Matthias Bossardt von KPMG im Interview

Wie sich Digital Trust aufbauen und messen lässt

Uhr

Im digitalen Raum ist es einfacher als in der physischen Welt, Vertrauenswürdigkeit vorzutäuschen. Mit welchen ­Instrumenten sich die Vertrauenswürdigkeit objektiv einschätzen lässt und wie Unternehmen digitales Vertrauen aufbauen, sagt Matthias Bossardt, Leiter Cyber & Digital Risk Consulting bei KPMG Switzerland, im Interview.

Matthias Bossardt, Leiter Cyber & Digital Risk Consulting, KPMG Switzerland. (Source: zVg)
Matthias Bossardt, Leiter Cyber & Digital Risk Consulting, KPMG Switzerland. (Source: zVg)

In der physischen Welt entscheiden die ersten Augenblicke eines Zusammentreffens, ob wir einer Person vertrauen. Wann geschieht das im digitalen Raum?

Matthias Bossardt: Natürlich spielt der erste Eindruck auch im digitalen Raum eine Rolle: Wie benutzerfreundlich ist eine Website oder eine digitale Dienstleistung gestaltet? Wie sorgfältig ist eine E-Mail formuliert? Wie professionell ist der Auftritt in den sozialen Medien? Um ein vertieftes, tragfähiges Vertrauen aufzubauen, reicht der erste Eindruck allerdings weder in der physischen noch in der digitalen Welt. Nicht umsonst besagt ein oft zitiertes Sprichwort, dass es oft Jahre dauere, Vertrauen aufzubauen, aber nur Sekunden, um dieses zu zerstören.

Worauf stützen wir diese Entscheidung – normalerweise oder ­idealerweise?

Oft stützen wir diese Entscheidung auf den Ruf einer Organisation oder einer Marke. Denn Verlässlichkeit und Sicherheit, ethisches Verhalten und Transparenz spielen eine zentrale Rolle für langfristiges Vertrauen. Zudem wird das Vertrauen durch positive Empfehlungen und Bewertungen Dritter gestärkt. Allerdings ist es im digitalen Raum ungleich einfacher, Vertrauenswürdigkeit ­vorzutäuschen als in der physischen Welt. Darauf gründet nicht zuletzt der Erfolg von Phishing-E-Mails, betrügerischen Websites, Deepfakes und Desinformationskam­pagnen. Umso wichtiger ist es, dass Organisationen ­Instrumente nutzen, die es Kundinnen, Regulatoren, Investoren und der Öffentlichkeit ermöglichen, die Vertrauenswürdigkeit verlässlich und möglichst objektiv einzuschätzen.

Und welche Instrumente stehen dafür zur Verfügung? 

Auf technischer Ebene spielen beispielsweise kryptografische Mechanismen wie digitale Wasserzeichen, Signaturen und Identitäten oder die Blockchain eine bedeutende Rolle. Diese Mechanismen ermöglichen es, die Authentizität oder Integrität von Informationen oder Transaktionen im digitalen Raum zu verifizieren. Andere geläufige Elemente sind Zertifizierungen und Attestierungen, wobei unabhängige Dritte die Einhaltung relevanter Normen bestätigen. Aber Achtung: Diese Bestätigungen müssen auf einer fundierten Prüfung beruhen und von Organisationen ausgestellt sein, die erwiesenermassen über fachkundiges Personal und angemessene Prüfmethoden und -prozesse verfügen.

Gibt es eigentlich eine Möglichkeit, digitales Vertrauen zu ­messen?

Digitales Vertrauen lässt sich nicht auf einfache Art direkt messen. Besser evaluieren lässt sich die Effektivität von Massnahmen, etwa zu Good Corporate Governance, Transparenz, Überprüfbarkeit, Sicherheit, Datenschutz und Produkte-/Servicequalität. Diese Elemente zielen im Zusammenspiel darauf ab, die Vertrauenswürdigkeit einer Organisation zu stärken. 

Was kann und soll ein Unternehmen tun, um digitales Vertrauen aufzubauen?

Unternehmen sollten sich bereits im Beschaffungs- beziehungsweise Entwicklungsprozess überlegen, wie sie digitale Dienstleistungen zuverlässig, sicher und verantwortungsvoll erbringen und gegenüber Kundinnen, Investoren, Regulatoren und der Öffentlichkeit kommunizieren können. Diese multidisziplinäre Problemstellung mit rechtlichen, organisatorischen, IT- und weiteren Aspekten bedingt, dass hierzu eine abteilungsübergreifende Zusammenarbeit stattfindet. 

Wie setzen Unternehmen das Vertrauen aufs Spiel und wie ­können sie es in so einem Fall zurückgewinnen?

Ob ein Unternehmen das ihm entgegengebrachte Vertrauen verdient, zeigt sich in erster Linie dann, wenn etwas schiefläuft. Steht ein Unternehmen auch unter wirtschaftlichem Druck zu seinen Kundenversprechen? Wie offen und transparent wird im Fall einer Datenschutzverletzung oder eines Cyberangriffs kommuniziert? In der Praxis zeigt sich, dass ein souveräner Umgang mit schwierigen Situationen oder Krisen das Vertrauen in Unternehmen sogar stärken kann. 

Auch öffentliche Verwaltungen operieren zunehmend im digitalen Raum. Sehen Sie darin eher einen Gewinn oder eine Gefahr für das Vertrauen?

Öffentliche Verwaltungen geniessen ein hohes Vertrauen in der Bevölkerung. Sie sind aber sehr ähnlichen Bedrohungen ausgesetzt wie private Unternehmen. In gewissen Bereichen wie der nationalen Sicherheit oder im Zusammenhang mit der Digitalisierung von demokratischen ­Prozessen oder elektronischen Identitäten sind die Herausforderungen besonders hoch. Um auch in Zukunft vertrauenswürdig zu bleiben, sollten öffentliche Verwaltungen digitalisierte Prozesse und die dazugehörigen Plattformen regelmässig durch geeignete externe Stellen prüfen lassen. Dabei sind neben technischen Tests auch Entwicklungs- und Betriebsprozesse sowie die Governance zu betrachten. Zusätzlich vertrauensfördernd ist der bei der Entwicklung der zukünftigen E-ID beschrittene Ansatz, Digitalisierungsprojekte durch die interessierte Öffentlichkeit begleiten zu lassen.

Sind unsere Technologien ready für E-Voting, E-Collecting und Co.? Oder was braucht es, um demokratische Prozesse zu ­digitalisieren? 

Ob demokratische Prozesse erfolgreich digitalisiert werden können, ist nicht nur eine Frage der "Technology-Readiness". Weitere Voraussetzungen sind eine robuste Vertrauensinfrastruktur, starke Identitäten (E-ID) und eine solide Governance über Entwicklung und Betrieb der digitalisierten Prozesse und dazugehörigen Plattformen. Es ist zudem wichtig, die teilweise skeptische Bevölkerung auf dem Weg der zunehmenden Digitalisierung miteinzubeziehen. Ich erachte es beispielsweise als sinnvoll, aufbauend auf einfach zu digitalisierenden Interaktionen mit der Verwaltung wie die elektronische Steuererklärung, zunehmend komplexere Prozesse in die digitale Welt zu überführen. So durchlaufen Verwaltung und Bevölkerung gemeinsam eine vertrauensfördernde Lernkurve.

KI-generierte Inhalte sind leicht erstell- und schwer unterscheidbar geworden. Es scheint besonders leicht, sich in böser Absicht als jemand anderes auszugeben, also das Vertrauen frontal ­anzugreifen. Was bedeutet das für Unternehmen und User?

Deepfakes werden uns in Zukunft im Zusammenhang mit Desinformationskampagnen oder Onlinebetrug noch viel stärker beschäftigen. Sie haben das Potenzial, die Bevölkerung zu verunsichern und Online-Interaktionen ernorm zu erschweren, weil man sich nicht mehr auf die Stimme oder das Videobild des Gegenübers verlassen kann. Umso wichtiger wird es sein, dass im digitalen Raum effektive Massnahmen zur Prävention und Detektion von Fälschungen für die Allgemeinheit verfügbar gemacht werden. 

In der Netzwerksicherheit hören wir oft den Begriff Zero Trust. Hat das Konzept des Vertrauens im digitalen Raum grundsätzlich ausgedient?

Im Gegenteil – Vertrauen im digitalen Raum ist wichtiger denn je. Zero Trust bedeutet ja vereinfacht, Systeme abzusichern, indem die Vertrauenswürdigkeit jeder durch einen Menschen oder eine Maschine ausgeführten Aktion grundsätzlich immer wieder infrage gestellt und überprüft wird. Zero Trust und starke digitale Identitäten für Mensch und Maschine sind fundamentale Elemente einer modernen Sicherheitsarchitektur.

Webcode
2ifkRgpp