Was die Pandemie-App und Alexa mit digitalen Identitäten zu tun haben

Richtig angewendet, können digitale Identitäten unser Leben ein gutes Stück einfacher und sicherer machen. Doch das Misstrauen gegenüber Datensammlungen aller Art ist groß und führt nicht selten dazu, dass wir die Vorteile zeitgemäßer Technik nicht nutzen. Die Praxis zeigt nicht erst seit Corona: Wer zentralisierte Datenbestände wirkungsvoll einsetzen will, muss Vertrauen schaffen.

Dass China auf Erfolge bei der Pandemiebekämpfung verweisen kann, ist unbestritten. Konsequent wird in der Volksrepublik moderne Digitaltechnik dazu genutzt, Personendaten zu sammeln, zu konzentrieren und auszuwerten: Digitale Identitäten werden elektronisch mit Bewegungsdaten verknüpft, das macht die Nachverfolgung von Infektionsketten ein gutes Stück einfacher.

Infektionsschutz – nicht um jeden Preis

Dennoch mag sich die fernöstliche Strategie hierzulande keiner zum Vorbild nehmen. Das „chinesische Modell“ ist uns dann doch ein wenig zu konsequent. Getreu dem Motto: Daten, die nicht digital vorliegen, können auch nicht digital missbraucht werden, setzen unsere Gesundheitsämter lieber auf handgeschriebene Kontaktlisten und telefonische Nachverfolgung – ein Verfahren, das bei steigenden Infektionszahlen allerdings schnell an seine Grenzen gerät. Und die Corona-App, sei „durchsetzt von einem fast paranoiden Datenschutz“, beklagt Kolumnist Patrick Bernau in der FAZ. „Die Corona-Funktionen tun alles dafür, dass ja niemand irgendwie herausfinden kann, wer wen getroffen hat.“ Die Furcht davor, dass Daten in falsche Hände geraten könnten,scheint weitaus größer als die Angst vor einer unkontrollierten Ausbreitung von Covid-19. Den „gläsernen Bürger“ gilt es zu vermeiden, auch auf die Gefahr hin, dass wir uns das Leben in so manchem Bereich schwerer machen, als es in Zeiten der Pandemie sowieso schon ist.

Weitaus weniger Ressentiments scheinen viele Zeitgenossen indes dagegen zu haben, sich ein Helferlein namens Alexa ins Wohnzimmerzu holen – ein Mikrofon, das Sprachaufnahmen auf einen nicht näher bezeichneten Server in den USA weiterleitet. Und bei der Suche nach einem Restaurant vertraut man Google auch breitwillig seinen aktuellen Standort und seine generellen Vorlieben an. Denn praktisch sind sie ja, unsere digitalen Identitäten bei Google, facebook und Konsorten: Kostenlos werden Serverkapazitäten, digitale Landkarten, Leitsysteme und Assistenten bereitgestellt. Bezahlen müssen wir allenfalls dadurch, dass wir uns Werbung ansehen, die exakt auf unsere Bedürfnisse zugeschnitten sind.

Das Nutzen-Risiko-Prinzip

Wie hoch die Akzeptanz digitaler Identitäten letztlich ist, hängt also offensichtlich ganz entscheidend davon ab, welchen unmittelbaren Nutzen sie bieten, vor allem aber, wie sehr die Anwender demjenigen vertrauen, der sie erhebt, verwaltet und absichert. Dies gilt für demokratische Staaten genauso wie für Unternehmen.

Inwieweit das schier grenzenlose Vertrauen berechtigt ist, das viele von uns Suchmaschinen, E-Commerce und sozialen Netzwerken  entgegenbringen, sei einmal dahingestellt. Ebenso berechtigt ist die Frage, warum manche von uns einer der weltweit stabilsten Demokratien derart misstrauen, dass sie nicht einmal bei der Bewältigung der schwersten Krise seit dem Zweiten Weltkrieg mit der Bundesregierung kooperieren möchten.

Festzustellen bleibt jedoch: Google, facebook und Co sind zwar nicht gerade die Gralshüter des Datenschutzes – aber sie sagen uns zumindest vorher genau, wofür sie unsere Daten einsetzen wollen: Wir sollen animiert werden, zu konsumieren. Ob wir das dann auch tun, bleibt letztlich unsere Entscheidung. Die Polizei hingegen entscheidet nicht selten für uns: Persönliche Daten, die wir eigentlich zur Kontaktverfolgung und Pandemiebekämpfung hinterlegt haben, werden, wenn sie nun schon mal da sind, auch gleich zur Verfolgung von Kleinkriminellen genutzt.

Klare Konzepte statt Vorratsdaten

Wer Daten nach dem Eichhörnchenprinzip sammelt und bunkert – frei nach der Devise: Da fallen uns in Zukunft bestimmt noch tolle Zweit- und Drittverwertungsmöglichkeiten ein – der sollte sich über mangelnde Akzeptanz nicht wundern. Weg von der Blackbox, hin zum transparenten Datenschutz, das ist der Rat, den wir unseren Kunden in puncto digitale Identität geben.

Natürlich muss erst einmal der Datenbestand, muss das Rechenzentrum gegen Angriffe von außen gesichert sein. Dazu gehören Firewalls, Verschlüsselungen, Mehrfaktor-Authentisierung und Mitarbeiterschulungen zur Spearphising-Prävention.

Was wir bei unserer täglichen Arbeit immer wieder erleben: Schutz vor Hackern ist wichtig – mindestens ebenso wichtig für die Akzeptanz von digitalen Identitäten im Unternehmen ist aber ein klares und von vornherein lückenlos kommuniziertes Datenerhebungs- und -auswertungskonzept. Welche persönlichen Informationen werden gesammelt? Wozu werden die erhobenen Daten eingesetzt? Wer erhält welche Zugriffsrechte? Diese drei einfachen Fragen gilt es vorab zu klären, zusammen mit dem Betriebsrat und der Belegschaft. Die Einhaltung der gesetzlichen Datenschutzbestimmungen wie auch der betriebsinternen Regeln muss nach dem Rollenprinzip durchgesetzt und jederzeit überprüfbar sein. Sekundärauswertungen ohne vorherige Absprache sind tabu. Wichtig ist hingegen, zu verdeutlichen, welche Vorteile das System bringt – für das Unternehmen wie auch für die Mitarbeiter. Mehr Sicherheit, einfachere Prozesse und effizientere Verwaltung sind Argumente, für die jeder zugänglich ist – wenn er weiß, dass seine Daten verantwortungsvoll eingesetzt werden.

Vertrauen beruht auf Information und Verlässlichkeit, das gilt auch und ganz besonders für digitale Identitäten.

Identitäten kann man auf sehr unterschiedliche Weise verwalten, das beweist der Blick in die eigene Geldbörse – oder ins eigene Unternehmen, in die eigene Organisation: Ein Wirrwarr aus Identifikationssystemen macht das Identitätsmanagement nicht eben einfacher oder sicherer. Wer wissen will, wie es effizienter geht, auch und vor allem in der Umsetzung, der sollte sich unseren neuen Firmenblog nicht entgehen lassen.

Ich steige ins Auto, will mich setzen – und da ist er wieder, der Druck von hinten. Meine Geldbörse sieht mittlerweile nicht nur ausgesprochen unansehnlich aus, sie bereitet mir auch so manches Ungemach. Das dicke, zerschlissene Lederfutteral beherbergt eine Vielzahl an Scheinen, Münzen, Karten, Zetteln, und Ausweisen, die alle nur demselben Zweck dienen: zu bescheinigen, wer ich bin und was ich habe. Hüten muss ich das unansehnliche Trumm allerdings wie meinen Augapfel, ein Verlust würde erhebliche finanzielle Einbußen und zahlreiche Behördengänge zur Folge haben.

In meinem Kopf sieht es in puncto Identitätsmanagement nicht viel besser aus: Einen Wust an PINs, Passwörtern und Login-Prozeduren soll ich mir merken, sonst komme ich nicht an mein Geld und meinen PC und auch nicht in den Internet-Shop, der seine Socken nicht hergeben will, wenn man bei ihm nicht ein Konto eröffnet. Praktisch ist das alles nicht, und so mancher Zweifel an der Datensicherheit im digitalen Strumpfladen mag erlaubt sein.

Mögen täten wir schon wollen…

In vielen Deutschen Unternehmen und Behörden geht es leider ähnlich zu wie in meiner Geldbörse und meinem Kopf: Da gibt es eben „gewachsene Strukturen“. Neben der elektronischen Zugangskontrolle gilt es noch den guten alten Schlüsselkasten zu verwalten, fürs LAN braucht es ein Passwort, in der Kantine wird mit einer separaten Geldkarte bezahlt – und wenn es darum geht, wer welche Maschine, welches Fahrzeug nutzen darf, verlässt man sich auf eine Sekretärin, die kurzerhand zur Identitätsmanagerin befördert wurde. Deutsche Behörden sind in puncto Digitalisierung oft weitaus besser als ihr Ruf – was allerdings nicht heißen soll, dass es bei Identitätsmanagement nicht noch Luft nach oben gäbe.

Nun wissen wir ja eigentlich alle, dass verlorene Schlüssel häufig sehr aufwändige Austauschaktionen nach sich ziehen. Wir wissen, dass statische Passwörter unsicher und Maschinen in der Hand von nicht für sie ausgebildeten Mitarbeitern gefährlich sind. Wir wissen, dass verteilte und unnötig duplizierte Personendaten die Verwaltung nicht einfacher machen.

Dass es eigentlich effizienter, bequemer und sicherer wäre, das gesamte Identitätsmanagement endlich zu zentralisieren, ist wohl keine neue Erkenntnis. Die Idee von der integrierten digitalen Identität ist wohl fast so alt wie die Digitaltechnik selbst. Doch so mancher fragt sich, nicht ganz zu Unrecht, ob er mit einer derart gravierenden Änderung kritischer Prozesse nicht unnötig Sand ins Getriebe streuen würde. Viele fürchten zudem neue Datenschutzprobleme sowie Ärger mit der Belegschaft und den Bürgern, die in Digital Identity immer nur den „Big Brother“ sehen.

… aber auf die Umsetzung kommt es an

Diese Sorgen sind durchaus berechtigt. Wer zum Beispiel einmal nachrechnet, welchen enormen Aufwand es allein bedeuten würde, alle Mitarbeiter eines Großunternehmens zum Fotografen zu zitieren, für einen neuen Firmenausweis, der weiß, was Konzernlenker fürchten. Wer die Datenschutzgrundverordnung kennt, weiß, wie schnell man sich mit allzu umfangreichen persönlichen Daten strafbar macht.

Der Teufel steckt – Sie haben es erraten – im Detail: So kommt es beim Identity Provisioning, wie wir es nennen, eben ganz entscheidend darauf an, an den richtigen Stellen Bewährtes neu zu vernetzen, Veraltetes auszutauschen und Umständliches durch Praktikableres zu ersetzen. Es gilt, individuelle Lösungen zu entwickeln, ohne das Rad ständig neu zu erfinden.

Wie das geht, was das bringt und wie man dabei vorgeht, das wollen wir Ihnen Zug um Zug in unserem neuen Firmenblog vermitteln. Wir werden zum Beispiel  zeigen, wie die Datenerfassung kostengünstig gelingt, wie die Umstellung ohne Betriebsunterbrechung möglich ist, wie Sie Ärger mit der DSGVO und dem Betriebsrat vermeiden, welche Rolle die KI dabei spielt – kurz: Wie Sie mit zeitgemäßem Identity Provisioning Ihr Unternehmen und Ihre Prozesse sicherer, effizienter, konkurrenzfähiger und benutzerfreundlicher machen.

Hier werden Sie Success Stories ebenso finden wie Grundlagen- Meinungs- und Hands-on-Artikel. Aber so ein Blog lebt natürlich genauso von den Beiträgen unserer Community. Schreiben Sie uns, was sie hier gerne lesen möchten, welche Probleme Sie in puncto Identitätsmanagement sehen, welche Erfahrungen Sie gemacht haben, welche Lösungen Sie sich wünschen.