Willkommen in der Kartengesellschaft
US-Präsident Barack Obama treibt die Einführung eindeutiger digitaler IDs voran. Wenn es nach seiner "National Strategy for Trusted Identities in Cyberspace" geht, ist bald niemand mehr anonym.
US-Präsident Barack Obama treibt die Einführung eindeutiger digitaler IDs voran. Wenn es nach seiner "National Strategy for Trusted Identities in Cyberspace" geht, ist bald niemand mehr anonym.
Die US-Regierung plant die großflächige Einführung digitaler IDs. Dieser "Ausweis für das Internet" wird von der Mannschaft um Präsident Barack Obama im Rahmen der sogenannten National Strategy for Trusted Identities in Cyberspace (NSTIC) vorangetrieben. Bei dem, was da geplant ist, kann man als freier Netzbürger allerdings nur mit dem Kopf schütteln beziehungsweise schreiend aus dem Fenster springen, wie eine Analyse des letzte Woche veröffentlichten, jüngsten Strategiedokuments zeigt.
Die NSTIC ist eine jener "Solutions in Search of a Problem", wie man sie von vielen IT-Großprojekten kennt. Es geht um diffuse Ängste seitens eines Sicherheitsstaates, der angesichts des angeblichen "Wilden Westens" im Netz "Internetausweise" einführen will. Sind die erst mal Pflicht, braucht es auch keine Vorratsspeicherung und andere unpopuläre Maßnahmen mehr, denn dann ist jeder erfassbar, mit jeder seiner Bewegungen.
Die Argumente für die digitale ID lesen sich ja auch prima: Nutzer müssen sich keine blöden Passwörter mehr merken, weil sie überall automatisch "angemeldet" sind, Phishing und trojanische Pferde, die Daten abgreifen, haben es angeblich viel schwerer und selbst Jugendschutzmaßnahmen lassen sich effizient umsetzen. (Ungefähr genauso effizient wie die Verwendung von Girocards als Merkmal an Zigarettenautomaten, ergänzt durch eine PIN.)
Dabei geht es nutzerseitig allerdings nur um äußerst geringe Komfortsteigerungen. Das liest sich in der NSTIC dann so: "Mary hat keine Lust mehr, sich Dutzende von Nutzernamen und Passwörtern zu merken (...) Sie kauft [jetzt] einen Pullover, ohne einen Account eröffnen zu müssen". Das gedachte Ausrufezeichen dahinter lasse ich jetzt einmal weg.
Um Menschen, denen etwa an ihrer Privatsphäre liegt, ein bisschen zu beruhigen, enthält die NSTIC einige "Privacy Enhancements", wie man sie bereits vom (zwischenzeitlich als mittelprächtig unsicher entlarvten) neuen deutschen Personalausweis kennt: Unternehmen sollen nur die Daten erhalten, die sie brauchen. Da aber selbst bei solchen Identifikationsvorgängen immer Datenspuren bleiben - und sei es nur die mitübertragene IP-Adresse - ist der ganze Aufwand nicht viel mehr als eine Vernebelungstaktik.
Profitieren werden von dem Großprojekt einmal mehr die Hersteller vermeintlich sicherer Chipkarten, RFIDs und anderer technischer Maßnahmen zum "Trusted" Computing. Dass die Technik weder besonders sicher noch unknackbar ist, sieht man dann an Diskussionen wie jenen um die "Standardleser" beim neuen deutschen Personalausweis. Es wird Soft- und Hardwareprobleme geben, die das Sicherheitsniveau mindestens in Einzelfällen auf das zurückfallen lässt, was wir heute schon haben. Online-Ganoven werden sich an das Abgreifen dieser Daten anpassen und dann eine viel wertvolle Möglichkeit des Identitätsdiebstahls erhalten als aktuell. Die Daten, werden Banken, der Staat und Händler dann sagen, müssen doch sicher sein!
Mich erinnert das an das Prozedere von Zahlungsanbietern, die derzeit ebenfalls neue ID-Verfahren vorantreiben. Diese gelten erst einmal als sicher, weil sie so neu sind, dass sie noch nicht geknackt wurden. Das heißt gleichzeitig, dass es Nutzer, denen es dann doch passiert, enorm schwer haben werden, sich ihr Geld zurückzuholen, wenn doch mal etwas schiefgeht. Für die Betreiber heißt das, sie gewinnen gleich doppelt: Ihr System ist einerseits (irgendwie) sicherer, gleichzeitig haben sie ihren Kunden gegenüber eine entsprechende Illusion verbreitet, mit der sie dann vor Regressansprüchen flüchten können. Prima Lösung!
Bei der digitalen ID ist es ähnlich: Wer später einmal im Gewirr dieser angeblich sichereren Technik hängenbleibt, wird es schwer haben, zu beweisen, dass er Opfer (anfangs neuartiger) Angriffe wurde. Von der Nachverfolgbarkeit einmal ganz abgesehen. Da lobe ich mir doch den angeblichen Wilden Westen des heutigen Netzes. Da darf man noch anonym bleiben, wenn man es möchte und kann Banken und Behörden sogar ab und zu beweiskräftig belegen, wie unsicher das alles ist. Und ja, ich weiß, diese Strategie klingt ein wenig fatalistisch. Aber sie funktioniert im Gegensatz zu all den technokratischen Utopien wenigstens. (bsc)
