Digital Trust: Warum ohne Vertrauen nichts geht in der virtuellen Welt

Was bedeutet digitales Vertrauen? 

«Digital Trust» bezeichnet das Vertrauen in die Sicherheit, die Zuverlässigkeit und die Integrität digitaler Interaktionen und Transaktionen. Es umfasst die Überzeugung, dass digitale Plattformen, Dienste und Technologien die Interessen der Nutzenden sowie deren Daten wie vorgesehen schützen. Digitales Vertrauen schafft in unserer vernetzten Welt die Grundlage, damit Privatpersonen und Unternehmen online aktiv sein können, ohne ständig Angst zu haben vor Betrug, Datenschutzverletzungen oder Identitätsdiebstahl.

Digitales Vertrauen schafft folglich die Voraussetzung für das Funktionieren unserer modernen digitalen Wirtschaft und Gesellschaft. Es fördert sichere Transaktionen, indem es Nutzenden sorgenfreie Online-Aktivitäten wie E-Banking, Shopping und Kommunikation ermöglicht. 

Welche Rolle spielt die digitale Identität?

In der virtuellen Welt hängt der Aufbau von Vertrauen vom Bestehen digitaler Identitäten ab. Sie machen Online-Transaktionen und -Interaktionen vertrauenswürdiger und sicherer. Eine digitale Identität umfasst die Online-Präsenz und -Interaktionen einer Person. Sie beinhaltet zudem diverse Datenpunkte, die mit der Person verknüpft werden. Das können persönliche Attribute wie Name, Geburtsdatum und Historie der Online-Transaktionen (zum Beispiel Suchverlauf und Einkäufe) sein oder der digitale Fussabdruck, den jemand im Internet hinterlässt.

Eine digitale Identität beinhaltet verschiedene Nutzerkonten, mit denen wir uns in Systemen und Umgebungen anmelden. Zum Beispiel haben Sie möglicherweise ein Firmenkonto, um auf Unternehmensressourcen zuzugreifen, sowie mehrere Benutzerkonten für diverse Online shops, über die Sie bequem einkaufen können, ohne jedes Mal Ihre Lieferadresse und Zahlungsdaten erneut eingeben zu müssen. Jedes dieser Konten existiert in einem anderen Kontext. Unsere digitale Identität und Online-Präsenz besteht somit aus vielen Konten in unterschiedlichen Bereichen, die jeweils ein unterschiedliches Vertrauensniveau aufweisen. So hat ein Social-Media-Konto meist ein niedriges Vertrauensniveau, da die Identität der Person dahinter oft nicht verifiziert wird, während ein Bankkonto für Online-Banking ein hohes Vertrauensniveau geniesst, da die Bank verpflichtet ist, die Identität des Kontoinhabers zu bestätigen.

In den letzten Jahren hat sich die Art und Weise, wie Vertrauensbeziehungen über digitale Identitäten gesteuert werden, gewandelt. Bei traditionellen Identity-Federation-Modellen erfolgt die Steuerung zentral oder via vertrauenswürdige Stellen, zum Beispiel über Identity Provider wie bei der SwissID oder förderierte Logins für Bürgerinnen und Bürger wie beim Zug-Login. Anders als beim zentralisierten Ansatz nutzen dezentrale Identitätssysteme ein verteiltes Vertrauensmodell. Das heisst, es ist kein zentraler Identity Provider beteiligt. Die Identitätsdaten werden in einer digitalen Brieftasche («Wallet») auf dem Mobiltelefon der Nutzenden gespeichert, die so die volle Kontrolle über ihre Daten behalten. Die Implementierung der geplanten E-ID in der Schweiz und der Europäischen Union basiert auf dem dezentralen Identitätssystem. Es kann den Aufbau von Vertrauen vereinfachen, da es sich nicht auf einen einzigen Anbieter verlässt und somit ein zusätzliches Mass an gegenseitiger Kontrolle bietet. 

Implizites und explizites Vertrauen

Die digitale Identität ermöglicht es einer Person, sich in der virtuellen Welt auszuweisen, während die Zugriffsverwaltung festlegt, welche Aktionen die Nutzenden nach der Anmeldung ausführen können. Die Zugriffsverwaltung gewährleistet die Sicherheit einer digitalen Transaktion, indem sie nur berechtigte und vertrauenswürdige Akteure zulässt. Sie kennt zwei Arten von Vertrauen: das implizite und das explizite Vertrauen. 

Das implizite Vertrauen geht von der Annahme aus, dass alle Akteure innerhalb eines Systems vertrauenswürdig sind, sofern nicht anders bewiesen. Es ist vergleichbar mit der Sicherheitskontrolle am Flughafen. Eine Person wird einmal kontrolliert, worauf sie eine Zone des impliziten Vertrauens betritt, in der alle Passagiere als vertrauenswürdig gelten. In Computernetzwerken wurde das implizite Vertrauen während geraumer Zeit als ausreichend betrachtet. Solange eine Person bei der Erstkontrolle gültige Anmeldedaten vorweist, wird ihr vertraut und Zugriff auf Ressourcen innerhalb der vertrauenswürdigen Zone gewährt. Die Möglichkeit, dass aus dem Inneren Gefahr drohen könnte, wurde weitgehend ignoriert, bis Hacker mit Phishing- und Schadsoftware-Angriffen das Risiko sichtbar machten.

In den letzten Jahren hat sich der Fokus vom implizitem zu explizitem Vertrauen verlagert. In diesem Modell wird ein Netzwerk standardmässig als kompromittiert angesehen, daher muss jeder Zugriff auf Ressourcen kontinuierlich überwacht und autorisiert werden. Explizites Vertrauen gewährt Nutzern Zugang zu Ressourcen auf der Grundlage einer fortlaufenden Autorisierung. Der Zugriff auf Ressourcen wird laufend überwacht, und neben den korrekten Anmeldedaten werden zusätzliche Attribute im Hinblick auf den Kontext des Zugriffs berücksichtigt. Diese kontextbezogenen Attribute können variieren, umfassen jedoch in der Regel Standort, Zeit und Gerät und schliessen teilweise sogar Verhaltensattribute ein, etwa wie jemand tippt, oder andere benutzerspezifischen Merkmale.

Kontinuierliche Überwachung und Authentisierung bildet die Grundlage des sogenannten Zero-Trust-Modells. Zero Trust ist ein Sicherheitsrahmen, der auf dem Prinzip «Niemals vertrauen, stets verifizieren» basiert. Die in diesem Modell ergriffenen Sicherheitsmassnahmen erfordern eine ständige Überprüfung von Zugriffen. Durch die Umstellung auf Zero Trust können Organisationen die Sicherheit ihrer Daten verbessern und das Ausmass potenzieller Sicherheitsverletzungen rasch eingrenzen.

Beispiel elektronische Signatur

Die digitale Signatur ist ein gutes Beispiel für eine Transaktion, die ein vertrauenswürdiges System zur Verwaltung digitaler Identitäten und Zugriffe erfordert. Diese Signaturen bestätigen, dass die unterzeichnende Person dem Inhalt des Dokuments zustimmt. Ihre rechtliche Gültigkeit hängt davon ab, ob die Identität dieser Person eindeutig zugeordnet werden kann und dass das Dokument nach der Unterzeichnung unverändert bleibt. Daher ist es entscheidend, sicherzustellen, dass nur eine vertrauenswürdige digitale Identität, die zur Unterzeichnung berechtigt ist, den Signaturprozess einleiten kann. Elektronische Signaturen werden zunehmend Teil unseres Alltags, da sie die Bearbeitung grosser Mengen an Papierdokumenten überflüssig machen und das Nutzererlebnis verbessern können.

Ohne Vertrauen kein Wachstum

Digitales Vertrauen ist die Grundlage, auf der alle digitalen Interaktionen basieren. Die Etablierung und die Aufrechterhaltung von digitalem Vertrauen ist daher nicht nur wichtig – sie ist unerlässlich. Es ermöglicht der digitalen Welt, reibungslos zu funktionieren, fördert Innovationen und treibt das Wirtschaftswachstum voran. Dennoch erfordern die Schaffung und die Pflege von digitalem Vertrauen kontinuierliche Anstrengungen von Organisationen und Einzelpersonen. Indem wir Sicherheit, Transparenz und bewährte Verfahren in den Vordergrund stellen, können wir ein vertrauenswürdiges digitales Umfeld schaffen, in dem Nutzer mit Zuversicht an der digitalen Wirtschaft teilhaben können.

«Mehr über Digital Identities erfahren»