Wenn es um Daten und die Weitergabe von Daten geht, liegt viel Fokus auf der Frage, wie man personenbezogene Daten von ihrem Personenbezug trennt. Die beiden Schlagwörter sind Pseudonymisierung und Anonymisierung. Doch in der praktischen, alltäglichen digitalen Welt ist ebenso die umgekehrte Frage, die nach dem Erkennen und der eindeutigen Identifikation eine große Herausforderung.
Im Lauf der Zeit wurden daher viele Verfahren entwickelt, die eine Authentifizierung ermöglichen. Passwörter, biometrische Erkennungsverfahren, Zwei-Faktor-Authentifizierung und vieles mehr. Dabei bilden die Anforderungen der einfachen Nutzbarkeit und der Sicherheit ein Spannungsverhältnis: Im Allgemeinen sinkt die Sicherheit, wenn die Benutzung einfacher wird und umgekehrt. Die Sicherheit hat dabei zwei Komponenten: Zum einen die Sicherheit des Gegenübers über die eigene Identität, zum anderen die Sicherheit, die Authentifizierungsinformationen vor dem Zugriff Dritter zu schützen. Unsicher, aber einfach ist es beispielsweise, überall dasselbe Passwort zu verwenden. Wesentlich aufwendiger, dafür aber auch wesentlich sicherer ist es dagegen, überall verschiedene Passwörter einzusetzen. Passwort-Manager können den Anwender hier unterstützen. Sollte ein Dritter allerdings Zugang zum Masterpasswort des Passwort-Managers erlangen, kann ein immenser Schaden entstehen. Mittlerweile halten Sicherheitsexperten es übrigens für sicherer, Passwörter nicht ständig zu wechseln und insbesondere diese nicht ständig selbst wieder einzugeben. Hundertprozentig vermeiden kann man Schäden allerdings nie: Selbst die komplexesten und sichersten Verfahren können niemals absolute Sicherheit gewähren. Sie steigern allerdings den Aufwand, den ein unberechtigter Dritter erbringen muss, um an die Authentifizierungsinformation zu gelangen.
In vielen praktischen Situationen wird es zu aufwendig sein, auf die neueste Authentifizierungstechnologie zurückzugreifen. Beispielsweise werden viele Geschäfte im eCommerce aktuell durch Nutzername-Passwort-Informationen authentifiziert. Bisweilen sind Zahlungsinformationen bereits im Profil des Nutzers hinterlegt. So reicht der Log-in für die Durchführung eines Geschäftes bereits aus. Zum Schutz der Verbraucher und zum eigenen Schutz vor Betrug bemühen sich Anbieter daher, die Identität durch weitere Informationen zu verifizieren. Zur Verifikation können beispielsweise geografische Informationen herangezogen werden: Die Nutzung einer Kreditkarte auf einem anderen Kontinent kann gesperrt werden, insbesondere wenn dieselbe Kreditkarte nur wenige Stunden vorher in Deutschland verwendet wurde. Die DSGVO fordert sowohl Sicherheit als auch Datenschutz; es besteht ein Spannungsfeld der verschiedenen Schutzinteressen, das sich auch im folgenden Beispiel zeigt: Auf der einen Seite müssen zum Zweck der Verifikation neben den für die Durchführung der Verwaltungsaufgabe oder des Geschäftes absolut notwendigen Informationen oft weitere Merkmale erhoben und gespeichert werden. Auf der anderen Seite würde es Kriminellen in die Hände spielen, wenn diese Informationen im Detail beauskunftet werden würden.
Auch außerhalb der Verwaltungs- und Geschäftswelt ist die Frage nach der Identität des Gegenübers von hoher Relevanz: Mensch oder Maschine? Real oder Fake? Auf digitalen Plattformen gibt es diverse Auswüchse falscher Identitäten: Dritte geben sich für eine real existierende Person aus, es werden sogenannte Fake-Accounts betrieben, die vorgeben, von einer natürlichen Person betrieben zu werden, und schließlich sind diese Dritten selbst technische Systeme. In vielen Kontexten ist es sinnvoll und angebracht, dass technische Systeme einen Teil der Kommunikation übernehmen. Etwa können Chatbots ein Vorfiltern von Kundenanliegen für alle Seiten effizient und angenehm gestalten. Eine kritische Grenze ist aber dann erreicht, wenn ein Account vorgibt, etwas zu sein, was er nicht ist.
Autorin: Christin Schäfer
Erscheinungsdatum: 20.03.2020