„Managing Trust“ war das Leitthema der diesjährigen CeBIT – bei KuppingerCole beschäftigen wir Analysten uns schon seit vielen Jahren damit. Die Frage des Vertrauens ist aber vor allem auch eine Frage von Informationen und Kontrolle.
Vertrauen braucht ein Fundament. Und gerade dieses stand in den vergangenen Wochen immer wieder zur Debatte. Neben der Diskussion, ob ausgerechnet Eric Schmidt von Google nun wirklich der richtige CeBIT-Eröffnungsredner ausgerechnet zu diesem Thema ist, sind folgende Themen wohl nachhaltig in Erinnerung geblieben:
- Der Zugriff von Apps auf die Kontaktdaten beim Apple iOS.
- Die Diskussion zwischen Microsoft und unter anderem Google darüber, wer nun schuld daran ist, dass die Privacy-Einstellungen des Internet Explorer umgangen werden (und ob es diese überhaupt geben sollte).
- Die neuen Datenschutz-Richtlinien von Google.
Diese Liste lässt sich fast beliebig verlängern. Klar ist: Datenschutz und hier insbesondere der Umgang mit personenbezogenen Daten ist genauso zum Thema geworden wie „Trust“ insgesamt. Allerdings darf man das Thema „Managing Trust“ auch nicht auf diese Punkte reduzieren.
Man sollte sich beispielsweise darüber klar werden, welches die geeignete Authentifizierung von Benutzern für welche Anforderung ist. Es geht aber vor allem auch um die Frage, was man bei welchem Cloud-Anbieter machen kann und was man dort besser nicht macht.
Vertrauen, Sicherheit und Identitäten
Diese Themen haben allerdings Gemeinsamkeiten. Themen wie Identität und Zugriffssteuerung, also das Identity und Access Management (IAM) in allen seinen Facetten sind von zentraler Bedeutung. Gleiches gilt für die Frage, wie man die nötige Kontrolle schafft, um Vertrauen haben zu können.
Was braucht es, damit ich einem Cloud-Anbieter vertrauen kann? Wann kann ich welchen Anbieter von Authentifizierungsdiensten nutzen? Was will ich Google an Informationen liefern? Und wie stufe ich die Sicherheit der Informationen auf meinem iPad ein? Vertrauen, Sicherheit, Identitäten – diese Themen sind untrennbar miteinander verbunden.
Bei der gesamten Diskussion zeigt sich dabei auch, dass es um allgemeinere Problemstellungen als nur darum geht, wie man die Basis für Vertrauen schafft. Besonders deutlich wurde das an Aussagen von Google zum Umgang mit den P3P-Richtlinien beim Internet Explorer.
Lassen wir einmal die Frage außer Acht, ob der Fehler, der zur Umgehung von Privacy-Einstellungen im Internet Explorer führt, in den von Google bereitgestellten Richtlinien oder ihrer Interpretation durch den Browser liegt. Eine nähere Betrachtung ist doch eher die sinngemäße Aussage von Google wert, dass solche Einstellungen für das moderne Internet nicht mehr zeitgemäß sind.
Implizit sagt das, dass Benutzer keine restriktiven Einstellungen in diesem Bereich zu ergreifen haben, weil sie ja sonst die Vorzüge des Internet nicht nutzen können. Die Einstellung vieler Benutzer, nicht alles preisgeben zu wollen, wird damit also letztlich als falsch und unsinnig dargestellt. Das liegt natürlich daran, dass das Geschäftsmodell von Google unter restriktiven Einstellungen leidet.
Unter dem Aspekt „Vertrauen“ ist diese Einstellung ebenfalls interessant. Will man – gerade auch im Kontext der veränderten Nutzungsbedingungen von Google – dem Unternehmen vertrauen, weil das Unternehmen weiß, was besser für einen ist? Oder vertraut man Google nicht und zieht seine Konsequenzen daraus?
Drum prüfe, wer sich ewig bindet
Wichtig ist vor allem, dass man sich auf allen Ebenen – von der privaten Nutzung des Internet bis hin zu geschäftlichen Investitionsentscheidungen – bewusst macht, wo die Risiken liegen können, was man kontrolliert und damit, wie man Technologien nutzt. Man muss sich bewusst werden, warum man welchem Anbieter und welcher Technologie vertraut.
Darüber hinaus gilt es zu klären, wie man – falls möglich – dieses Vertrauen untermauern kann bzw. wann man das Vertrauen als so erschüttert betrachtet, dass man die Entscheidung für einen Anbieter oder eine Technologie revidiert. Das erfordert dann auch Alternativen, die man bei den gängigen Devices und den allermeisten Internet-Diensten durchaus in zur Genüge hat.
Eine größere Herausforderung ist das bei Cloud-Anbietern, weil hier der Wechsel des Anbieters einiges an Aufwand verursachen kann. Dafür hat man dort den Vorteil, dass man Verträge, Service Level Agreements, Zertifizierungen und manchmal sogar eine ausreichenden Menge an Audit-Daten erhält.
Basierend auf dieser Grundlage kann man nun einem besser kontrollieren, ob das Vertrauen gerechtfertigt ist. Bei einem gekauften System kann es hingegen schon einmal passieren, dass man erst aus der Presse erfährt, wenn Kontaktdaten an Apps weitergegeben werden oder Browser-Sicherheitseinstellungen unwirksam sind.
In jedem Fall ist klar, dass das Thema des Vertrauens uns noch länger beschäftigen wird. Ein anderes Thema, das eine intensivere Betrachtung wert ist, ist die Authentifizierung von Kunden über Facebook, Google und andere Anbieter: Wann und wofür reicht das aus und wo braucht es andere Ansätze? Und wie bringt man den Kunden dazu, die jeweils angemessene Authentifizierung zu nutzen?