Roland Dürre
Freitag, der 12. Oktober 2012

Datenklau

Heute morgen war in den Nachrichten (wie immer Bayern 2 – Radio) eine ganz beunruhigende Nachricht:

In wahrscheinlich zwei Krankenhäuser sind Daten gestohlen worden. Betroffen sind die baden-württembergischen Krankenhäuser Rastatt und Mittelbaden. Es geht um Patientendaten, Befunde, ärztliche Briefwechsel und Klinik internen Schriftwechsel. Die Daten wurden wohl am 19. September gestohlen. Das Krankenhaus hat nach eigener Auskunft Anzeige gegen unbekannt erstattet. Dem Kreiskrankenhaus Rastatt sei der Vorfall am 27. September bekannt geworden – acht Tage nach dem mutmaßlichen Diebstahl.

Diese Nachricht kommt heute (12. 10.) in den aktuellen Nachrichten!

Jetzt gehe ich aber davon aus, dass selbstverständlich jeden Tag in deutschen Krankenhäusern einiges an „vertraulichen“ Daten in unbefugte Hände gerät. Das ist wahrscheinlich unvermeidbar. Aber dieser Fall scheint ja ganz besonders wichtig zu sein, denn er ist bei den drei wichtigen Nachrichten des 12. Oktobers dabei!

Aber lassen wir uns das Thema mal auf der Zunge zergehen. Ein Datendiebstahl ist erfolgt. Diebstahl, das heißt, ein Gut ist gestohlen worden. Dann müsste das Gut – sprich die Daten – nach der Durchführung des Deliktes ja weg sein. Der Dieb hätte die Daten also kopieren und dann am Tatort löschen müssen. Sonst wäre es ja nur ein „halber Diebstahl“.

Das wird aber wohl nicht der Fall sein – und wahrscheinlich ist das ja auch gar nicht möglich. Die vielen bewussten Kopien (Sicherungen) und unbewussten („data in work“), machen eine komplette Löschung eh unmöglich. Das meiste wird man immer rekonstruieren können. Außer, der Täter hätte den totalen Vandalismus ausgeübt und alles zerstört. Oder er wäre ein Perfektionist, der auch die Backups zerstört hat. Aber das Schaffen nur Genies, und die auch nur, wenn sie über internes Wissen verfügen.

Aber wenden wir uns dem vermutlichen Täter zu. „Vermutlich“ schreibe ich, weil der „Diebstahl“ ja de facto nur aus einer Vermutung besteht. Man geht davon aus, dass ein unbekannter Unbefugter Daten aus den Systemen kopiert hat. Was hat der Täter jetzt damit vor?

Hat er ein persönliches Interesse, weil er über einen Vorgang, der ihn betrifft, mehr wissen will? Ist es schlichtweg nur Rache? Will er sich nur wichtig machen?  Ist es ein Spion, womöglich von der Presse, der Unregelmäßigkeiten in den Kliniken auf der Spur ist (gehe mal davon aus, dass es die überall gibt)? Oder war es gar eine staatliche Ermittlungsbehörde, die verdeckt (und ungeschickt) ermittelt hat?

Oder ist der Täter ein (Klein-)Krimineller, der sich an den Daten bereichern will, zum Beispiel durch ein Erpressungsdelikt? Und in diesem Fall, wer soll erpresst werden? Wer ist denn überhaupt der Eigentümer der Daten? Beim Befund die Klinik oder der Patient? Beim ärztlichen Briefwechsel die Klinik oder die Ärzte? Der Absender oder der Empfänger des Briefes?

Fragen über Fragen. Und ich könnte da noch ganz lange weitermachen. Will ich aber nicht. Ich gehe davon aus, dass auch in diesem Fall von „Datenmissbrauch“ kein Schaden entstehen wird. Und wenn Schaden entsteht, wird er sehr gering und nach kurzer Zeit als vernachlässigbar betrachtet werden. Eine Bagatelle. Aber im Land der Datenschutzhysterie kann man halt mit so einer Meldung wieder die schlimmsten Dämonen an die Wand malen.

Ich lege die Meldung unter „Stürme in Wassergläsern“ ab.

RMD

P.S.
Interessanter fände ich aber die Anzahl der Kunstfehler oder die vielen Fällen von Operationen oder anderer therapeutischer Maßnahmen aufgrund betriebswirtschaftlicher Erwägungen und Optimierungen wie Auslastung und strategischer Abrechnungsverfahren.

Diesen Artikel habe ich nach vorne gestellt, weil am Montag (8. Juni) der dritte Vortrag stattfindet:

Evolution – von der unbelebten zur belebten Natur!

darwin_flyer_sose09An der Technischen Universität München gibt es immer wieder interessante Vorträge, die ich gerne besuche. Jetzt habe ich einen ganz besonderen Tipp bekommen:

Die Carl von Linde-Akademie der technischen Universität München veranstaltet eine Vortragsreihe zur Revolution des Weltbilds in Natur, Technik und Gesellschaft. Die Veranstaltung wird moderiert von Prof. Dr. Klaus Mainzer (Akademischer Direktor der Carl von Linde-Akademie und Lehrstuhl für Philosophie und Wissenschaftstheorie der TU München).

An gleicher Stelle hat Herr Dr.-Ing. Wolfgang Reitzle, Vorsitzender des Vorstands der Linde AG, am 21. Oktober 2005 im Rahmen der Speaker Series des TUM Business Club zum Thema „„Das menschliche Maß – Was Technologien von morgen erfolgreich macht“ gesprochen. Ich habe auch seinen Festvertrag anlässlich der Eröffnungsfeier der Carl-von-Linde-Akademie am 03.05.2004 in der Pinakothek der Moderne zum Thema „Die Kultur der Verantwortung und Innovation in Wirtschaft und Gesellschaft“ gehört.

mehr »

In der heutigen Zeit ist oftmals von der „Informationsflut“ die Rede, die immer mehr über uns hereinbricht. War in früheren Zeiten Information noch ein knappes Gut, dessen größtes Problem die Beschaffung war (ihre Verwendung, sollte sie einmal in Besitz sein, jedoch klar), so hat sich diese Situation in unserer heutigen Informationsgesellschaft genau ins Gegenteil verkehrt:

Informationen sind überall, zu (fast) jedem beliebigen Thema, in großer Zahl und leicht erhältlich.
Nun ist es ist die Verarbeitung, die uns vor Probleme stellt. Dies ist auch dadurch bedingt, daß es heute i.d.R. eine Informationsmenge zu sichten gilt, die für Menschen nicht mehr überschaubar ist. Der Einsatz computergestützter Mittel ist daher oftmals der einzige Ausweg.

Dies bedeutet daher, mithilfe statistischer Methoden eine große Menge von zur Verfügung stehenden Informationen nach zusammenhängenden Strukturen zu durchsuchen (etwa nach Person, Sache oder Ereignis), und daraus automatisiert Wissen abzuleiten.
Eine solche zusammenhängende Struktur nennt man ein Profil. Je nachdem, ob das durch das Profil repräsentierte Subjekt eine Person oder eine Gruppe ist kann man zudem weiter verfeinern in persönliche Profile oder Gruppenprofile.

Profiling kann somit auch als „der Prozess der Erstellung oder Anwendung eines Profils einer Gruppe oder einer Person“ bezeichnet werden (freie Übersetzung nach FIDIS ).

Profiling ist zudem mit einem Lernprozess verbunden. Die bloße Anwendung eines Satzes von Regeln ist nicht ausreichend. Deswegen sind aus Profiling gewonnene Erkenntnisse auch immer kritisch zu hinterfragen und sollten nicht automatisch als korrekt angesehen werden. Ihre Qualität ist außerdem auch abhängig von der Menge an Informationen, die zur Analyse zur Verfügung stehen: Je größer die zugrundeliegende Datenbasis, desto besser wird in der Regel auch das Ergebnis sein (auch wenn man das natürlich nicht garantieren kann).

Profiling ist in der heutigen Zeit sehr verbreitet. Beispiele hierfür findet man z.B. auf Shopping-Seiten („Andere Kunden, die dieses Produkt gekauft haben, kauften auch dieses andere Produkt…“), bei Rabattsystemen, die Kunden im Austausch für persönliche Daten bestimmte Vergünstigungen anbieten (Beispiel „Payback“) oder auch bei Kreditkartenfirmen, die Profiling einsetzen, um möglichen Kartenmißbrauch aufzuspüren. Einige der neuen Dienste im Web nutzen Profiling sogar als zentralen Aspekt ihres Angebots, etwa der Musikdienst last.fm. Dieser bietet eine Art persönliche Radiostation an, die nur Titel spielen soll, die einem auch gefallen. Hierzu werden die musikalischen Vorlieben eines Benutzers anhand seiner in der Vergangenheit häufig gespielten Lieder ermittelt, um dann andere Benutzer zu finden, die über einen ähnlichen Musikgeschmack verfügen. Die Titel, die ihn deren persönlicher Abspielliste stehen werden dann auch für die eigene persönliche Radiostation übernommen.

Man kann sich nun leicht vorstellen, warum Profiling ein sehr sensibles Thema ist, und auch eine hohe datenschutzrechtliche Relevanz besitzt:

  • Man arbeitet in der Regel mit einem sehr großen Satz an Daten (heutige Data Warehouses erreichen schon mal mehrere 100 Terabytes)
  • Diese Daten lassen sich alle auf bestimmte Personen oder Gruppen von Personen beziehen
  • Man versucht, durch geeignete Verknüpfung dieser Daten neue Erkenntnisse zu gewinnen, aber
  • Diese Erkenntnisse müssen nicht korrekt sein

Beim Einsatz von Profiling ergeben sich daher eine Reihe von Risiken.

Welche Risiken das sind, und wie man am besten mit ihnen umgeht, wird jedoch Thema von Teil 2 dieses Artikels sein.

Bernhard Findeiss
Dienstag, der 10. Juni 2008

Grundlagen des Account Managements (Teil 2)

In meinem letzten Post habe ich bereits über einige Vorteile gesprochen, die sich durch den Einsatz eines IDM-Systems erreichen lassen.

Dies ist aber natürlich noch nicht das Ende der Fahnenstange. Richtig eingesetzt, ergeben sich noch weitere Vorteile:

– Höhere Produktivität bei der Verwaltung der Nutzerkonten: Bedingt durch den höheren Automatisierungsgrad lassen sich mit weniger Aufwand mehr Konten verwalten. Die Verwaltungskosten pro Account sinken.

– Da ein Großteil der Arbeit, die bisher von den Administratoren manuell verrichtet wurde, nun durch das IDM-System übernommen wird, bekommen diese nun endlich den Freiraum, um die im System vergebenen Berechtigungen durchzugehen und auf den aktuellen Stand zu bringen. Ein Problem manueller Rechteverwaltung ist nämlich gerade auch die Tatsache, daß Berechtigungen zwar bei Bedarf mehr oder minder schnell erteilt, jedoch in der Regel nie mehr entzogen werden. Dadurch kommt es zum vielen Leuten bekannten Phänomen des Rechtesammelns (besonders „gefährlich“ sind hier v.a. Personen, die oft Abteilungen und Aufgaben wechseln, z.B. gerade auch Praktikanten!). Dies verletzt jedoch das „Least Priviledge“-Prinzip, das besagt, daß jeder nur über die Berechtigungen verfügen sollte, die er zur Ausführung seiner ihm übertragenen Aufgaben minimal beötigt, und das Grundlage einer jeden Rechtevergabe sein sollte. Die Arbeit der Administratoren ist daher auch nach einer IDM-Einführung noch wichtig. Keinesfalls sollte eine solche Einführung zum Anlass genommen werden, personelle Kürzungen vorzunehmen. Hiermit lässt sich vielleicht erreichen, daß der Status Quo zu geringeren Kosten aufrecht erhalten werden kann. Da dieser jedoch meistens nicht von einer besonders hohen Qualität gekennzeichnet ist sollte stattdessen besser die Alternative „steigende Qualität bei gleichen Kosten“ realisiert werden.

– Bessere Einhaltung von gesetzlichen Vorgaben, dadurch Vermeidung möglicher Sanktionen (neudeutsch „Compliance“): Gerade im Bereich der IT-Sicherheit gibt es heute eine Vielzahl von Gesetzen und Regeln, denen sich Organisationen unterwerfen müssen (z.B. BGB, GmbH-Gesetz, SOX, Basel II etc.). In einigen Fällen beinhalten diese Gesetze auch (teils regelmäßige) Nachweispflichten, die sich zumeist auf die Beantwortung der Frage reduzieren lassen, wer zu welcher Zeit was gemacht hat. Die Betonung liegt in diesem Falle auf „Wer“. Eine Antwort auf diese Frage kann in Zeiten zunehmend automatisierter Geschäftsprozesse manuell nur schwer erfüllt werden und wäre zumeist mit einem unrentabel hohen Aufwand verbunden. Eine mögliche Lösung besteht daher in der Einführung eines IDM-Systems. Tatsächlich hat sich in den letzten Jahren gezeigt, dass gerade Compliance eine der Haupttriebfedern für die Einführung von IDM-Systemen war.

– Effiziente Unterstützung Service-orientierter Architekturen (SOAs): In den letzten Jahren sind viele Unternehmen dazu übergegangen, neue Prozesse und Dienstleistungen auf Basis von serviceorientierten Architekturen anzubieten. Diese zeichnen sich in der Regel durch eine eher lose Kopplung verschiedener Systeme aus, die zudem in vielen Fällen noch über eigene Benutzer- und Berechtigungsverwaltung verfügen (und die schlimmstenfalls auch noch alle komplett unterschiedlich realisiert sind). Dies kann bei Einbindung in eine SOA zu hohen Aufwänden führen – und bei einem weiteren Ausbau der IT-Landschaft sogar gänzlich unbeherrschbar werden. Auch die Erreichung von Compliance wird auf diese Weise, d.h. ohne ein einheitliches Vorgehen beim Management von Identitäten, Rollen, Berechtigungen und Auditierung, nur schwer erreichbar sein. Man kann deswegen ohne weiteres sagen, dass Service-orientierte Architekturen ohne Identitätsmanagement nur sehr schwer zu verwirklichen sind, und eine sorgfältig geplante „Identitätsschicht“ in jede SOA gehört.

Man darf hier jedoch nicht den Fehler machen und IDM als ein einzelnes Produkt sehen, das einmal installiert alle Probleme in diesem Bereich löst (obwohl einem die Softwarehersteller das immer gerne glauben machen wollen). Stattdessen handelt es sich eher um eine Art Technologierahmenwerk, das vor einem tatsächlichen Einsatz immer erst auf das jeweilige Unternehmen angepasst werden muß.

Es gilt daher immer abzuwägen, ab welcher Schwelle sich der Einsatz eines IDM-Systems für ein Unternehmen lohnt, bzw. ab wann so ein Einsatz sogar unverzichtbar ist.

Für diese Berechnung wurden verschiedene Kennzahlensysteme entwickelt, deren Vorstellung jedoch hier den Rahmen sprengen würde. An dieser Stelle möchte ich daher gerne auf einen der nächsten Artikel verweisen.

Soweit die erste Einführung in das Thema Account Management. Der nächste Artikel wird sich dann um das Thema Föderierung drehen. Auch das ist ein sehr spannendes Themengebiet, das gerade dabei ist so richtig in Fahrt zu kommen, und das das Zeug dazu hat, zu einem der wichtigsten Treiber für IDM-Projekte zu werden.

BFI

Bernhard Findeiss
Freitag, der 16. Mai 2008

Grundlagen des Account Management

In meinem letzten Post (nachzulesen hier) habe ich kurz die Klassifikation von IdM-Systemen nach dem FIDIS-Modell vorgestellt.

Darauf aufbauend möchte ich nun gerne etwas über die Grundlagen des Typ 1-Identitätsmanagement erzählen : Was versteht man darunter, und was sind hierbei die Herausforderungen und Schwierigkeiten?

Beim nächsten Mal werde ich dann darauf eing ehen, warum es sich dennoch lohnt, und in einigen Fällen sogar unerläßlich ist.

Basis dieses Artikels ist im übrigen ein Foliensatz über einen Vortrag, den ich letztes Jahr an einem „Blue Friday“ der InterFace AG gehalten habe. Wenn jemand an diesem Foliensatz interessiert ist, oder natürlich auch daran, daß ich diesen Vortrag bei einer anderen Gelegenheit nochmal halte, so lade ich ihn gerne ein, sich bei mir zu melden ( unter bernhard.findeiss (at) interface-ag.de).

Wie bereits im letzten Post erwähnt, kann Account Management definiert werden als die konsistente Verwaltung von Identitäten und deren Zugriff auf IT-Ressourcen eines Unternehmens über die gesamte Dauer ihres Lebenszyklus hinweg.

Dies beinhaltet u.a.:

– Personen: Interne sowie externe Mitarbeiter, aber auch technische Objekte, soweit sie Zugang zu Ressourcen benötigen (etwa Drucker, die automatisiert EMails verschicken können etc.).

– Speicherung von identitätsbezogenen Daten (Zulieferung zumeist aus Personalsystemen)

– Weitergabe von Daten an Zielsysteme, z.B. um Benutzerkonten einzurichten, Berechtigungen zuzuweisen bzw. zu entziehen, bzw. ganz allgemein zur Synchronisation von Daten zwischen IdM-System und Zielsystem. Die Zahl und die Art der anzubindenden Zielsysteme trägt im Übrigen maßgeblich zur Komplexität von IdM-Projekten bei.

– Unterstützung von Workflows, die im Unternehmensalltag benötigt werden, z.B. Anlage/Änderung/Löschung von Identitäten, Zuweisung/Entziehung von Ressourcen, Definition von Rollen etc.

Account Management ist für Unternehmen natürlich beileibe kein neues Thema, sondern wird in der Regel bereits genauso lange praktiziert, wie zugriffsgeschützte (IT-) Ressourcen vorhanden sind. Bisher wurde ein Großteil dieser Arbeit jedoch von einem Administrator „per Hand“ erledigt, was natürlich mit sehr viel Aufwand verbunden ist, und auch eine höhere Fehlerrate beinhaltet, als wenn man dies automatisiert durch Anbindung an ein IdM-System macht.

Zudem hat man auch noch das Problem der Datensynchronisierung, da man natürlich auch hier sicherstellen muß, daß alle Systeme, zu denen eine Person Zugang haben soll, auf dem selben Satz von Identitätsdaten basieren. Diese sind aber nicht fest, sondern können sich im Laufe der Zeit ändern (etwa durch Heirat oder Umzug). Die Daten dann konsistent zu halten kann durchaus eine Herausforderung darstellen (z.B. Auflösung von Widersprüchen zwischen 2 Systemen).

Um dieses Problem zu lösen wurden in den 1990er-Jahren die ersten Verzeichnisdienste eingeführt. Diese sammeln alle personenbezogenen Daten und stellen sie über eine einheitliche Schnittstelle zur Verfügung (am bekanntesten dürfte hier LDAP sein). Diese Schnittstelle wird dann in Bezug auf die Stammdaten als „führend“ definiert, sodass alle anderen Systeme sich damit abgleichen können.

Leider aber konnten auch hiermit nicht alle Probleme gelöst werden. Nicht alle relevanten Systeme unterstützen die Externalisierung von Identitätsdaten, bei manchen (z.B. Personalsystemen) kann dies aus verschiedenen Gründen sogar unerwünscht sein.

Mithilfe eines Identitätsmanagementsystems lässt sich jedoch auch diese Situation in den Griff kriegen:

Man erlaubt allen Systemen ihre Datenhoheit zu behalten, lediglich relevante Änderungen werden an das IdM-System weitergegeben. Dieses übernimmt daraufhin die Synchronisierung mit der restlichen Systemlandschaft. Auch auf diese Weise ist es möglich, die Konsistenz der Identitätsdaten über alle Systeme eines Unternehmens hinweg zu garantieren.

Dies ist einer der Vorteile der Einführung eines IdM-Systems. Über weitere Vorteile werde ich beim nächsten Mal schreiben.

Ganz herzlich begrüßen wir in unserer Runde Bernhard Findeiss, unseren Spezialisten im Bereich Identity Management (IdM)!

Hier sein erster Post bei IF-Blog:

Eines der Themen, die innerhalb der IT-Welt immer mehr in den Fokus der Öffentlichkeit rücken, ist das Thema „Identitätsmanagement“, bzw. „Identity Management“ oder „IdM“, wie man heute auf neudeutsch gerne auch dazu sagt.

Was versteckt sich jedoch dahinter, und warum sollte jeder, der heute mit einem Computer arbeitet und sich im Internet bewegt, etwas darüber wissen?

Zuerst sollte man wissen, daß sich hinter dem Begriff „Identitätsmanagement“ nicht ein einziges konsistentes Thema versteckt, sondern aus mehreren verschiedenen Themengebieten besteht, die auf dem ersten Blick nicht viel miteinander zu tun haben.

Diese Unterscheidung zu treffen ist in meinen Augen jedoch sehr wichtig um zu einer gemeinsamen Gesprächsgrundlage zu kommen, da viele der in diesem Bereich tätigen Personen sich nur auf jeweils ein Teilgebiet konzentrieren, am Ende des Tages jedoch alle von „Identitätsmanagement“ sprechen (und so potentiell aneinander vorbei).

Eine solche Klassifizierung wurde z.B. im Rahmen des FIDIS-Projekts der EU vorgeschlagen (nachzulesen hier). Es definiert 3 verschiedene Kategorien, in die sich alle IdM-Systeme einordnen lassen:

Typ 1: Account Management

Dies ist die Art von Identitätsmanagement, die hauptsächlich von Unternehmen durchgeführt wird. Hierunter versteht man das Management des Lebenszyklus einer Identität im Unternehmen, vom Neueintritt nach der Einstellung, über Beförderungen/Degradierungen und Abteilungswechsel bis zu einem späteren Austritt. Ziel ist es, die Mitarbeiter des Unternehmens mit Zugriffsrechten auf genau die Ressourcen des Unternehmens auszustatten, die sie zur Ausführung ihrer Arbeit brauchen (etwa EMail, Internet, Dateizugriffsrechte etc.), aber auch Rechte zu entziehen, sollten diese Anforderungen zu einem späteren Zeitpunkt ändern.

Diese Art der Administration wird üblicherweise zentral von speziell dafür beauftragten Administratoren erledigt, nur in Ausnahmefällen vom Benutzer selbst. Der Fokus dieser Art von Identitätsmanagement liegt in der sicheren Identifizierung von Personen („Authentifizierung“) und der anschließenden sicheren Zuweisung von Berechtigungen an diese Person („Autorisierung“), weniger jedoch in der Aufrechterhaltung von Privatsphäre.

Typ 2: Profiling von Benutzerdaten durch eine Organisation

Typ 2-Identitätsmanagement beschäftigt sich damit, aus einer Menge von vorhandenen Daten über eine Person auf deren Verhalten und Vorlieben zu schließen. Ähnlich wie Typ 1 wird auch diese Art von Identitätsmanagement durch eine Organisation durchgeführt, genau wie auch hier der Fokus eher auf der sicheren Zuweisung der Profilinformationen zu einer Person liegt, als auf der Aufrechterhaltung von Privatsphäre.

Im Unterschied zu diesem steht jedoch bei Typ 2-IdM nicht der Zugang zu unternehmenseigenen Ressourcen im Vordergrund, sondern der Erkenntnisgewinn über eine Person (oder auch einer Gruppe von Personen) aus der Analyse der zur Verfügung stehenden Daten.

Als Grundlage für Profiling können öffentlich zugängliche Informationen aus dem Internet zum Einsatz kommen, die die meisten Personen im Laufe der Zeit hinterlassen, aber auch solche, die durch eigens für den Zweck der Datensammlung angelegte Systeme gewonnen werden.

Ein Beispiel für ein solches System ist z.B. das bei vielen Personen so beliebte Payback-Programm, mit dessen Hilfe mehr über unser Kaufverhalten herausgefunden werden soll. Auch Kreditkartenfirmen setzen Profiling ein, um so etwa Kartenmissbrauch aufzudecken, der sich in aller Regel durch ein abweichendes Nutzungsprofil auszeichnet.

Mittlerweile gibt es auch bereits spezielle Suchmaschinen, die öffentlich zugängliche Informationen aus dem Internet zu einem Profil über diese Person verknüpfen . Wer dies mal für sich selbst versuchen will, dem sei der Besuch der Seite www.yasni.de oder auch www.spock.com empfohlen, auch wenn letztere Seite sich hauptsächlich auf US-Bürger konzentriert.

Typ 3: Benutzergesteuertes kontextabhängiges Rollen- und Pseudonymmanagement

Hinter diesem etwas sperrigen Begriff versteckt sich die Art von Identitätsmanagement, die wir betreiben müssen, wenn wir die Spuren, die wir hinterlassen, wenn wir uns im Internet bewegen, bewusst steuern wollen, um z.B. ein späteres Profiling zu verhindern oder zumindest zu erschweren.

Das Hauptaugenmerk dieser Art von Identity Management liegt deswegen auf der Verwaltung persönlicher Daten, (üblicherweise Daten über einen selbst), und dem Schutz der (eigenen) Privatsphäre, z.B. indem man sich genau überlegt, auf welchen Internetseiten man welche Informationen hinterlässt.

Einem bewußten Typ-3-Identitätsmanagement wird in Zukunft noch wesentlich mehr Aufmerksamkeit zuteil werden als dies aktuell der Fall ist, kann sich aber auch heute schon lohnen, etwa wenn man beim nächsten Bewerbungsgespräch peinlichen Fragen über zu fortgeschrittener Stunde entstandenen und bei Youtube veröffentlichten Videos ausweichen will.

Mittlerweile gibt es sogar spezialisierte Unternehmen, die sich einzig und allein darum kümmern, solcherlei „Fehler“ im Sinne ihrer Kunden zu korrigieren, und so das Profil der betreffenden Person in einem positivem Licht erscheinen zu lassen. Wenn man bedenkt, wie sorglos heute vor allem Jugendliche auf Seiten wie StudiVZ, Lokalisten usw. mit ihren persönlichen Daten umgehen, scheint dies ein Geschäftsmodell mit viel Potential für die Zukunft zu sein.

Soweit der kurze Überblick über die drei Aspekte des Themas Identitätsmanagement nach der FIDIS-Klassifikation.

Aufbauend auf diese Klassifizierung wollen wir in Zukunft in loser Folge weitere Artikel zu spannenden Themen in diesem Bereich veröffentlichen, etwa zu Identity Federation, kontext-basierter Authentifizierung oder SOA und IdM.

BFI