OpenID nein danke?

Leider finde ich die Quelle dieses Zitates nicht mehr, aber die Formulierung ist mir sinngemäß noch im Gedächtnis: “Woran erkennt man den Erfolg eines Konzeptes? An der Intensität des Wiederstandes.”

Wenn dem tatsächlich so ist, scheint OpenID nun langsam auf dem besten Wege zu sein :) – vor wenigen Tagen wurde die Seite openid-neindanke.de von einem Privatmann, der hier nicht genannt werden will, gegründet.

Ich habe zunächst überlegt, ob ich den Bedenken dieser privaten Aktion hier Raum geben soll, denn schließlich sehe ich diesen Blog als Instrument um die Verbreitung von OpenID zu fördern und nicht einzuschränken.

Nach kurzem Studium der Texte auf der betreffenden Website, war mir jedoch klar, daß die dort geäußerten Bedenken eine Stellungnahme erfordern um unerfahrene User nicht weiter zu verunsichern.

Kernpunkt der Kritik ist es, daß ein OpenID Provider ein umfassendes Profil eines Nutzers erstellen könne und so der gläserne User geschaffen wird.

Daß das Problem bereits seit Jahren bei anderen Providern absolut vergleichbar existiert und dennoch mit breitem Konsens akzeptiert ist, wird schlicht und ergreifend nicht thematisiert:

Schauen wir uns einen traditionellen Anmeldevorgang an, so sieht dieser so aus, daß ich nach meiner Registrierung bei einem neuen Dienst eine Email mit einem Bestätigungslink erhalte. Nach dessen Anklicken ist mein neuer Account aktiviert. Jegliche weitere Kommunikation mit diesem Dienst läuft danach über diese (verifizierte) Email.

Mein Email-Provider weis somit bei welchen Seiten ich registriert bin und liest ggf. die komplette Kommunikation mit diesen Diensten mit! Also bei Social Networks z.B. wer sich als mein Kontakt/Freund eingetragen hat, bei Dating-Sites welche Mitteilung ich von interessierten Damen und Herren erhalte, ja sogar meine kompletten elektronischen Rechnungen kennt dieser Provider. Und über den Einzelverbindungsnachweis meiner Handyrechnung gar dienstübergreifend wann ich mit wem telefoniert habe.

Schreckt deshalb die Internet-Gemeinde vor der Nutzung von Email zurück? Setzt deswegen jeder User seinen eigenen Email-Server auf um seine Daten nicht bei unbekannten Dritten hosten zu müssen? Oder legt sich jeder User 10-20 Emailadressen zu um zumindest die Aggregation der Daten in einer Hand zu verhindern?

Adäquat sind die Forderungen zu verstehen “keine OpenID”, “eigenen OpenID-Service aufsetzen” und 10-20 Identitäten bei möglichst vielen OpenID-Providern besorgen.

Eine weitere Klasse von Providern hat sogar noch umfassenderen Einblick in das Surfverhalten seiner User: Jeder Internet-Zugangsprovider speichert akribisch Surfsessions, Dauer, IP-Adresse und bei Einsatz eines Proxies zur Beschleunigung des Seitenaufbaus sogar jede einzelne besuchte Webseite. Und dies keineswegs anonym, sondern in eindeutig verifizierbarer Verbindung zu einer konkreten Person, dem Rechnungsempfänger.

Sollten wir deshalb gleich ganz auf das Internet verzichten? Wohl kaum. Zumindest ist dies bislang nicht passiert. Im Gegenteil: Die Geschichte zeigt, daß sich selbst Angebote wie “Wegwerf-Emailadressen”, anonyme Proxies zum Surfen u.ä. nie auf breiter Front durchsetzen konnten. Es steht deshalb zu erwarten, daß der normale Internetnutzer sich dem Thema OpenID gegenüber – trotz der bei der Nutzung entstehenden Datenprofile – aufgeschlossen zeigen wird.

Noch ein Beispiel aus der Praxis gefällig? Bei Google´s Emaildienst “Gmail” haben Millionen von Usern die Vorteile dieses hochkomfortablen Emailservices höher bewertet als die Bedenken wegen der eigenen Privatsphäre – und dies obwohl in diesem Falle persönliche Emails gescannt werden um anhand der so gewonnenen Daten zielgenau die passende Werbung einzublenden. Ist dies ein Fall von millionenfacher grober Fahrlässigkeit im Umgang mit den eigenen Daten? Nicht unbedingt: im optimalen Falle ist diese Werbung so perfekt auf die Userbedürfnisse abgestimmt, daß mit den Google Ads sogar interessante Informationen transportiert werden, die der User gerne und positiv annimmt.

Nun könnte man argumentieren, daß die Tatsache, daß wir als User bereits gläsern geworden sind, keineswegs dazu dienen sollte zu sagen “auf einen mehr oder weniger, der unser Nutzerverhalten kennt kommt es nun auch nicht mehr an”.

Die Tatsache, daß andere Dienste ähnliche oder sogar umfangreichere Daten haben, ebenfalls nicht. Und selbstverständlich ist es auch richtig, daß die theoretische Gefahr eines Mißbrauchs in allen Fällen gegeben ist.

Die Tatsache, daß OpenID-Provider automatisch Informationen über das Benutzerverhalten ihrer User sammeln, ist jedoch prinzipbedingt, durch die Aufgabe des Providers definiert und lässt sich nicht vermeiden ohne die Funktionalität von OpenID so einzuschränken, daß diese praktisch nutzlos wird.

Doch von was reden wir denn hier überhaupt? Das Basisprofil einer OpenID enthält weniger Daten als man aus einem normalen Telefonbucheintrag herauslesen kann und obendrein können diese Informationen frei erfunden sein, niemand prüft diese nach. Darüber hinaus sind alle Angaben freiwillig – gebe ich also keine Emailadresse an, ist sowieso keinerlei Kommunikation und damit auch keinerlei Spam möglich. Telefon- oder Faxnummern werden überhaupt nicht erfasst und auch keine komplette postalische Adresse.

Und nun nochmal eine kurze Frage an den gesunden Menschenverstand: Wer will mit solchen wachsweichen Angaben irgendetwas anfangen, was mir schaden könnte? Und was genau soll das sein? Vielleicht sollte man auch fragen, welcher Marketer wäre bereit für solche unvollständigen und unsicheren Informationen Geld zu bezahlen? Ich glaube das kann sich jeder selbst beantworten.

Und wie sieht es mit den Daten über das Nutzungsverhalten aus? Nun, was nützen mir diese Daten, wenn ich sie noch nicht einmal mit einer konkreten Person in Verbindung bringen, geschweige denn mit ihr kommunizieren kann? Summa summarum kann man nur festhalten, daß OpenID für denjenigen, der Angst vor “Profilierung” und “evil Providers” hat, bereits beim heutigen Stand mit den entsprechenden Einstellungen ausreichend Sicherheit bietet.

Letzten Endes sehe ich jedoch die komplette OpenID-Privacy-Diskussion in eine völlig falsche Verteidigungshaltung gedrängt: Die erlernten paranoiden Denkschemata gehen noch immer davon aus, daß man sich hinter anonymen Usernamen und anonymen Accounts verstecken müsse, um nicht irgendwie “getrackt” zu werden. Praktisch nie wird reflektiert, was denn überhaupt die negativen Folgen eines solchen Trackings sein könnten. Dabei sind selbst negative Erfahrungsberichte über z.B. Emaildienste, die auf wesentlich sensiblere Daten Zugriff haben als OpenID-Provider, praktisch nicht existent.

Wir sollten lernen OpenID als Chance zu begreifen mit gesteuerter und kontrollierter Offenheit Informationen über die eigene Person zugänglich zu machen. Informationen die uns nutzen und uns in positivem Sinne profilieren.

OpenID gibt uns in bisher noch nicht dagewesener Weise die Chance unsere Website-übergreifenden Aktivitäten im Netz an einer zentralen Stelle zusammenzufassen: zu zeigen bei welchen Webprojekten man aktiv beteiligt war, bei welchen Firmen man welche Arbeiten geleistet hat, welche Hobbies man aktiv verfolgt, welche Blogs man liest, welche Kommentare man schreibt, welche Meinung man in Diskussionen vertritt. Der Aufbau der eigenen Reputation kann gezielt und gesteuert stattfinden und bleibt nicht mehr dem Zufall von Suchmaschinenrecherchen überlassen.

In dem Maße wie wir bereit sind uns gezielt und zum eigenen Nutzen zu öffnen, wird der Mißbrauch unserer Daten und unseres Nutzungsverhaltens z.B. für Spamming oder Marketing durch den OpenID-Provider oder Dritte unattraktiv und sinnlos. Stattdessen wird man versuchen dem Inhaber eines öffentlichen, aussagekräftigen Profiles anhand seiner Interessen so gezielt wie möglich auf dessen Bedürfnisse zugeschnittene Informationen, Dienstleistungen und Produkte anzubieten. Auf welchem Wege dies geschehen wird, bleibt noch zu diskutieren, denn OpenID ist ja kein Protokoll für die 1:1 Kommunikation a la Email. Vielfältige, spamfreie Lösungen sind jedoch denkbar.

Wichtig hierbei ist jedoch, daß der OpenID-Profilinhaber diese Angebote als positiv, als eine Bereicherung und als eine Hilfe beim Erreichen seiner Ziele, beim Befriedigen seiner Bedürfnisse und beim Ausfüllen seiner Interessen empfinden wird, denn er selbst steuert seine Profildarstellung und damit auch wie auf ihn zugegangen wird.

So wie der Wechsel von Web 1.0 zu Web 2.0 den Wechsel von professionell produziertem Content zu usergeneriertem Content, von Verlagsmagazinen zu Blogs bedeutet hat, so bedeutet der Wechsel von Identity 1.0 zu Identity 2.0 den Wechsel von Anonymität hin zu gesteuerter Selbstdarstellung der eigenen Person, von Avataren zu realen Identitäten.

Es steht zu erwarten, daß diese Angebote eine so hohe Attraktivität besitzen, daß dies die Publizierung von persönlichen Informationen sogar noch stärker fördern wird, statt diese einzudämmen. Beispiel: Angenommen ich äußere mich in einem Blogbeitrag begeistert über die Möglichkeiten einer zukünftigen Laser-TV Technik, über die ich gerade in einem Forschungsbericht gelesen habe. Dieser Bericht ist eine Facette meiner öffentlichen Interessen und wird auf meiner Identity-Page verlinkt. Sobald die Technik massenproduktionstauglich ist, kontaktiert der Hersteller mich (und ein paar tausend andere Personen) um mir mit einem attraktiven Angebot einen neuen Fernseher schmackhaft zu machen. Entsprechend meinem Status als Meinungsmacher im Bereich Home-Entertainment wird mir sogar ein außergewöhnlicher Rabatt gewährt … ich bin zufrieden, der Hersteller hat sein Produkt gut promotet und alle haben das Gefühl einer Win-Win-Situation. Dies ist natürlich nur eines von einer Million denkbaren Szenarien.

Letzten Endes wird jeder für sich selbst entscheiden müssen ob der persönliche Nutzen von OpenID gegenüber den potenziellen Gefahren , wo auch immer man diese für die eigene Person ansiedeln möchte, überwiegt.

Welche Entwicklung diese neue Technologie auch nehmen wird: OpenID ist keine per se gefährliche Technologie. Ganz im Gegenteil: Wer einmal den Komfort von OpenID genossen hat, wendet sich nur noch genervt von Seiten ab, die kein solches Login bieten. Um die Verbreitung von OpenID weiter zu fördern, haben wir uns dehalb entschlossen Buttons für den eigenen Blog und anderes Material zur Unterstützung der OpenID-Bewegung zur Verfügung zu stellen, welches wir in Kürze hier zum Donwload zur Verfügung stellen werden.

4 Comments

  1. Bendrath says:

    “Die Tatsache, daß OpenID-Provider automatisch Informationen über das Benutzerverhalten ihrer User sammeln, ist jedoch prinzipbedingt, durch die Aufgabe des Providers definiert und lässt sich nicht vermeiden ohne die Funktionalität von OpenID so einzuschränken, daß diese praktisch nutzlos wird.”
    Danke für die klaren Worte. Das ist allerdings nicht prinzipbedingt, sondern designbedingt. Sowas datenschutzfreundlicher zu gestalten erfordert ein wenig Krypto und Gehirnschmalz, aber es geht. Microsoft macht es gerade halbwegs annehmbar vor mit CardSpace, Credentica.com und andere sind da schon viel weiter.
    Ich fasse den Eintrag mal für mich so zusammen:
    – OpenID-Nutzer wollen keine Privatsphäre oder sind eh schon gläsern.
    – OpenID-Nutzer wollen Spam (jedenfalls wenn sie Rabatt kriegen).
    – OpenID-Nutzer wollen, dass auch ihre Mail-Prpvider und ihr ISP Profile über sie anlegen (das ist übrigens nach aktuellem Datenschutzrecht verboten, gilt aber nicht für z.B. US-basierte Dienste; und Schäuble und Zypries wollen es ändern zwecks “Terrorismusbekämpfung”, siehe http://www.vorratsdatenspeicherung.de).
    – Weil viele User sich keinen Kopf machen über die potenzielle Infrastruktur der Überwachung, die nach und nach aufgebaut wird, wird es mit der Überwachung schon nicht so schlimm sein.
    “Doch von was reden wir denn hier überhaupt? Das Basisprofil einer OpenID enthält weniger Daten als man aus einem normalen Telefonbucheintrag herauslesen kann und obendrein können diese Informationen frei erfunden sein, niemand prüft diese nach.”
    Ja, von was reden wir hier? Es geht doch nicht um den Telefonbucheintrag bei myopenid.com – es geht um das Profil, das nach und nach durch viele viele Anmeldungen an diversen Webseiten entsteht. Bisher konnte ein umfassendes Profil von mir nur dann erstellt werden, wenn die sich alle zusammentun. Nun kann das praktischerweise ein einziger Betreiber – mein OpenID-Provider – machen.
    Soviel Naivität ist wirklich beeindruckend.
    Wirklich interessant finde ich die Gedanken zur kontrollierten Selbstdarstellung. Da kann man mal eine ernsthafte Diskussion anschließen. Vielleicht hier?
    Meine Meinung zu OpenID:

  2. Swatinem says:

    Sehr langer Text, vor allem für so langsame Leser wie mich aber trotzdem sehr gut geschrieben. “OpenID, nein Danke” Habe ich auch mal per Zufall entdeckt und ich fand die Argumente eigentlich voll schwachsinnig. Wer seinem OpenID Provider nicht vertraut, der setzt sich halt wirklich selbst einen Provider auf, geht ja sehr einfach. Und dank Delegierung ist nach außen hin auch kein Unterschied erkennbar.

  3. ridcully says:

    Der Artikel wär nicht nötig gewesen. Wer ein bisschen darüber nachdenkt, wird zu ähnlichen Schlüssen kommen. Auf der Seite neindanke wird das jedoch nicht aufschlagen. Wer Kritik sucht, der wird sie damit immer finden. Diesen Blog interessiert ihn jedoch nicht.
    Auf die meisten Punkte gehst du bereits in anderen Artikeln ein. Auch die Länge ist beachtlich. Die erste Hälfte setzt sich konstruktiv mit den genannten Problemen auseinander. Die zweite hälfte hätte ich weg gelassen… Da wirbst du nur noch für OpenID… 😉
    Meiner Meinung nach ist der Author von diesem neindanke nicht in der Lage eine Diskusion konstruktiv zu führen. Das zeigt auch, dass er seinen Namen nicht genannt haben möchte. Der Stein des Anstoßes war mein Versuch mit dem Author in seinem Blog darüber zu diskutieren. Leider hat er das relativ schnell unterbunden. Schade!

  4. Auf dieser Basis lässt sich natürlich nicht wirklich diskutieren.
    Der immer wieder herangezogene Vergleich mit Cardspace wird in diesem Zusammenhang auch immer “schräg” geführt:
    * Durch die Browserintegration ist bei Cardspace Phishing nicht möglich. Das heisst aber auch, dass dieses Problem durch eine Browserintegration bei OpenID auch gelöst würde (nicht anderes wird ja letztlich durch die Integration von OpenID in Cardspace erreicht).
    * Woher kommt bei Cardspace der höhere Grad der Anonymisierung? Wenn ich einen Teil der Provider-Funktionalität in den Browser verlagere, muss mein Provider weniger wissen. Klar.
    * Wie portabel ist denn eigentlich ein Cardspace? Wie hoste ich meinen Cardspace zentral, damit ich von beliebigen Arbeitsplätzen aus Zugriff auf meine Identitäten bekomme? Wieso weiss mein Provider dann weniger über mich?
    Wir sehen also: OpenID löst in Teilen ein ganz anderes Problem als Cardspace heute. Deshalb werden sie sich auch gut ergänzen. Andererseits ist auch klar, dass mit einer Browserunterstützung von OpenID die heute vorhandenen Probleme weitgehend beseitigt werden könnten.