Im Web 2.0, das soziale Kontakte betont, entsteht der Wunsch, die Identität seines Gegenüber zu kennen. Doch neben dem harmlosen Interesse, den Namen des Chatpartners zu erfahren, verbergen sich auch unedle Motive in dem Bestreben, die Internetbesucher zu identifizieren.

Schon seit den frühen Tagen der Mailboxen herrscht ein spannungsreiches Verhältnis zwischen dem Wunsch der Surfer nach Anonymität und den Forderungen der Betreiber nach einer Authentifizierung. Einige der ersten Mailbox-Netze erlaubten die Benutzung ihres Dienstes tatsächlich nur dann, wenn der Nutzer seinen Personalausweis vorlegte. Pseudonyme waren verboten.

Auf der anderen Seite war Anonymität ein oft hervorgehobenes Element des frühen Internets. Peter Steiner wurde 1993 nicht zufällig mit dem Cartoon “On the Internet, nobody knows you\’re a dog” berühmt (Abbildung 1). Als das Internet zum Massenmedium avancierte, konnten Surfer davon ausgehen, beim Bewegen im Netz nicht identifiziert oder aufgespürt zu werden, zumindest beim Zugang mit einer Flatrate oder in einem Internetcafé. Regelmäßiges Löschen der Cookies von der Festplatte war ebenfalls angezeigt. Im Web 1.0 waren Identität und Identifizierung daher kaum problematisierte Themen. Wenige forderten die Übereinstimmung von wahrer Identität und den Rollen einer Person im Netz.

Abbildung 1: Peter Steiners Cartoon aus dem Jahr 1993 über die Anonymität im Internet.

Das erlaubte einen starken Schutz der freien Meinungsäußerung, das anonyme Whistleblowing, und natürlich den Schutz der Privatsphäre. Es gab den Menschen die Möglichkeit, mit verschiedenen Aspekten ihrer Persönlichkeit zu experimentieren. Es war gang und gäbe, in Blogs und Foren unter verschiedenen Pseudonymen aufzutreten, nur im professionellen Bereich gaben die meisten ihren wirklichen Namen preis.

Im Gefolge von Georg Simmel, der dies schon vor hundert Jahren feststellte, wissen Soziologen: Seine Identität zu verwalten bedeutet, die verschiedenen Rollen zu verwalten, die ein Mensch in Bezug auf andere Personen und unterschiedliche Kontexte hat.

Im Umfeld des Web 2.0 hat sich hier manches geändert. Es geht nicht mehr um die Vernetzung von Dokumenten, sondern um die Vernetzung von Menschen. Die scheinen aber das Bedürfnis zu haben, ihre Online- und Offline-Identitäten abzugleichen und sogar zu zertifizieren. Dies wird auch einer der Gründe sein, warum soziale Netzwerkplattformen, egal ob Myspace (Abbildung 2), Xing, Facebook oder das berüchtigte Studivz, so populär sind.

Identity 2.0

“Das Internet wurde geschaffen, ohne eine Möglichkeit, zu erfahren, mit wem oder was man in Verbindung tritt.” Dieser Satz eröffnete 2005 das Manifest “Laws of Identity” von Kim Cameron, dem Chief Identity Architect bei Microsoft. Wer dem zustimmt, muss sich fragen: Ist das ein Bug oder ein Feature? Während die meisten es in den 90ern als Feature ansahen, ist es aus der Sicht von Kim Cameron und vielen anderen heute ein Fehler. In den letzten Jahren gab es daher unter dem Label “Identity 2.0” zur Entwicklung von Identifikationsprotokollen oder eines Identity-Layers für das Internet eine wachsende Zusammenarbeit zwischen Technikern und Herstellern.

Allen diesen Ansätzen ist gemeinsam, dass sie eine neue Partei in die Gleichung aus Online- und bürgerlicher Identität aufnehmen. Diese “vertraute dritte Partei” beziehungsweise der Identitätsanbieter ist vergleichbar mit dem Meldeamt, das in der Offline-Welt den Pass oder Ausweis ausstellt. Es liefert ein Beweisstück (Token), um andere davon zu überzeugen, dass man wirklich der ist, der man zu sein vorgibt.

Zuzeit sind die interessantesten Ansätze Microsofts Cardspace/Infocards-Technik [1], die die Redmonder bei Windows Vista mitliefern, sowie Open ID [2], das aus einem losen Netzwerk rund um die Internet Identity Workshops hervorgegangen ist. Daneben gibt es viele weitere, darunter LID [3] und Inames [4].

Es ist bemerkenswert, dass Microsofts Cardspace (Abbildung 2) sehr viel besser die Privatsphäre schützt als der Community-getriebene Standard Open ID. Während Open ID eher ein leichtgewichtiger Single-Sign-on-Dienst ist, bei dem der Identitätsanbieter im Mittelpunkt sitzt und alle Transaktionen kennt, weiß der Anbieter beim Cardspace-Modell nicht automatisch, mit welchen Netzdiensten der Anwender verbunden ist.

Abbildung 2: War das Revolutionäre am frühen Internet das Verlinken von Seiten, so verbinden die viele Seiten im Web 2.0 vor allem Menschen – unter ihrem richtigem Namen oder einem Pseudonym.

Der Staat, der Name und der Ausweis

In der Netzgemeinde sind Techniker die Hauptakteure in der Diskussion um Standards wie Open ID. Es gibt aber eine weitere Macht, die eher im Hintergrund arbeitet und die viele ignorieren. Ein Rückblick hilft sie und ihre Rolle zu erkennen. Wer hat als Erster Identifikationssysteme etabliert? Es war der früh-moderne europäische Staat. Im 16. Jahrhundert traten die ersten Gesetze in Kraft, die es verboten, Namen ohne Genehmigung der Behörden zu ändern.

Hinzu kamen die ersten Identitätsbeweise. Zunächst waren dies offizielle Briefe und Siegel, im frühen 20 Jahrhundert verbreiteten und entwickelten sich Pässe und Personalausweise. Das Erscheinen des Computers ersetzte dann Namen durch Nummern – Sozialversicherungsnummer, Steuernummer, Passnummer und so weiter. Die Idee ist aber viel älter. Der britische Philosoph Jeremy Bentham, der außer dem Modell des Panoptikums auch die prototypische Überwachungsarchitektur erfand, schlug vor, jedem Bürger den Namen oder eine Seriennummer auf den Unterarm zu tätowieren.

Ein solches Tattoo identifiziert den Träger im direkten Kontakt, aber nicht im Netz. Viele Regierungen möchten aber gegenwärtig eine zertifizierte, offizielle Verbindung zwischen der realen physischen und der Online-Identität herstellen. Dahinter stecken zwei Motive: Zum einen soll sie den elektronischen Behördenverkehr ermöglichen, zum anderen dient die Identifizierung der Kontrolle und Überwachung der Internetnutzung.

Die Volksrepublik China arbeitet dazu an einem verbindlichen Echtnamen-Bestätigungssystem für Blogger und Onlinespieler. Südkorea entwickelt ein ähnliches System für das Veröffentlichen von Blog-Einträgen und -Kommentaren. In den Vereinigten Staaten legten die Senatoren McCain und Schumer den Gesetzesentwurf “Keeping the Internet Devoid of Sexual Predators Act” [5] vor, der verurteilte Sexualstraftäter dazu zwingen würde, alle ihre Online-Identitäten bei den Behörden zu hinterlegen.

Es ist ihnen sehr ernst damit: Wer sich nicht registriert, dem droht eine zehnjährige Gefängnisstrafe – nicht etwa für eine Vergewaltigung, sondern nur für das Verschweigen von Benutzernamen und E-Mail-Adressen gegenüber der Regierung. Vor Kurzem machte Kentucky Schlagzeilen mit einem Vorschlag ähnlich denen aus China und Korea. Ein Gesetzesentwurf vom März 2008 fordert von jedem, der an einer Webseite mitwirkt, die Hinterlegung des Realnamens, der Adresse und der E-Mail-Adresse.

Der Name soll jedes Mal zu sehen sein, wenn der Internetbesucher einen Kommentar veröffentlicht oder in einem Forum schreibt. Immerhin mussten selbst die Befürworter des Gesetztes zugeben, dass seine Umsetzung schwierig werden könnte, da in den USA ein Personalausweis nicht obligatorisch ist.

Identifizierung als Bürgerpflicht?

Länder mit verpflichtenden Personalausweisen und Bevölkerungsregistern haben es bei der staatlichen Verordnung einer Online-Identität leichter. Das deutsche Innenministerium plant für 2009 einen elektronischen Personalausweis, der es den Bürgern ermöglicht, sich mit der von der Regierung zertifizierten Identität online anzumelden. Zusätzlich soll es so genannte Bürgerportale geben, die eine staatlich zertifizierte E-Mail-Adresse zur Verfügung stellen – im Innenministerium ganz ohne Ironie “D-Mail” genannt, also sozusagen eine ladbare Anschrift im Netz.

In der heißen Diskussion um die Sicherheitsstrategie von CDU und CSU war zu hören: “Hoher Forschungs- und Implementierungsbedarf besteht unter anderem bei der Gewährung von sicherer Identität.” Die EU-Kommission bemüht sich ebenfalls um eine Standardisierung der verschiedenen E-Ausweise in den Mitgliedsstaaten.

Abbildung 3: Auch Microsoft mischt im Markt der Online-Identifizierungssysteme mit – und verdient für den Schutz der Privatsphäre sogar gute Noten.

Offiziell oder privat?

Die E-Ausweise sind zwar vordergründig nur für den elektronischen Behördenverkehr gedacht, doch es ist zu erwarten, dass große Teile der Online-Wirtschaft den behördlichen Ausweis für Anmeldungen und geschäftliche Transaktionen verlangen werden. So können sie ihre Kunden besser kontrollieren und Betrug vorbeugen. Eine Meldebehörde erfährt nichts davon, wo der Bürger seinen Ausweis oder Pass vorzeigt.

Die entscheidende Frage, ob dies auch bei der Online-Identität so sein wird, ist noch ungeklärt. Wie wird die Bundesregierung die Netzinfrastruktur für den E-Personalausweis gestalten? Es gibt kaum öffentlich zugängliche Informationen darüber, aber das Bundesinnenministerium bestätigt, dass es derzeit mit einigen großen IT-Firmen zusammenarbeitet.

Noch 2003 war die vorherrschende Meinung vieler Nutzer: “Meine Online-Identität ist doch nur für Blog-Kommentare und ähnlich harmlose Anwendungsfälle gedacht. Ich verwende ja immer ein Pseudonym, das ich nie bei wichtigen Diensten wie E-Government nutzen werde.” Aber genau dies passiert heute. Die amerikanische Firma Trustbearer kombiniert den offiziellen finnischen E-Personalausweis (FINEID) mit dem Schmalspur-Standard Open ID.

Finnland verbindet also bereits eine Technologie, die es erlaubt, die Online-Aktivitäten zu verfolgen (Open ID), mit einer Technologie, die es erlaubt, die bürgerliche Identität, die legale Person, zu identifizieren. Wäre das System flächendeckend vorgeschrieben, wäre der totale Online-Überwachungsstaat Realität. Dies ist bisher noch nicht der Fall, die finnische Regierung hat noch keinen Zugriff auf die Daten von Trustbearer.

Dabei handelt es sich aber nur um rechtliche Beschränkungen, die sich, wie die Geschichte immer wieder zeigt, mit der Zeit ändern. Auf der infrastrukturellen Seite befördern die Identitätstechnologien die Gesellschaft immer weiter in Richtung Online-Überwachung.

Schutz oder Überwachung?

Vielversprechend in Bezug auf anonyme Identifizierung sind U-Prove [6] der kanadischen Firma Credentica, die Microsoft vor Kurzem gekauft hat, und das Open-Source-Projekt Idemix [7], das IBM Zürich im Kontext des EU-Forschungsprojekts Prime entwickelt hat.

Leider ist noch keine reale Nutzung dieser sehr fortschrittlichen, auf Zero-Knowledge-Proofs basierenden Systeme in Sicht, es ist daher zu befürchten, dass sich in der Zwischenzeit weniger datenschutzfreundliche Ansätze wie Open ID durchsetzen und damit Fakten schaffen. Regierungen zeigen generell nur wenig Sympathie für Anonymität im Netz. Der Kern bei Vorhaben wie der Vorratsdatenspeicherung ist es ja gerade, jede Internetnutzung nachträglich über die IP-Adresse einem konkreten Anwender zuzuordnen.

Die wenigen kritischen Beiträge zur digitalen Identitätsdebatte konzentrieren sich – wie auch dieser Artikel – auf die Auswirkungen auf die Privatsphäre der Nutzer: Wie steht es um die Verfolgbarkeit aller Aktionen im Netz beim Einsatz eines bestimmten Systems? Doch auch ein weiterer Effekt, der sich daraus ergeben könnte, sollte nachdenklich stimmen: Wird ein künftiges Internet, das mit einer Identitätsschicht versehen ist, noch ein Ort sein, an dem sich die Besucher frei bewegen können, wenigstens so frei, wie es heute noch möglich ist? (pkr)