Online-Identifizierung - Bug oder Feature?

Schon seit den frühen Tagen der Mailboxen herrscht ein spannungsreiches Verhältnis zwischen dem Wunsch der Surfer nach Anonymität und den Forderungen der Betreiber nach einer Authentifizierung. Einige der ersten Mailbox-Netze erlaubten die Benutzung ihres Dienstes tatsächlich nur dann, wenn der Nutzer seinen Personalausweis vorlegte. Pseudonyme waren verboten.

Auf der anderen Seite war Anonymität ein oft hervorgehobenes Element des frühen Internets. Peter Steiner wurde 1993 nicht zufällig mit dem Cartoon "On the Internet, nobody knows you\'re a dog" berühmt (Abbildung 1). Als das Internet zum Massenmedium avancierte, konnten Surfer davon ausgehen, beim Bewegen im Netz nicht identifiziert oder aufgespürt zu werden, zumindest beim Zugang mit einer Flatrate oder in einem Internetcafé. Regelmäßiges Löschen der Cookies von der Festplatte war ebenfalls angezeigt. Im Web 1.0 waren Identität und Identifizierung daher kaum problematisierte Themen. Wenige forderten die Übereinstimmung von wahrer Identität und den Rollen einer Person im Netz.

Abbildung 1: Peter Steiners Cartoon aus dem Jahr 1993 über die Anonymität im Internet.

Das erlaubte einen starken Schutz der freien Meinungsäußerung, das anonyme Whistleblowing, und natürlich den Schutz der Privatsphäre. Es gab den Menschen die Möglichkeit, mit verschiedenen Aspekten ihrer Persönlichkeit zu experimentieren. Es war gang und gäbe, in Blogs und Foren unter verschiedenen Pseudonymen aufzutreten, nur im professionellen Bereich gaben die meisten ihren wirklichen Namen preis.

Im Gefolge von Georg Simmel, der dies schon vor hundert Jahren feststellte, wissen Soziologen: Seine Identität zu verwalten bedeutet, die verschiedenen Rollen zu verwalten, die ein Mensch in Bezug auf andere Personen und unterschiedliche Kontexte hat.

Im Umfeld des Web 2.0 hat sich hier manches geändert. Es geht nicht mehr um die Vernetzung von Dokumenten, sondern um die Vernetzung von Menschen. Die scheinen aber das Bedürfnis zu haben, ihre Online- und Offline-Identitäten abzugleichen und sogar zu zertifizieren. Dies wird auch einer der Gründe sein, warum soziale Netzwerkplattformen, egal ob Myspace (Abbildung 2), Xing, Facebook oder das berüchtigte Studivz, so populär sind.

Identity 2.0

"Das Internet wurde geschaffen, ohne eine Möglichkeit, zu erfahren, mit wem oder was man in Verbindung tritt." Dieser Satz eröffnete 2005 das Manifest "Laws of Identity" von Kim Cameron, dem Chief Identity Architect bei Microsoft. Wer dem zustimmt, muss sich fragen: Ist das ein Bug oder ein Feature? Während die meisten es in den 90ern als Feature ansahen, ist es aus der Sicht von Kim Cameron und vielen anderen heute ein Fehler. In den letzten Jahren gab es daher unter dem Label "Identity 2.0" zur Entwicklung von Identifikationsprotokollen oder eines Identity-Layers für das Internet eine wachsende Zusammenarbeit zwischen Technikern und Herstellern.

Allen diesen Ansätzen ist gemeinsam, dass sie eine neue Partei in die Gleichung aus Online- und bürgerlicher Identität aufnehmen. Diese "vertraute dritte Partei" beziehungsweise der Identitätsanbieter ist vergleichbar mit dem Meldeamt, das in der Offline-Welt den Pass oder Ausweis ausstellt. Es liefert ein Beweisstück (Token), um andere davon zu überzeugen, dass man wirklich der ist, der man zu sein vorgibt.

Zuzeit sind die interessantesten Ansätze Microsofts Cardspace/Infocards-Technik [1], die die Redmonder bei Windows Vista mitliefern, sowie Open ID [2], das aus einem losen Netzwerk rund um die Internet Identity Workshops hervorgegangen ist. Daneben gibt es viele weitere, darunter LID [3] und Inames [4].

Es ist bemerkenswert, dass Microsofts Cardspace (Abbildung 2) sehr viel besser die Privatsphäre schützt als der Community-getriebene Standard Open ID. Während Open ID eher ein leichtgewichtiger Single-Sign-on-Dienst ist, bei dem der Identitätsanbieter im Mittelpunkt sitzt und alle Transaktionen kennt, weiß der Anbieter beim Cardspace-Modell nicht automatisch, mit welchen Netzdiensten der Anwender verbunden ist.

Abbildung 2: War das Revolutionäre am frühen Internet das Verlinken von Seiten, so verbinden die viele Seiten im Web 2.0 vor allem Menschen – unter ihrem richtigem Namen oder einem Pseudonym.

Der Staat, der Name und der Ausweis

In der Netzgemeinde sind Techniker die Hauptakteure in der Diskussion um Standards wie Open ID. Es gibt aber eine weitere Macht, die eher im Hintergrund arbeitet und die viele ignorieren. Ein Rückblick hilft sie und ihre Rolle zu erkennen. Wer hat als Erster Identifikationssysteme etabliert? Es war der früh-moderne europäische Staat. Im 16. Jahrhundert traten die ersten Gesetze in Kraft, die es verboten, Namen ohne Genehmigung der Behörden zu ändern.

Hinzu kamen die ersten Identitätsbeweise. Zunächst waren dies offizielle Briefe und Siegel, im frühen 20 Jahrhundert verbreiteten und entwickelten sich Pässe und Personalausweise. Das Erscheinen des Computers ersetzte dann Namen durch Nummern - Sozialversicherungsnummer, Steuernummer, Passnummer und so weiter. Die Idee ist aber viel älter. Der britische Philosoph Jeremy Bentham, der außer dem Modell des Panoptikums auch die prototypische Überwachungsarchitektur erfand, schlug vor, jedem Bürger den Namen oder eine Seriennummer auf den Unterarm zu tätowieren.

Ein solches Tattoo identifiziert den Träger im direkten Kontakt, aber nicht im Netz. Viele Regierungen möchten aber gegenwärtig eine zertifizierte, offizielle Verbindung zwischen der realen physischen und der Online-Identität herstellen. Dahinter stecken zwei Motive: Zum einen soll sie den elektronischen Behördenverkehr ermöglichen, zum anderen dient die Identifizierung der Kontrolle und Überwachung der Internetnutzung.

Die Volksrepublik China arbeitet dazu an einem verbindlichen Echtnamen-Bestätigungssystem für Blogger und Onlinespieler. Südkorea entwickelt ein ähnliches System für das Veröffentlichen von Blog-Einträgen und -Kommentaren. In den Vereinigten Staaten legten die Senatoren McCain und Schumer den Gesetzesentwurf "Keeping the Internet Devoid of Sexual Predators Act" [5] vor, der verurteilte Sexualstraftäter dazu zwingen würde, alle ihre Online-Identitäten bei den Behörden zu hinterlegen.

Es ist ihnen sehr ernst damit: Wer sich nicht registriert, dem droht eine zehnjährige Gefängnisstrafe - nicht etwa für eine Vergewaltigung, sondern nur für das Verschweigen von Benutzernamen und E-Mail-Adressen gegenüber der Regierung. Vor Kurzem machte Kentucky Schlagzeilen mit einem Vorschlag ähnlich denen aus China und Korea. Ein Gesetzesentwurf vom März 2008 fordert von jedem, der an einer Webseite mitwirkt, die Hinterlegung des Realnamens, der Adresse und der E-Mail-Adresse.

Der Name soll jedes Mal zu sehen sein, wenn der Internetbesucher einen Kommentar veröffentlicht oder in einem Forum schreibt. Immerhin mussten selbst die Befürworter des Gesetztes zugeben, dass seine Umsetzung schwierig werden könnte, da in den USA ein Personalausweis nicht obligatorisch ist.