kann. Ein virtuelles Portemonnaie mit Karten verspricht
tatsächlich, dies zu leisten.
"Wir betrachten benutzerzentriertes Identitätsmanagement seit Jahren als eine Kernkomponente
sicherer Internetkommunikation", ergänzt Köhler. "Uns beschäftigen die Zunahme der
Identitätsdiebstähle einerseits und andererseits das Problem, dass ein im Internet aktiver Anwender
heute längst viel zu viele unterschiedliche Sets an Credentials kennen und verwenden muss, um
wirklich sicher damit umzugehen." Microsoft will ausdrücklich am Aufbau eines Internets mitwirken,
dass echte "Ende-zu-Ende-Vertrauensbeziehungen" ermöglicht – eine Kommunikationswelt, in dem der
Endanwender auf die Leistungen von Online-anbietern ebenso vertrauen kann wie der Anbieter selbst
darauf, dass der Kunde am anderen Ende auch wirklich der oder auch das ist, der er oder das er zu
sein vorgibt. "Der Kunde überlegt zurecht, wie viel von sich selbst er einer bestimmten Transaktion
wegen überhaupt preisgeben muss", beschreibt Köhler das Problem weiter, "und der Anbieter muss sich
schon seiner Datenschutzpflichten wegen genau überlegen, wie viel Identität er vom Kunden
tatsächlich einfordern und dann auch speichern will."
Auch hier greift das Kartenmodell. In der realen Welt reichen als einzige "Ausweise" oft genug
das Gesicht, das auf ein bestimmtes Alter schließen lässt, manchmal auch schon hinreichend viel
Geld in der Hand oder ein bereits gekaufter Berechtigungsausweis ohne persönliche Daten – wie etwa
eine Eintritts- oder Fahrkarte.
Bei vielen Onlinetransaktionen müsste der Händler tatsächlich kaum mehr wissen als die
E-Mail-Adresse, an die er eine Datei schickt, und die Zusicherung, dass er die angebotene
Kreditkarte oder die zur Verfügung gestellte Geldquelle um genau den von ihm geforderten Betrag
erleichtern kann. Gibt ihm zum Beispiel die Bank des Kunden als Garantieinstanz des Käufers für die
Transaktion grünes Licht, muss er über die Person des Käufers kaum etwas erfahren – vorausgesetzt,
die Bank garantiert ihm als Identity-Provider auch, unter ganz bestimmten Bedingungen wie einem
gerichtlichen Streitfall den direkten Kontakt herzustellen. Cardspace erlaubt es in all diesen
Zusammenhängen, die Verhältnisse bei Bargeld- oder Kartenkäufen im Alltag für Normalbürger
verständlich nachzuahmen – ein gutes Beispiel dafür, dass "Usability" großen Wert für IT-Sicherheit
haben kann.
Lesen Sie mehr zum Thema
