Interview

„In Zukunft wird es mehrere weltweit agierende Identitätsprovider geben.“

 Technisch gestütztes Identitätsmanagement gewinnt weiter an Bedeutung – als Vertrauensbasis im Internet für die geschäftliche und private Kommunikation, als virtuelles Gegenstück zum staatlich beglaubigten Personalausweis. Auch Governance, Risk und Compliance wirken als Treiber auf diesem facettenreichen Markt. Hersteller aus unterschiedlichen Softwaresparten fühlen sich berufen, Lösungen zu entwickeln. – Interview mit Martin Kuppinger zu Handlungssträngen und Akteursfeldern.

 

Identitätsmanagement ist kein neuer Psychoratgeber, sondern das nächste große Ding in der Software-Welt. Die meisten Menschen haben keine Ahnung, was darunter zu verstehen ist, obwohl es jeden betrifft. Wie erklären Sie Ihrer Frau oder Ihren Kindern, was es damit auf sich hat?

Martin Kuppinger: Ob ich in der digitalen Welt nun einkaufe oder in social networks mitmache, immer agiere ich als Person mit einer digitalen Identität. Damit umgehen zu können, beschäftigt uns beim Identity Management. Mein Ich in der digitalen Welt. Weil das alles letztlich auf Vertrauen basiert, benötigen auch alle Geschäfte im Internet eine verlässliche digitale Identität.

Unter den Herstellern von ID-Management-Software finden sich so bekannte Firmen wie Microsoft, IBM, Oracle, Sun. Dazu kommen Lösungen aus der Open Source-Welt. Ist eine Markt-Konsolidierung in Sicht? Wer macht das Rennen?

Der Identity Management Markt ist so facettenreich wie der Umgang mit digitaler Identität. Von den insgesamt 150 bis 200 Anbietern lösen manche ein kleines Teilproblem, andere bieten sehr viel Unterstützung. Einige fokussieren mehr auf Unternehmen und die digitale Identität der Mitarbeiter: Wie binde ich z.B. bei einer Auftragsübergabe die Vertriebsleute des Partnerunternehmens ein? Andere Anbieter zielen stärker auf die digitale Identität von Privatpersonen ab.

Identity Management wird von allen großen Softwareanbietern als ein sehr wesentliches Thema gesehen, weil alle Kernfragen am „Wer“ hängen: Wer ist es und wer darf was? Gleichzeitig wird immer deutlicher, dass man als normaler Mensch im Internet kaum in der Lage ist, all seine Identitäten zu verwalten: Man registriert sich auf dieser Website und auf jener, hat hier den einen und dort den anderen Benutzernamen und noch einmal so viele Kennwörter. Einen Überblick hat man kaum noch. So entstehen viele verschiedene Probleme und auch verschiedene Lösungen.

Manches wird durch die etablierten Softwareanbieter zur kostenlosen Standardfunktionalität, doch so entsteht noch lange kein Monopolist. Einige sind schon lange erfolgreich am Markt, andere werden sich erst noch etablieren. Insgesamt hat das Thema zu viele Facetten, als dass es von einem einzigen Anbieter bedient werden könnte. Nicht zuletzt gibt es auch niemanden, der an dieser Stelle das Vertrauen hat.

Wer sind die maßgeblichen Akteure? Die EU? Einzelstaaten? Software-Unternehmen?

Dinge wie der elektronische Personalausweis werden natürlich von staatlicher Seite beeinflusst. Außerdem gibt es immer mehr Forschungsprojekte auf EU-Seite. Die großen Trends werden einerseits von innovativen, andererseits von großen Firmen wie Sun vorangetrieben, die sehr viel Geld für Forschung und Entwicklung in die Hand nehmen.

Microsoft treibt mit dem Information Cards Projekt sehr viel voran. IBM forscht umfangreich zum Thema Privacy und wie man ein Minimum an Daten freigibt: Wenn jemand auf eine Website zugreift, die man erst ab 18 nutzen darf, interessiert ja nicht, wann er Geburtstag hat, sondern lediglich, ob er über oder unter 18 ist. Meistens wird viel zu viel an Informationen übergeben. Dafür suchen Firmen wie Microsoft und IBM intensiv nach Lösungen – aber auch eine Reihe von kleinen Firmen, die ein Teilproblem lösen und dann auch gerne aufgekauft werden.

Unternehmensintern, zumindest was große Konzerne angeht, ist Identitätsmanagement schon seit längerem gefragt: Je mehr EDV zum Einsatz kam, um so umständlicher wurde das Verwalten Identitäts-bezogener Daten, vom Mail-Konto bis zu den Zugriffsrechten der einzelnen Mitarbeiter. Dazu kam das immer wichtigere Thema Compliance, die Sicherung der Einhaltung von Kodizes und Regeln, um unternehmensintern rechtlichen und auch IT-Risiken vorzubeugen. Spätestens seit Basel II den Finanzinstitutionen weitgehende Prüfungen vorschreibt, besteht hier Handlungsbedarf.

In der Finanzindustrie sind die meisten Firmen an dem Thema Risikomanagement grandios gescheitert, wie man in den letzten Monaten eindrücklich gesehen hat. Große Unternehmen beschäftigen sich intern schon lange mit Identitäts- und Zugriffs-Management, haben es aber oft nicht auf gutem Niveau gelöst. Auch im Mittelstand wächst der Druck, dieses Thema zu adressieren, doch die meisten Lösungen für interne Geschäftsvorfälle sind auf große Firmen ausgerichtet und dementsprechend komplex.

Ein zentraler Treiber ist das, was man Corporate und IT-Governance nennt. Auch Risk Management und Compliance werden immer wichtiger. Wie schwierig es ist, Lösungen zu finden, sieht man an vielen Stellen. So wurde Herr Mehdorn letztlich kritisiert, etwas getan zu haben, für das Siemens kritisiert wurde, es nicht getan zu haben: Während Siemens vorgeworfen wurde, zu wenig gegen Korruption vorgegangen zu sein, wurde Mehdorn beschuldigt, viel zu viel unternommen zu haben.

Wir haben heutzutage immer mehr Regeln, die sich widersprechen, und müssen Ansätze für mehr Nachvollziehbarkeit und Kontrolle finden. Dann entsteht ein Business Value: Telekommunikations- und Energieversorgungsunternehmen mit mehreren hundert Tochterfirmen und dementsprechenden Wechseln müssen in der Lage sein, neue Firmen schnell und kontrolliert einzubinden. Umgekehrt muss bei einem Verkauf sichergestellt sein, dass der Zugriff nicht mehr möglich ist. Wenn sich Wertschöpfungsketten oder Prozesse ändern, wenn Mitarbeiter und Lieferanten wechseln, unterstützen ein richtig gemachtes Identity Management und gute Governance und Compliance-Ansätze die Fähigkeit eines Unternehmens, Geschäftsprozesse schneller und flexibler umzustellen.

Auch für den Privatanwender, der im Internet Waren einkauft, Überweisungen tätigt oder sich in Foren herumtreibt, spielt ID-Management eine Rolle. Inwiefern wird diese Seite bei den Softwareprojekten, die in der Mache sind, berücksichtigt?

Es gibt zwei Ebenen, zum einen die Unternehmens IT, zum anderen das nutzerzentrierte Identitätsmanagement. Im Umgang mit Identitäten in sozialen Netzwerken zeigt sich die Schwierigkeit, persönliche Informationen, die eigentlich mir gehören, wieder zu entfernen. Die Information Cards liefern hier den interessanten Ansatz, mit einer virtuellen Visitenkarte nur ganz bestimmte Daten an eine Website zu übergeben, statt sich umfangreich zu registrieren.

Für den Inhaber eines elektronischen Personalausweises entsteht eine Validität gegenüber Unternehmen, mit denen er zusammenarbeitet. Diese können sicher sein, dass es Martin Kuppinger ist und nicht jemand, der meine Identität missbraucht.

Unternehmen müssen ebenfalls über nutzerzentrierte Szenarien nachdenken. Für ihre Kunden und ihre Mitarbeiter können virtuelle Visitenkarten im Geschäftsverkehr nützlich sein. Damit beschäftigen sich Anbieter wie Microsoft, IBM oder Sun und sind gleichzeitig auf der Unternehmensseite aktiv. Wir haben im Prinzip drei Handlungsstränge: den Staats-, Unternehmens- und Endbenutzerstrang. Diese Drei laufen immer enger zusammen.

Auf Gesetzgeberseite gibt es Uneinigkeiten, ob die Pflege der privaten Online-Identität Privatsache ist oder in den Verantwortungsbereich des Staates fällt. Wie sehen sie das?

Der Gesetzgeber hat ein paar gute Ansätze: Der elektronische Personalausweis ist durchdacht. Bei anderen Ansätzen wie der de-Mail bin ich mir nicht so sicher. Am Ende des Tages müssen die staatlich lancierten Lösungen auch mit denen zusammenpassen, die aus der Technologiewelt kommen. Meiner Meinung nach muss der Gesetzgeber die Grenzen sauber setzen und den Missbrauch von Informationen so weit wie möglich einschränken, ohne bei überzogener Kontrolle zu enden.

Die Europäische Agentur für Netzwerk- und Informationssicherheit strebt ein elektronisches Identifizierungs- und Authentifizierungsverfahren an. Im Rahmen des EU-Projektes STORK wird eine grenzübergreifende Authentifizierungsplattform für e-Dienste geprüft. Wie stark ist Deutschland in diesen EU-Projekten vertreten?

Deutschland ist durchaus dabei, wobei ich das nicht als die zentrale Frage betrachte. Schlussendlich entscheidet die Akzeptanz. Man kann auf staatlicher Seite alles Mögliche definieren. Wenn es nicht genutzt wird, ist es eine Totgeburt. Ich bin selbst in einem der EU-Projekte aktiv und weise mit Nachdruck darauf hin, dass alles, was entwickelt wird, zu dem passen muss, was weltweit an Initiativen läuft.

Die Deutschen sind insgesamt sehr engagiert und beim elektronischen Personalausweis in der Umsetzung führend. Dies ist sicherlich eines der durchdachtesten und besten Konzepte, die man finden kann.

Zum Thema Authentifizierung gibt es auch warnende Stimmen: Der Europarat spricht sich dafür aus, eine Möglichkeit für Identitätsmanagement im Netz zu finden, ohne dabei eine Big-Brother-Gesellschaft zu befördern. Privacy-Experte Andreas Pfitzmann appelliert, eine Infrastruktur zu schaffen, die dem Einzelnen keine festen Online-Identifizierungsmerkmale zuweist. Ihr Unternehmen bewertet ja regelmäßig aktuelle ID-Management Produkte. Welchen Stellenwert hat der Faktor Anonymisierung in diesen Lösungen?

Das Bewusstsein für Privacy wächst, bislang war es eher gering. Noch immer sind viele Menschen schnell bereit, so ziemlich alles über sich selbst preiszugeben, sobald sie dafür ein bisschen Gegenleistung erhalten. Software-Anbieter denken zunehmend über dieses Thema nach. IBM ist ebenso wie Microsoft sehr intensiv auf der Suche nach Ansätzen, die mit einem Minimum an persönlichen Informationen auskommen.

Dadurch, dass wir im Netz nicht nur eine, sondern viele Identitäten, genauso wie verschiedene E-Mailadressen haben, wird sich das Problem ein Stück weit relativieren. Als Mitarbeiter eines Unternehmens agiere ich mit einem anderen Account als privat. Jemand, der Online-Spiele spielt, hat darin eine eigene Identität, die er nicht mit anderen Online-Aktivitäten koppelt.

In Zukunft wird es mehrere weltweit agierende Identitätsprovider geben, einige auf nationaler Ebene und kleine spezifische. Zugleich erhält man von staatlicher Ebene eine Authentifizierung mit größerem Schutz für wichtigere, z.B. finanziell interessante Transaktionen.

Ist es nicht gerade bei der Verbrechensbekämpfung von Interesse, von einer spezifischen digitalen Identität auf die reale rückschließen zu können?

Ja und nein. Der Staat hat Interesse an einer Nachvollziehbarkeit von Dingen, in Teilbereichen auch berechtigt. Hier und da tendiert er dazu, über das Ziel hinauszuschießen. Es wird nicht so weit kommen, dass jeder nur noch über eine Art von Identität verfügt, die vom Staat zentral verwaltet wird. Das halte ich technisch gesehen für ausgeschlossen. Man wird punktuell Nachweispflichten einführen, so wie man für den Zugriff auf Seiten mit pornographischen Inhalten eine Altersverifikation braucht. Aber klar ist auch: Das wird ausgehebelt werden, selbst wenn Provider alles Mögliche filtern. Da heißt es auch Grenzen zu setzen, um nicht wirklich irgendwann bei Big Brother zu landen, weil der Staat alles kontrolliert. Er sammelt und verknüpft schon heute ungleich mehr Informationen über seine Bürger, als diese sich das in den 70er- und 80er- Jahren, als die Datenschützer auf die Straße gingen, in ihren schlimmsten Träumen vorgestellt haben.

 Und Microsofts Information Card läuft nicht auf eine zentrale Steuerungsdatei hinaus?

Eben nicht. Microsoft ist schließlich das gebrannte Kind: Das Unternehmen versuchte vor einigen Jahren, ein zentrales System – „Passport“ genannt – einzuführen, auf dem sich jeder registrieren sollte, so dass er sich anschließend bei Diensten wie eBay ohne Anmeldung einloggen konnte. Aus zwei Gründen ist das nicht akzeptiert worden. Erstens hat man Microsoft nicht vertraut. Zweitens: Wem würden wir überhaupt an dieser Stelle vertrauen?

Bei Microsofts neuer Lösung ist der Benutzer derjenige, der kontrolliert, wem er was gibt. Er kann sich seine eigene Information Card erstellen. Wird die Karte von einem Identity Provider für ihn ausgestellt, ist sie, je nachdem, wie sehr dieser Provider von anderen akzeptiert wird, natürlich glaubwürdiger. Das Grundkonzept ist aber darauf ausgelegt, dass der Identity Provider nicht weiß, mit welchem Dienstanbieter ich zusammenarbeite. Ich lege selbst fest, wem ich welche Information übergebe.

Inzwischen gibt es eine Information Card Foundation, in der Firmen wie PayPal, die Deutsche Telekom, Google und Intel diesen Ansatz standardisiert vorantreiben. Sie wissen, dass sie irgendwann ein Akzeptanzproblem haben, wenn sie es nicht schaffen, dem Benutzer die Hoheit über seine persönlichen Daten zu geben.

Die Motivation dieser Unternehmen hat sicher auch wirtschaftliche Beweggründe.

Keiner von denen handelt altruistisch. Selbstverständlich machen diese Unternehmen Business rund um das Thema. Sie liefern Technologie dafür, statt in absehbarer Zeit außen vor zu sein und keine Kontrolle mehr über das System zu haben. Das Information Card-Konzept eignet sich für die unterschiedlichsten Geschäftsvorfälle: Ich kann als Unternehmen virtuelle Kundenkarten ausgeben, als Privatperson meine eigene Karte erstellen und es irgendwann vielleicht in social Networks nutzen, alles mit mehr Kontrolle auf Seiten des Benutzers.

Hat die Rezession negative Folgen für die Entwicklung in diesem Bereich?

Im Vergleich bewegt sich dieses Segment sehr stabil und überproportional im IT-Markt, auch in der jetzigen Phase. Das gilt v.a. für die Themen Governance, Risk Management, Compliance. Hier profitieren viele Firmen sogar ein Stück weit von der Krise, weil sie spezifischen Handlungsbedarf erzeugt.

 

Zur Person:

Martin Kuppinger (45), Diplom-Betriebswirt, Trainer, Buchautor, Berater und Systemarchitekt, gründete 2004 Kuppinger Cole + Partner (KCP), ein Analystenunternehmen, das sich auf Digitale Identität konzentriert – das größte ungelöste Problem der IT. KCP evaluiert Produkte, Lösungen und Dienstleistungen in diesem dynamisch wachsenden Markt und liefert damit Orientierung und Entscheidungskriterien für Hersteller und Anwender.

[Marketeers+Pioneers, Mai 2009]