Models of Trust for the Web

Transkript

1 1 Models of Trust for the Web Johannes Theuermann Alpen Adria Universität Klagenfurt Sommersemester 2007 Abstract Dieser Artikel gibt einen Überblick über Vertrauen im Web. Es wird eingehends erläutert, welche zentrale Rolle Vertrauen in interpersonalen Beziehungen hat. Anfangs werden Modelle vorgestellt, die es ermöglichen, Vertrauen zu gewinnen. Außerdem wird darauf eingegangen was Vertrauen ist, wie man Vertrauen beschreiben kann und wo man Vertrauen braucht. Der Begriff Vertrauen wird aus verschiedenen Perspektiven definiert: es wird sowohl die soziologische Definition von Vertrauen herangezogen wie auch Definitionen aus der Informatik und der Wirtschaft erläutert. Nach dieser grundlegenden Beschreibung des Phänomens Vertrauen wird dessen Bedeutung auch in wirtschaftlichen Beziehungen verdeutlicht. Anknüpfend wird die Problematik von Vertrauen in Internet-Transaktionen aufgerissen. Es werden zentrale Probleme wie Privacy und Security und Lösungsbestrebungen (seitens Institutionen) beschrieben. Anschließend werden zwei grundlegende Modelle sowie einige konkrete Protokolle und Standards vorgestellt, die Sicherheit in diesem Problemfeld schaffen und die Bildung von Vertrauen ermöglichen sollen. Zum Schluss wird der Blick auf ein neues Anwendungsfeld für Trust im Internet geworfen: Recommender Systems werden vorgestellt und deren Funktionsweise erläutert. W I.EINLEITUNG enn man in der heutigen Zeit Geschäfte abschließt, sitzt man seinem Verhandlungspartner/seiner Verhandlungspartnerin nicht immer gegenüber. E-Business wird immer wichtiger für unsere Gesellschaft. Geschäfte zwischen allen beliebigen Punkten der Welt werden möglich. Ein neuer Markt öffnet neue Perspektiven, die den Nutzer/die Nutzerin in kalte unbekannte Gewässer werfen. Es gibt schon Banken ohne Filialen und Verkaufsläden ohne physische Adressen, dafür mit einer Internetadresse. Wie kann man sich sicher sein, dass das jeweilige Gegenüber der/die ist, für den er/sie sich ausgibt? Im Internet häufen sich betrügerische Delikte. Immer wieder hört man von Scheinfirmen. Man weiß nicht mehr, wem man trauen kann. Vertrauen wird zum Thema für Anbieter/Anbieterinnen und Nachfrager/Nachfragerinnen. Immer mehr Institutionen beschäftigen sich mit dem Thema des Vertrauens. Im II. Kapitel wird das Thema Vertrauen interdisziplinär betrachtet und detailliert darauf eingegangen, was Vertrauen ist, wie es definiert wird und wie man dazu kommen kann. Verschiedene Aspekte zu Vertrauen, Vertrauenswürdigkeit (in Wirtschaftsbeziehungen und in der Informatik) und Vertrauensaufbau werden diskutiert. Im III. Kapitel wird besprochen, welche Rolle Vertrauen im Internet hat. Der Schwerpunkt liegt dabei auf das Vertrauen von Nutzer/Nutzerinnen in die Sicherheit von Internet- Transaktionen. Probleme, Lösungsmöglichkeiten, Modelle und realisierte Konzepte werden besprochen. Im IV. Kapitel werden Recommender Systems als ein neues Anwendungsfeld für Vertrauen im Web vorgestellt. Auch da stellt sich dem Nutzer/der Nutzerin die Frage: welchen Empfehlungen kann vertraut werden? Auf der Basis welchen Wissens/welcher Annahmen werden Empfehlungen gegeben? Verschiedene Methoden zur Empfehlungsgenerierung werden vorgestellt. II.TRUST / VERTRAUEN Dieses Kapitel widmet sich dem Begriff 'Vertrauen'. Es teilt sich in drei Unterkapitel, die sich mit unterschiedlichen Teilen des Themas beschäftigen. Im ersten Teil werden Definitionen von Vertrauen besprochen, im zweiten Teil wird Vertrauenswürdigkeit diskutiert und im letzten Teil wird die Frage nach dem Aufbau von Vertrauen gestellt. A) Definitionen Der Begriff Trust entspricht dem deutschen Vertrauen und ist eng an den Begriff des Risikos geknüpft. Vertrauen bestimmt, inwiefern man sich auf ein Risiko einlässt. Wenn man einer Person oder einer Sache vertraut, begibt man sich in Situationen, in denen man sich von dieser Person/Sache abhängig macht, in denen man Verantwortung abgibt und somit ein gewisses Risiko eingeht. Zur selben Zeit, als Mathematiker erstmals Methoden zur Handhabung von Risiko entwickelt und diskutiert haben (nach 1640) wurde auch der Begriff 'Vertrauen' in das Lexikon politischer Philosophie aufgenommen. Naturphilosophen/ Naturphilosophinnen und Theologen/Theologinnen begannen sich mit dem Konzept des 'vernünftigen Menschen' zu beschäftigen und die Auseinandersetzung mit Risiko wurde zu einem wichtigen Thema der entstehenden modernen Kultur [1]. Entsprechend groß ist auch die Anzahl der Versuche, Vertrauen zu definieren. Verschiedene Disziplinen haben

2 2 versucht, das Phänomen Vertrauen in Worte zu fassen. Der Soziologe Adam B. Seligman definiert Vertrauen als some sort of belief in the goodwill of the other, given the opaqueness of other's intentions and calculations [1]. Die Juristen Corien Prins und Leo van der Wees betonen den subjektiven Charakter von Vertrauen: Trust deals with belief, or willingness to believe, that one can rely on the goodness, strength, and ability of somebody [...] or something [...]. Trust is highly subjective. [2] Die Wirtschaftswissenschaftlerin Frédérique Six macht den Risikofaktor in einer Vertrauensbeziehung deutlich: Interpersonal trust is a psychological state comprising the intention to accept vulnerability to the actions of another party based upon the expectation that the other will perform a particular action important to you, irrespective of the ability to monitor or control that other party. [7] Zusammenfassend lässt sich sagen, dass es bei Vertrauen darum geht, jemandem Glauben zu schenken und zwar obwohl man nicht weiß, ob derjenige/diejenige zu den eigenen Gunsten handeln wird (der Ausgang liegt letzten Endes in der Hand einer anderen Person). Man macht sich verletzbar (man nimmt ein gewisses Risikopotential in Kauf). Der Systemtheoretiker Luhmann betont den Beziehungsaspekt, der Vertrauen notwendig macht: Vertrauen ist ein mentaler Mechanismus, der Komplexität und Unsicherheit reduziert, um damit zur Entwicklung bzw. Erhaltung von Beziehungen in riskanten Situationen beizutragen [3]. Durch Vertrauen begeben wir uns nicht nur in Gefahr, wir machen es uns auch einfacher. Wenn wir jemandem vertrauen, ihm/ihr eine Angelegenheit anvertrauen, müssen wir uns nicht selbst darum kümmern. Wie wichtig das ist, zeigt sich im Arbeitsalltag. Deutsch [4] charakterisiert Situationen, in denen Vertrauen aufgebracht werden muss. Er nennt drei wesentliche Aspekte: 1. There is an unambigous course of action in the future 2. The outcome depends on the behaviour of another party 3. The strength of the harmful event is greater than the beneficial event Hier werden wieder zwei schon genannte Punkte sichtbar: 1. der Ausgang der Situation liegt in der Hand einer anderen Person; 2. dieser Ausgang trägt ein ernsthaftes Risikopotential; Um den Begriff 'Trust' besser verstehen zu können, ist es hilfreich, ihn von ähnlichen Begriffen abzugrenzen. Während der Begriff 'Vertrauen' im Deutschen recht einfach von den angrenzenden Begriffen Glauben bzw. Wissen unterschieden werden kann, zeigt die große Anzahl der möglichen Übersetzungen ins Englische die Unschärfe des Wortes. Als Übersetzungen werden assurance, belief, confidence, credit, faith, reliance und eben trust genannt [5]. Bei Adam Seligman findet sich eine Abgrenzung der Begriffe confidence und trust. Unter Rückgriff auf verschiedene soziologische Definitionen beschreibt er Trust als einen individuellen psychologischen Zustand während Confidence ein über-individueller Zustand ist. Confidence hat dabei viel mit kognitiven Überlegungen zu tun, Trust dagegen ist eine emotionale Angelegenheit [1]. Dieselbe Trennung findet sich bei McAllister [6]. Dieser trennt affect-based trust und cognition-based trust. Letzteres definiert er als Vertrauen, das in den individuellen Einschätzungen einer Person über die Zuverlässigkeit, Vertrauenswürdigkeit und Professionalität einer anderen Person begründet ist, es geht also um eine rationale Einschätzung der anderen Person. Affect-based trust hängt von den emotionalen Bindungen zwischen zwei Personen ab, hier steht klar die emotionale Einschätzung im Vordergrund. Affektbasiertes Vertrauen kann erst aufgebaut werden, wenn ein Grundgerüst an kognitionsbasiertem Vertrauen vorhanden ist. Neben dieser Trennung finden sich in der Literatur auch noch andere Unterscheidungsarten, z.b. wissensbasiertes versus beziehungsbasiertes Vertrauen oder prozessbasiertes versus institutionales Vertrauen [1]. Die Trennung unterschiedlicher Typen von Vertrauen anhand der Basis, auf der Vertrauen aufbaut (Emotion, Kognition, Wissen, Beziehung etc.) stellt eine der üblichsten Kategorisierungsmethoden dar. Neben dieser Unterscheidungsweise ist auch die Kategorisierung anhand der angewandten Analyselevel weit verbreitet. Six [7] nennt einige Beispiele für die unterschiedlichen Levels: auf dem ersten Level findet sich das Vertrauen in ein System. Dabei kann das System sowohl Quelle als auch Objekt des Vertrauens sein. Auf dem zweiten Level findet sich das Vertrauen in eine Institution. Dieser bezeichnet das Vertrauen in die formalen sozial produzierten Strukturen der Institution. Auf der dritten und letzten Ebene liegt schließlich interpersonales Vertrauen, das Vertrauen zwischen Individuen, das unter anderem in der Zugehörigkeit zur selben sozialen Gruppe begründet liegt. Auf dieser dritten Ebene, also bei interspersonalen Beziehungen spielen fünf Komponenten eine tragende Rolle in interpersonalen Vertrauensbeziehungen: Vorhersehbarkeit, Zuverlässigkeit, Glaube, Reputation und Kooperation. Egger [8] nennt diese Aspekte im Zusammenhang mit romantischen Beziehungen, es ist jedoch klar ersichtlich, dass diese Kriterien auch über romantische Settings hinaus Gültigkeit haben und auf weitere Analyselevel angewandt werden können. 1. Vorhersehbarkeit Vorhersehbarkeit hat damit zu tun, wie konsistent eine Person/Institution in ihren Handlungen ist. Der Begriff bezeichnet dabei die Erwartungen einer Person über die zukünftigen Handlungen einer Person/Institution [8]. Vorhersehbarkeit ist wichtig, damit ich abschätzen kann, ob sich eine Person zu meinen Gunsten verhalten wird. 2. Zuverlässigkeit Im Laufe der Zeit wechselt man von der Abschätzung der

3 3 Verhaltensweise einer Person (die für die Vorhersehbarkeit der Handlungen der Person notwendig ist) zur Bewertung seiner/ ihrer Qualitäten, denn letzten Endes vertraut man einer Person und nicht ihren Handlungen [8]. Es geht um Fragen wie Wie schätze ich die Person ein? Welche Meinung habe ich? Ist sie zuverlässig? 3. Glaube Glaube bezeichnet in diesem Kontext einen 'Vertrauen- Vorschuss', ein gewisses Maß an Vertrauen, das aufgebracht werden muss, bevor man Erfahrungswerte zum Verhalten einer Person hat. Glaube muss also als allererstes zum Tragen kommen, damit die Ebenen Vorhersehbarkeit und Zuverlässigkeit überhaupt erreicht werden können [8]. Vertrauen kann nur aufgebaut werden, wenn man abschätzen kann, ob eine Person zuverlässig ist. Damit man das aber überhaupt abschätzen kann, muss man die Person erst etwas tun lassen. Man glaubt ihr, bis man ihr irgendwann vertraut. 4. Reputation Um Vertrauen zu gewinnen, versuchen Personen (wie auch Institutionen) eine gute Reputation aufzubauen. Reputation kann genutzt werden, um auch ohne direkten Kontakt mit einer Person/Institution ein Urteil über deren Vertrauenswürdigkeit zu fällen [8]. Das ist die Alternative zum Vertrauensaufbau über Glauben (dadurch, dass man die Person etwas tun lässt), man übernimmt die Einstellung von Anderen. 5. Kooperation Kooperation stellt den direkten Kontakt zwischen den beiden Parteien in den Vordergrund. Kooperation hat viel mit Zuverlässigkeit zu tun, da die (Un-)Möglichkeit kooperativen Verhaltens Aufschluss über die Zuverlässigkeit einer Person/Institution gibt. Diese fünf Komponenten machen deutlich: Vertrauen hat damit zu tun, daran zu glauben, dass die Handlungen einer anderen Person zu den eigenen Gunsten ausfallen. Um daran glauben zu können, muss angenommen werden, dass die Person gute Absichten verfolgt und zuverlässig ist. (Zuverlässigkeit wird erst relevant, wenn man entweder Erfahrungswerte über die Handlungsweise der Person besitzt oder wenn die Person eine entsprechende Reputation hat.) Außerdem wird die Bereitschaft vorausgesetzt, das entstehende Risiko in Kauf zu nehmen. Eine Vertrauenssituation setzt auch immer voraus, dass es überhaupt einen Bedarf gibt, eine Sache aus der Hand zu geben. Gründe hierfür können sein, dass man etwas nicht selbst tun kann (oder will) oder dass ein Ablehnen der Weitergabe eine bestehende Beziehung gefährden würde. Bislang wurde darüber gesprochen, welche Komponenten für Vertrauensbeziehungen wichtig sind. Jetzt folgt, woran man Vertrauensbeziehungen erkennen kann, wie man sieht, dass eine Person einer anderen vertraut. Einen anderer Zugang zum Begriff Vertrauen bietet Zand [9] über die Frage, wie sich dieses äußert. Er unterscheidet drei Arten von trusting behaviour, die sich folgendermaßen zeigen: 1. wie Information gezeigt wird Ein Individuum setzt sich einer anderen Person aus, erhöht seine Verletzbarkeit, wenn es Information teilt. Die Person könnte die Information nutzen, um sie gegen das Individuum einzusetzen oder ihm damit etwas 'wegzunehmen'. 2. wie Einfluss geteilt wird Einfluss zu teilen bezieht sich hier darauf, Entscheidungen nicht allein zu treffen, sondern den Rat Anderer einzuholen. Auch damit macht man sich verletzlich, da der Rat schlecht sein könnte und dies vielleicht sogar mit Absicht. Außerdem wird es meistens als Zeichen für Schwäche gesehen, wenn man den Rat Anderer einholt, man riskiert also auch, Anerkennung und Respekt zu verlieren. 3. wie Kontrolle ausgeübt wird Noch größer wird die Gefahr, wenn man Kontrolle abgibt. Dies passiert durch das Delegieren von Aufgaben oder Verantwortung. Man macht sich vom Anderen abhängig, der die Aufgabe oder Verantwortung nun in der Hand hat. Vertrauen bedeutet also auch, Wissen, Einfluss und Kontrolle abzugeben. Diese Punkte stellen wohl die andere Seite des Vertrauens dar den Beweis, der erbracht werden muss, damit eine Vertrauensbeziehung bestehen kann. Es wurden verschiedene Definitionen von Vertrauen dargelegt. Die zentralen Punke, die Vertrauen ausmachen sind: Man begibt sich in eine Situation, für deren Ausgang eine andere Person verantwortlich ist. Die Situation beinhaltet ein gewisses Risikopotential. Vertrauen bedeutet nun, dieses Risiko in Kauf zu nehmen, obwohl man nicht weiß, was die Person tun wird. In den letzten Jahren hat Trust als Gegenstand der Informatik (Informationssicherheit) stark an Bedeutung gewonnen. Insbesonders seit dem damit weit verbreiteten Einsatz von ebusiness ist Vertrauen zu einem Knackpunkt auch im wirtschaftlichen Bereich geworden. Auf diesen Aspekt wird später noch detaillierter eingegangen. B) Vertrauenswürdigkeit Vertrauenswürdigkeit ist die Basis jeder Vertrauensbeziehung. Die Vertrauenswürdigkeit einer Person oder Institution bestimmt, ob ihr Vertrauen geschenkt wird. Damit festgestellt werden kann, ob eine Person/Institution dieses Kriterium erfüllt, muss man sie einer Prüfung unterziehen. Diese Prüfung erfolgt auf interpersonaler Ebene intuitiv, in geschäftlichen Beziehungen klar geplant und strukturiert. Es wird nun ein Kritierienkatalog vorgestellt, der

4 4 für diese Prüfung genutzt werden kann. Im Anschluss wird gezeigt, auf welche Arten diese Prüfung erfolgen kann. Wenn man wissen will, ob einem vertraut wird, sollte man also darauf achten, ob einem Informationen gegeben werden (und welche Informationen das sind), ob man Einfluss (auf Entscheidungen, Planungen, etc.) hat und ob man auch Verantwortung für (Teil-)Aufgaben übertragen bekommt. Sollte man feststellen, dass nichts davon zutrifft, könnte man prüfen, ob man überhaupt vertrauenswürdig ist. Dafür können folgende Prüfkriterien genutzt werden: Six [7] definiert vier Dimensionen der Vertrauenswürdigkeit: Fähigkeit, Wohlwollen, Einsatz und Akzeptanz von Normen. 1. Fähigkeit (ability) Besitzt eine Person/Institution die Fähigkeit (Kompetenzen), das von mir gewünschte Ergebnis zu erreichen? Hierbei ist wichtig, dass die Person in dem betroffenen Feld kompetent ist, es ist völlig nutzlos, wenn die Person in anderen Bereichen hervorragende Arbeit leistet. Außerdem muss beachtet werden, ob die Person auch in der Position ist, um ihre Kompetenzen zu meinen Gunsten einzusetzen. 2. Wohlwollen (benevolence) Ist das Wohlwollen der Person, der man sein Vertrauen schenkt, sichergestellt? Diese Frage ist insbesondere in Situationen wichtig, in denen die Person Gelegenheit hat, ihre eigenen Interessen vor die des Vertrauensgebers zu stellen. 3. Einsatz (dedication) Wie stark setzt sich die Person, der man sein Vertrauen schenkt, dafür ein, die Erwartungen des Vertrauensgebers zu erfüllen? Dieser Einsatz umfasst Hingabe, Pünktlichkeit, Aufwand und Zuverlässigkeit. Mangelnder Einsatz kann in geringem Wohlwollen begründet sein, aber auch (ohne böse Absicht) in der Unfähigkeit der Person, die Interessen des Vertrauengebers angemessen zu verfolgen. 4. Akzeptanz von Normen (norm-acceptability) Ist man mit den Normen, die die Person, der Vertrauen geschenkt wird, einverstanden? Hierbei geht es vor allem um die Normen, die die Person im Umgang mit Anderen anwendet. Selbst wenn es sich um eine sehr kompetente, einsatzfreudige Person handelt, die einem großen Wohlwollen entgegenbringt, stellt sich noch die Frage, welche Mittel die Person einsetzt, um die angestrebten Ziele zu erreichen. Die Person mag ein anderes Verständnis von Recht und Unrecht haben oder ihre eigenen Interessen ohne Rücksicht über die anderer Personen stellen. Damit man (als Person oder Institution) als vertrauenswürdig erachtet wird, müssen einem bestimmte Eigenschaften zugesprochen werden: die Fähigkeit, die Ziele des/der Anderen zu erreichen, den notwendigen Wohlwollen und damit die Bereitschaft, die Interessen des/der Anderen vor die eigenen zu stellen sowie die Bereitschaft, sich angemessen für die Erreichung der Ziele des/der Anderen einzusetzen. Darüber hinaus muss der/die Andere mit meinen Geschäftspraktiken einverstanden sein. Es wurde bereits kurz erwähnt, dass Vertrauen in wirtschaftlichen Beziehungen eine große Rolle spielt. Es wurde auch gesagt, dass Vertrauen ein wichtiges Mittel ist, wenn es darum geht, Risiken in Kauf zu nehmen. Aus diesem Grund ist es wichtig für Unternehmen, vertrauenswürdig zu sein und diese Vertrauenswürdigkeit auch zu vermitteln. Man denke nur an die Bemühungen von Banken, ein seriöses, vertrauenswürdiges Image zu haben. Doney/Cannon [10] identifizierten in einer Analyse der Vertrauensbeziehungen zwischen Käufer/Käuferinnen und Verkäufer/Verkäuferinnen fünf Prozesse, die Personen in Wirtschaftsbeziehungen einsetzen, um die Vertrauenswürdigkeit anderer zu prüfen: Rechnerischer Prozess (Calculative Process) Prognoseprozess (Prediction Process) Fähigkeitsprozess (Capability Process) Absichtlichkeitsprozess (Intentionality Process) Übertragungsprozess (Transference Process) Rechnerischer Prozess Dieser Prozess stellt eine Kosten/Nutzen-Analyse dar. Es wird abgeschätzt, ob es gewinnbringender ist, in der Vertrauensbeziehung zu bleiben oder diese aufzulösen (den Partner zu hintergehen). Ausschlaggebende Faktoren sind die bereits investierten Ressourcen, Größe und Reputation des Partners, Anpassungsbereitschaft, Informationsaustausch sowie die Dauer der Beziehung [10]. Prognoseprozess Im Prognoseprozess wird abgeschätzt, inwieweit der Partner auch weiterhin vertrauenswürdig bleiben wird. Dafür muss das zukünftige Verhalten des Partner vorausgesagt werden. Wichtige Punkte für diese Prognose sind nicht nur die Dauer und Intensität der Vertrauensbeziehung, sondern auch ganz wesentlich der Wissensaustausch zwischen den beiden Parteien. Je besser man einen Partner kennt, umso besser kann man sein Verhalten vorhersagen [10]. Hier zeigt sich die Anwendbarkeit der an früherer Stelle genannten Kriterien für Vertrauen in interpersonalen Beziehungen auf institutioneller Ebene: Der Prognoseprozess zielt auf die Zuverlässigkeit des Partners ab, da er das zukünftige Handeln und damit die Konsistenz dieser Handlungen prüft.

5 5 Fähigkeitsprozess Hat der Partner die notwendigen Mittel, um weiterhin vertrauenswürdig zu bleiben und meine Ziele auch in Zukunft entsprechend zu verfolgen? Hier steht die Glaubwürdigkeit des Partners/der Partnerin im Vordergrund, da man abschätzen muss, ob dieser/diese auch wirklich über die Ressourcen verfügt, die er/sie braucht, um die versprochenen Ergebnisse zu liefern [10]. Hier kommt die Fähigkeits-Dimension der Vertrauenwürdigkeit nach Six zum Tragen. Absichtlichkeitsprozess Authentizität Herkunft und Urheberschaft müssen vom Empfänger nachvollziehbar sein. Es gibt zwei Methoden zur Authenfizierung [11]: Entity authentification: die Identität der Entity (Person, Prozedur, Entität), die an der Verbindung oder Session teilnimmt, wird verfiziert. Data origin authentification: die Identität des Absenders/der Absenderin einer Nachricht wird verifiziert. In diesem Prozess werden die Motive des Partners/der Partnerin untersucht. Die Frage lautet: Warum kann dem Partner/der Partnerin vertraut werden? Um diese Frage zu beantworten, muss man die Situation aus der Perspektive des Gegenübers betrachten, um die Motivation des Partners/der Partnerin erkennen zu können und dann prüfen zu können, ob diese einen Konflikt mit den eignen Motiven darstellen [10]. Hier werden Norm-Akzeptanz und Wohlwollen geprüft. Übertragungsprozess Sender / Senderin Abbildung 1: Authentizität Angreifer / Angreiferin Empfänger / Empfängerin Hier wird geprüft, ob andere Parteien dem Partner/der Partnerin vertrauen. Die Einstellung dieser Parteien wird 'übertragen', man wird dem Partner/der Partnerin eher Vertrauen schenken, wenn auch andere Parteien das tun [10]. Hier wird ein anderer Punkt angesprochen, der an früherer Stelle als tragende Säule für Vertrauensbeziehungen genannt wurde: Reputation. Die Tatsache, dass es verschiedene definierte Prozesse gibt, um Vertrauenswürdigkeit zu prüfen, zeigt, dass Wirtschaftstreibende sich der Bedeutung von Vertrauen bewusst sind und Methoden entwickeln, strategisch damit zu arbeiten. Was in der Wirtschaft bekannt ist, ist auch der Informatik nicht fremd, gerade hier weiß man, wie wichtig es ist, das Vertrauen des Nutzers/der Nutzerin zu gewinnen. Die Vertrauenswürdigkeit von Anwendungen und Daten ist ausschlaggebend für den Erfolg von Systemen. Dass diese Vertrauenswürdigkeit nicht immer gegeben ist, zeigt sich leider daran, dass das Konzept des 'gläsernen Menschen' immer stärker umgesetzt wird. Auch in der Informatik gibt es definierte Kriterien zur Prüfung der Vertrauenswürdigkeit. Unter dem Begriff 'Informationssicherheit' werden bestimmte Anforderungen an die Verarbeitung, Speicherung und Vermittlung von Daten gestellt. Durch diese Kriterien wird Vertrauenswürdigkeit definiert. Sind diese Anforderungen erfüllt, so gelten Verbindung und Information als vertrauenswürdig. Diese Kriterien wurden unter dem Kürzel CIA+ zusammengefasst. CIA steht hier für Confidentiality, Integrity und Availability, also Vertraulichkeit, Integrität und Verfügbarkeit. Das Plus steht für Authentizität. Integrität Daten dürfen von einem Dritten nicht geändert werden, ohne dass der Empfänger es merkt. Konsistenz von Daten ist sehr wichtig, wenn Daten zwischen Sendung und Empfang verändert werden, sind sie nicht mehr konsistent. Das ist beispielsweise in Online- Bestellungen besonders wichtig, dort muss auch wirklich die Bestellung ankommen, die aufgegeben wurde. Integrität bezeichnet die Sicherstellung konsistenter Daten. Integrität wird manchmal als Teil der Authentifizierung betrachtet. Authentizität und Integrität können von einem gemeinsamen Sicherheitsmechanismus oder auch von getrennten Klassen geprüft werden [11]. Sender / Senderin Abbildung 2: Integrität Angreifer / Angreiferin Vertraulichkeit (Confidentiality) Empfänger / Empfängerin Daten dürfen von Dritten nicht abgehört werden können. Bei Integrität geht es darum, dass Daten nicht von Dritten verändert werden dürfen, Vertraulichkeit bezieht sich darauf, dass diese Daten gar nicht erst von Dritten gesehen werden. Dieses Prinzip ist wichtig, wenn es darum geht, vertrauliche

6 6 Daten zu übermitteln (z.b. Kontodaten, Kreditkartennummern, etc.) oder wenn es darum geht, kostenpflichtige Informationen nicht gratis zu bekommen (z.b. Pay-TV[11]). Kryptographie spielt hier eine große Rolle. Sender / Senderin Abbildung 3: Vertraulichkeit Verfügbarkeit (Availability) Nutzer/Nutzerinnen müssen Zugang zum Transaktionsprozess und den damit verbundenen Informationen, Services und Ressourcen haben. Dieser Zugang darf nicht von Dritten verhindert werden. Sender / Senderin Abbildung 4: Verfügbarkeit Für die Sicherheit in Online-Transaktionen ist es also wichtig, dass Daten auch wirklich von der Person kommen, von der man glaubt, dass sie kommen. Dass es auch wirklich die Daten sind, die diese Person abgeschickt hat. Dass niemand außer Sender und Empfänger die Daten sehen kann und dass Sender und Empfänger überhaupt die Möglichkeit haben, an der Transaktion teilzunehmen. Manche Quellen ergänzen die CIA+-Kriterien um weitere Kriterien, eines davon ist Non-repudiation (nicht- Zurückweisung) non-repudiation Angreifer / Angreiferin Angreifer / Angreiferin Empfänger / Empfängerin Empfänger / Empfängerin Keiner der Transaktionspartner darf im Nachhinein behaupten, dass die Transaktion nicht stattgefunden hätte. Das scheint aber recht schwer zu realisieren, da laut Autor dafür die Teilnahme eines Dritten (Zeuge, Notar, trusted third Party) notwendig ist [11]. Damit diese Ansprüche an Transaktionen erfüllt werden können, sind Infrastrukturen notwendig, die diese Kriterien erfüllen. Man braucht also zuverlässige und sichere Infrastrukturen, die Authentizität, Integrität, Zuverlässigkeit und Verfügbarkeit gewährleisten. Beispiele für Systeme, die alle oder Teile dieser Kritierien erfüllen, werden weiter unten beschrieben (siehe Kapitel III 'Protokolle und Standards'). Informationssicherheit ist nicht nur ein privates und wirtschaftliches Thema. In den letzten Jahren haben sich verschiedene Regierungsinstitutionen damit beschäftigt, wahrscheinlich nicht zuletzt deshalb, weil sie durch das Aufkommen von egovernment auch selbst davon betroffen sind. Deshalb sind Informationssicherheit und eine entsprechende Sicherheitspolitik in verschiedenen Institutionen ein großes Thema. Ein Beispiel sind die Bestrebungen des Bundesministerium für Inneres. In einem Handbuch werden die Grundsätze zur IT-Sicherheit des BM.I (Bundesministerium für Inneres) beschrieben. Dabei wird auch genau erklärt, welche Ziele durch diese Sicherheitspolitik erreicht werden sollen: Die IT-Sicherheit dient dazu, um 1. sicherzustellen, dass die aus gesetzlichen Vorgaben resultierenden Anforderungen erfüllt werden, 2. zu gewährleisten, dass das Vertrauen der Öffentlichkeit und das Ansehen in das BM.I und die öffentliche Verwaltung im Allgemeinen gewahrt bleibt, 3. die Kontinuität aller mit Hilfe von Informationstechnologie unterstützten Arbeitsabläufe und Geschäftsprozesse zu gewährleisten, 4. hohe Verlässlichkeit des Handelns zu gewährleisten, insbesondere in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, 5. sicherzustellen, dass Informationen entsprechend ihrer Bedeutung für das Ressort klassifiziert und zusammen mit den zur Verarbeitung und Kommunikation eingesetzten Informationssystemen angemessen geschützt werden, 6. den Verlust und die Verfälschung von Informationen, Informationssystemen und Datenträgern zu vermeiden, zu erkennen und zu beheben, 7. zu verhindern, dass Informationen und Informationssysteme zufällig, fahrlässig oder vorsätzlich Unberechtigten zugänglich gemacht werden bzw. zu nicht genehmigten Zwecken genutzt werden. [12]. Im vierten Ziel hohe Verlässlichkeit des Handelns zu gewährleisten, insbesondere in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen werden drei der genannten CIA+ Kriterien angeführt. Das zweite Ziel zu gewährleisten, dass das Vertrauen der Öffentlichkeit und das Ansehen in das BMI und die öffentliche Verwaltung im Allgemeinen gewahrt bleibt zielt auf die

7 7 Vertrauenswürdigkeit des BMI nach Außen ab. Hier wird auch gut deutlich gemacht, dass der Verlust von Vertrauenswürdigkeit nicht nur Auswirkungen auf die unmittelbar betroffene Institution selbst (in diesem Fall das Innenministerium), sondern auch auf Einrichtungen im Umfeld hat. Wenn Bürger/Bürgerinnen das Vertrauen in das Ministerium verlieren, wird auch ihr Vertrauen in die allgemeine öffentliche Verwaltung darunter leiden. Dass dem Ministerium die enge Verbindung zwischen Datensicherheit und Vertrauenswürdigkeit bewusst ist, wird an einer Formulierung innerhalb einer Publikation zum IT- Sicherheitsmanagement deutlich: ist. (Dieses Verfahren wurde weiter oben als Prognoseprozess bezeichnet.) In der folgenden Graphik (Abbildung 5) wird deutlich, dass dieses Verhalten in einer Vertrauensbeziehung, in der beide Parteien einander vertrauen müssen, zu einem Kreislauf führt: A beobachtet Bs Handlungen und zieht einen Schluss daraus. Dieser beeinflusst As Handlungen, die wiederum von B beobachtet werden und so weiter. [...] und das Image des Ressorts sind daher in den Augen der Öffentlichkeit zu einem großen Teil abhängig von der Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation, Speicherung und Verarbeitung der zur Aufrechterhaltung der öffentlichen Sicherheit und Ordnung benötigten Informationen. [13] Es wurden verschieden Prozesse gezeigt, mit denen man prüfen kann, ob Personen, Institutionen oder Daten bzw. Verbindungen vertrauenswürdig sind. Die Existenz verschiedener Prüfungsprozesse bzw. Kritierenkataloge zeigt, dass es sich hier um kein neues Thema handelt. Trotzdem ist es ein Thema, das zunehmend wichtiger wird ( wie in Kapitel 3 noch gezeigt wird). Als abschließenden Punkt zur Diskussion von Vertrauen wird nun gezeigt, wie Vertrauen überhaupt aufgebaut wird. C) Aufbau von Vertrauen Der Aufbau von Vertrauen in interpersonalen Beziehungen wird als ein interaktiver Prozess, in dem beide Individuen in verschiedenen Situationen Erfahrungen über die Vertrauenswürdigkeit des anderen sammeln beschrieben. Dieser Definition werden zwei Annahmen zugrunde gelegt [7]: 1. Menschliches Verhalten ist immer zielorientiert. Die unterschiedlichen möglichen Ziele werden jedoch nicht gleichwertig in Erwägung gezogen. Dies beschränkt die Rationalität menschlichen Verhaltens. 2. Menschliches Verhalten ist immer kontextuell bedingt und wird von den Normen geleitet, die das Individuum als wichtig anerkennt. Weiter oben (siehe Definitionen) wurde bereits erklärt, dass Erfahrungswerte eine wichtige Rolle spielen, wenn Vertrauen aufgebaut werden soll. Man sieht sich an, wie sich die Person in der Vergangenheit verhalten hat (dazu nützt man eigene Erfahrungen oder die Reputation der Person) und entscheidet dann, ob die Person vertrauenswürdig ist oder nicht. Dies geschieht aber nicht nur in der 'Kennenlernphase', sondern auch später innerhalb der Vertrauensbeziehung. Bewusst oder unbewusst wird aufgrund der Handlungen des Gegenübers immer wieder abgewägt, ob dieser weiterhin vertrauenswürdig Abbildung 5: Bildung und Erhaltung von Vertrauen[7] Wie muss sich eine Partei (A oder B) nun verhalten, damit sie Vertrauen gewinnt bzw. dieses nicht verliert? Bei Six [7] findet sich auch ein Überblick über die Ergebnisse verschiedener Studien, die sich dieser Frage gestellt haben. Dabei zeigen sich vier zentrale Verhaltensmuster, die die Autorin jeweils mit Beispielen aus den Forschungsergebnissen der Studien erklärt. 1. Offenheit Informationen genau und pünktlich bereitstellen positives und negatives Feedback geben offen sein und Probleme direkt ansprechen ehrlich sein und Motive offen darlegen 2. Teilen von Einfluss Veränderungen an den eigenen Entscheidungen initiieren und akzeptieren den Rat Anderer suchen und akzeptieren die Berechtigung der Interessen Anderer wahrnehmen in den Handlungen Anderer Wohlwollen annehmen Interesse am Wohlergehen Anderer zeigen

8 8 3. Delegieren Sich von den Handlungen Anderer abhängig machen Aufgaben abgeben Verantwortung abgeben Verantwortung übernehmen statt Ausreden suchen 4. Unterschiedliche Erwartungen managen Allgemeine Erwartungen früh ansprechen und spez. Erwartungen detailliert erklären Unterschiedliche Erwartungen an die Oberfläche bringen und verhandeln Prüfen und evaluieren, ob die Zusammenarbeit effektiv ist Besonderer Bedeutung kommt dem Aufbau von Vertrauen wieder in wirtschaftlichen Situationen zu, aber nicht nur im Verhältnis zwischen Geschäftspartner/Geschäftspartnerin oder Käufer-Verkäufer/Käuferin-Verkäuferin, sondern auch zwischen Dienstgeber/Dienstgeberin und Dienstnehmer/ Dienstnehmerin. In diesem Verhältnis ist es wichtig, dass beide Parteien dieselben Normen und Werte anerkennen. Ein Mitarbeiter/eine Mitarbeiterin, der/die nichts von den Werten des Unternehmens hält, wird vermutlich leicht Probleme mit diesen bekommen, was dann auch dem Unternehmen Probleme bereitet. Arbeitgeber/Arbeitgeberin und Arbeitnehmer/Arbeitnehmerin müssen also im selben 'normativen Rahmen' arbeiten. Um diesen Rahmen zu schaffen bzw. zu festigen, können verschiedene Strategien angewandt werden [7]. Einige davon sollen hier erklärt werden. Misstrauen reduzieren [7] In einem Unternehmen kann es immer wieder zu Situationen kommen, in denen Misstrauen auftaucht. Solche Situationen können entstehen, wenn der Arbeitgeber/die Arbeitgeberin Zugeständnisse macht, bei denen recht klar ist, dass sie nicht erfüllt werden (können). In solchen Situationen ist nicht auszuschließen, dass der Arbeitnehmer/die Arbeitnehmerin in einer kritischen Situation seine/ihre eigenen Interessen vor die des Unternehmens stellt. Es muss besonders auf Situationen geachtet werden, in denen vorhersehbar ist, dass der Arbeitnehmer/die Arbeitnehmerin seine/ihre eigenen Interessen vertritt (weil das in dieser Situation jeder tun würde). Dieses tatsächliche oder mögliche Misstrauen kann durch Abstimmung der Interessen von Arbeitgeber/ Arbeitgeberin und Arbeitnehmer/Arbeitnehmerin reduziert werden, dies braucht glaubwürdige Zugeständnisse oder andere Gewinne für den Arbeitnehmer/die Arbeitnehmerin. Schaffung eines vertrauensförderlichen organisatorischen Rahmens [7] Dieser Strategie liegt die Annahme zugrunde, dass die normativen Rahmen von Personen, die miteinander zu tun haben, sich gegenseitig beeinflussen. Für ein Unternehmen heißt das, dass der Rahmen des Unternehmens Einfluss auf den des Arbeitnehmers/der Arbeitnehmerin hat, dieser/diese aber wiederum auch Einfluss auf die Rahmen seiner Kollegen/ Kolleginnen und auch auf jenen des Unternehmens hat. Natürlich ist es im Interesse des Arbeitgebers/der Arbeitgeberin, dass der Einfluss des Unternehmensrahmen auf die der Arbeitnehmer/die Arbeitnehmerin größer ist als umgekehrt. Um dies umzusetzen, wurden bislang fünf Werkzeuge gefunden: starke Normen, explizite und implizite Sozialisierung, normative Kontrolle, große funktionale Interdependenz und faire Personalpolitik. Aufbau von Vertrauen Abbildung 6: Die Wechselwirkung von positiven und negativen Beziehungsbotschaften[7] Weiter oben wurde gezeigt, dass Vertrauensbeziehungen immer einen Kreislauf darstellen, in dem das Verhalten der beiden Partner bestimmt, ob das Vertrauen weiter bestehen wird oder nicht. Aus diesem Grund ist es auch wichtig, im Sinne einer Vertrauensbildung seine Handlungen möglichst so durchzuführen, dass das vorhandene Vertrauen bestehen bleibt bzw. dass neues Vertrauen aufgebaut werden kann [7]. Die Handlungen sollen also immer positive Beziehungsbotschaften sein; dies ist jedoch nicht so einfach, wie es aussehen mag. Es reicht nicht, positive Botschaften zu senden, man muss auch verhindern, negative Botschaften zu schicken. Das Problem hierbei liegt darin, dass man sich der Botschaften, die man schickt, nicht immer bewusst ist. Abbildung 6 zeigt die gegenseitigen Auswirkungen, welche positive und negative Botschaften aufeinander haben. Umgang mit Problemen Natürlich können nicht immer nur positive Signale gesendet werden, da es in wirtschaftlichen (und in zwischenmenschlichen) Beziehungen immer wieder auch Konfliktsituationen gibt. Six[7] definiert Konfliktsituationen als The disruption of the flow of expectations, which is, at least initially, experienced as unpleasant. Diese Konfliktsituationen stellen natürlich eine große Gefahr für die Vertrauensbeziehung dar, weil diese ja auf dem Glauben basiert, dass der andere dafür sorgen wird, dass der flow of expectations zu den eigenen Gunsten verlaufen wird. In einer solchen Situation wird meist mit Ärger reagiert, man ist

9 9 enttäuscht und fühlt sich betrogen. Der 'richtige' Weg wäre jedoch, die Gründe für die Situation zu hinterfragen, also zu prüfen, wie es überhaupt soweit kommen konnte. Der Umgang mit solchen Situationen, das Wechselspiel zwischen Vertrauen und Konflikt bestimmt letzten Endes die Qualität jeder Vertrauensbeziehung [7]. Es gibt also verschiedene Möglichkeiten, Vertrauen in verschiedenen Situationen aufzubauen. Sollten alle Versuche, Vertrauen aufzubauen scheitern oder sollte die eine oder andere Partei Charakteristiken aufweisen, die eine Vertrauensbeziehung unmöglich machen, können Verträge oder Versicherungen eingesetzt werden, die entweder die beiden Parteien an klare Vorgaben binden oder eine Partei bei Vertrauensbruch der anderen vor großem Schaden schützen. Eine mögliche Lösung im Dienstnehmer/Dienstnehmerinnen- Angestellten-Verhältnis stellt die von Paul Shaw beschriebene Angestellten-Unredlichkeits-Versicherung dar: Dienstgeber können sich gegen Verlust von Geld oder anderem Eigentum versichern, wenn dieses durch unredliches Verhalten eines Mitarbeiters entstanden ist. Versichert sind Handlungen wie Diebstahl, Veruntreuung, Fälschung, widerrechtliche Aneignung, Unterschlagung oder Erpressung. [14] Dieses Kapitel hat gezeigt, was Vertrauen ist, wie geprüft wird, ob jemand oder etwas vertrauenswürdig ist und wie Vertrauen aufgebaut werden kann. Dabei wurde an einigen Punkten schon deutlich, warum Vertrauen notwendig ist. Abschließend noch einige zentrale Ergebnisse aus verschiedensten Studien, die sich damit beschäftigt haben, wozu wir Vertrauen überhaupt brauchen [7]: Vertrauen wird in Situationen gebraucht, die von Uneindeutigkeit und Unsicherheit oder von großer Komplexität geprägt sind. Vertrauen bietet ein Gefühl von Sicherheit, welche das Überleben in solchen Situationen ermöglicht. Vertrauen hilft beim Tragen von Risiken in den beschriebenen Situationen. Vertrauen fördert die Fähigkeit zur Veränderung und unterstützt (radikale) Veränderung. Vertrauen unterstützt Lernprozesse, Kreativität und Innovation. Vertrauen ist ein Kraftstoff für soziale Beziehungen und verbessert Effizienz. Vertrauen unterstützt und erhält Kooperationen indem es Informationsaustausch, Offenheit, wechselseitige Akzeptanz, Konfliktlösung und integrative Problemlösung fördert. Vertrauen reduziert den Bedarf an detaillierten vertraglichen Regelungen und Kontrollen. Es hat somit besondere Bedeutung in Regierungsangelegenheiten. Diese Punkte machen deutlich, welche tragende Bedeutung Vertrauen in Beziehungen und insbesondere in Geschäftsbeziehungen hat. III.TRUST IM WEB Seit dem Aufkommen von E-Business in den 90ern hat Vertrauen einen völlig neuen Stellenwert bekommen. Das Platzen der New-Economy-Seifenblase mag auch darauf hindeuten, dass die Menschen noch nicht bereit dafür waren, Geldgeschäfte über das Internet abzuwickeln, das damals ja noch recht unbekannt, wenig vertraut und damit auch wenig vertrauenswürdig war. Auch wenn in den letzten Jahren viele Nutzer/Nutzerinnen Erfahrung mit dem Internet und seinen Anwendungen gesammelt haben, so bleibt dieses Problem dennoch bestehen. Es stellt wohl noch für viele Nutzer/Nutzerinnen eine große Hürde dar, beim Online-Einkauf eine Kreditkartennummer angeben zu müssen, v.a. weil man nicht so recht weiß, was damit gemacht wird (und auch nicht abschätzen kann, was damit gemacht werden kann). Vertrauenswürdigkeit stellt eine wichtige Basis für geschäftliche Transaktionen dar. Im Internet müssen sich Unternehmen diese Basis hart erarbeiten. Eine URL ist nicht so vertrauenswürdig wie eine physische Adresse. Das Vertrauen von Kundinnen/Kunden muss erst erarbeitet werden, Einstiegshürden müssen überwunden werden. Consumers and, more generally, the recipients of services, may feel that the are in an unclear and vague situation with few guarantees as to the level of protection afforded and they may therefore be unwilling to conclude on-line contracts and exploit new opportunities [15] Online ist nicht sichtbar, ob eine Transaktion mit der notwendigen Diskretion behandelt wird. Auf der anderen Seite haben Unternehmen nicht die Möglichkeit, die Vertrauenswürdigkeit des Kunden durch einen Blick auf Führerschein oder Reisepass zu prüfen. Falsche Daten können nicht einfach erkannt werden [16]. Es können nur sehr schwer Aussagen über die zentralen Bestandteile von Vertrauenswürdigkeit getroffen werden. Man weiß nicht, wie es um Fähigkeit, Wohlwollen und Einsatzbereitschaft des Geschäftspartners/der Geschäftspartnerin steht oder was man von dessen Normen hält. Es gibt noch viele andere Fragen, die Nutzer/Nutzerinnen sich stellen und die zu unüberwindbaren Hürden werden können. Zum Beispiel, ob die Person oder Firma wirklich

10 10 diejenige ist, für die sie sich ausgibt, ob die Transaktion abgebrochen werden kann oder was bei einem Abbruch passiert. Ob Dritte Einblick in die übertragene Nachricht haben oder ob mein Geschäftspartner/meine Geschäftspartnerin behaupten kann, meine Bestellung nicht bekommen zu haben [11]. Wie wichtig es ist, Vertrauen aufzubauen, um wirtschaftlich erfolgreich zu sein, ist auch den Online-Wirtschaftstreibenden bewusst und wird an einigen Aussagen der Literatur deutlich: Trust has become the make-or-break element of e-business: those with the best reputation for maintaining the privacy and security of consumer and business information will prosper. [16] Trust has been hailed as one of the most important elements necessary to the uptake and usage of electronic forms of business [16] One of the biggest obstacles to global B2C e-commerce is lack of trust. [16] A.Probleme Zwei Schlüsselbegriffe für Trust im Online-Handel sind Security und Privacy. Privacy and security are vital to the creation of trust and confidence in electronic business. Das gilt sowohl für B2B (Business to Business) als auch B2C (Business to Costumer). Die Betreiber/Betreiberinnen von Webseiten müssen die Vertraulichkeit der gesammelten Daten (über die Benutzer/Benutzerinnen) sicherstellen. Die Belohnung für starke Privacy ist Kunden/Kundinnenbindung. Sie ist gleichzeitig Schutz vor möglichen rechtlichen Haftungen. Sollte man verabsäumen, die Privacy von Kunden/Kundinnen zu schützen, wird sich das im Rückgang des Kunden/Kundinnenvertrauens und in einer Verzögerung des Geschäftswachstums niederschlagen. [16] 1. Security Security zielt in erster Linie auf die Sicherheit der Datenübertragung ab. Eine sichere Datenübertragung muss zuallererst zwei Bedingungen erfüllen: beide Parteien müssen sich angemessen authentifiziert haben und die übertragene Information darf nicht verändert werden [16]. Hier sieht man wieder die Bedeutung der früher beschriebenen Sicherheitsziele Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit. Eine sichere Datenübertragung kann im Wesentlichen auf drei Wegen gefährdet werden[17]: 1.Information kann während der Übertragung kopiert werden. Passwörter können kopiert und zu einem späteren Zeitpunkt ohne Wissen des Besitzers/der Besitzerin wieder verwendet werden. Zahlungsbestätigungen können auf diese Weise wiederholt werden, was zu großem Schaden des Besitzers/der Besitzerin führt. Verschlüsselungstechnologien sollen diese Gefahr reduzieren, jedoch besteht immer auch die Gefahr, dass die Verschlüsselung selbst 'geknackt' und der Schutz somit zerstört wird. 2. Information kann während der Speicherung abgerufen werden. Kunden/Kundinnendaten sollten niemals in Systemen gespeichert werden, die direkt mit dem Internet verbunden sind. Leider wird dieser Rat nicht immer befolgt, was große Gefahren mit sich bringt. Hacker/Hackerinnen versuchen manchmal, eine Liste populärer Begriffe an ein solches System zu senden und versuchen damit, häufig gebrauchte Passwörter zu erwischen. 3. Information kann von einer authorisierten Partei beschafft werden. Hier stellt sich die Frage: wem kann man denn überhaupt vertrauen? Die Mehrheit aller Sicherheitsverletzungen werden von Insidern/Insiderinnen getätigt. Wenn ein System noch so sicher ist, es ist immer nur so vertrauenswürdig wie die Menschen, die Zugang dazu haben. 2. Privacy Datenschutz ist das wichtigste Werkzeug, um Privacy sicherzustellen. Es ist der schnellen Entwicklung der Informationstechnologien zuzuschreiben, dass mittlerweile Unmengen von Nutzerdaten/Nutzerinnendaten gesammelt, gespeichert und genutzt werden. Verschiedene Mitgliedsländer innerhalb der EU haben auf diesen Umstand reagiert und Datenschutzgesetze erlassen. Diese Gesetze schützen die Bürger/Bürgerinnen und stellen natürlich hohe Anforderungen an die Verwalter/Verwalterinnen von Datenverarbeitungssystemen [16]. Mittlerweile wurde der Schutz persönlicher Daten auch in der Charter of fundamental rights der Europäischen Union verankert [16]. Der Text von Artikel 8 zur Protection of personal data lautet [18]: 1. Everyone has the right to the protection of personal data concerning him or her. 2. such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified. 3. Compliance with these rules shall be subject to control by an independent authority.19 Diese rechtlichen Regulationen stehen natürlich oft in einem Konflikt mit den Interessen von Unternehmen, für die es

11 11 natürlich sehr nützlich ist, möglichst viele Daten über ihre Kunden/Kundinnen zu besitzen. Diese Daten können zum einen genutzt werden, um Konsumentenverhalten/Konsumentinnenverhalten zu analysieren und das Angebot (bzw. die Darbietung des Angebotes) an dieses anzupassen. Zum anderen stellen Daten in einem gewissen Sinne auch Kapital dar, da sie ggf. an Dritte verkauft werden können. Hermann Maurer von der TU Graz zeigte in seinem Artikel Vergoogelt und verkauft [20] auf, welche große Macht Unternehmen auf diese Weise anhäufen können. Er zeigte seine Überlegungen am Beispiel von Google, die über die unterschiedlichen Internet-Anwendungen (Gmail, YouTube, Google Picasa,...) sehr viel Nutzerdaten/Nutzerinnendaten sammeln kann. Für die Zukunft prognostiziert Maurer eine sehr bedenkliche Entwicklung, so könne beispielsweise die österreichische Polizei bei zukünftigen Fahndungen nach Nutzern/Nutzerinnen kinderpornographischer Inhalte erst mal bei Google nachfragen bevor sie sich selbst auf die Suche machen. An diesem überspitzen Beispiel wird der Ernst der Situation gut sichtbar. Paul de Hert beschreibt sehr klar und bezeichnend die Gefahr, die durch diese Entwicklung entsteht: Der Schaden, der sich ergibt, wenn Menschen auf der Basis eines unbekannten Profils behandelt werden oder wenn diese im Internet abgehört werden, liegt in Respektlosigkeit und Verletzung der Vereinbarungen zur Privatsphäre, welche Vertrauen in einer bestehenden Gesellschaft schaffen. Die Forderung, diese Vereinbarungen im Interesse des Handels zu vernachlässigen ist nichts anderes als eine Beleidigung der Gesellschaft, die Privatsphäre zu einer fundamentalen Norm erklärt hat. [16] Die genannten Probleme, die Themen Security und Privacy sind nicht neu, daher gibt es auch schon verschiedene Versuchen, diese Probleme zu lösen. Im folgenden Abschnitt werden größer angelegte Lösungsansätze auf institutioneller Ebene beschrieben. Weiter unten werden dann Modelle und konkrete Protokolle und Standards beschrieben, die Security und Privacy sichern sollen. B.Lösungsansätze Die Europäische Union stellt sich dem Problem von Trust in der Infomationsgesellschaft in einer Reihe von Forschungsprojekten und hat mit ENISA eine eigene Institution für diesbezügliche Sicherheitsbestrebungen geschaffen. ENISA ist die European Network and Information Security Agency. Es versteht sich als Centre of Intelligence für EU-Staaten und EU-Institutionen für Netzwerk- und Informationssicherheit. ENISA über ENISA: ENISA consequently contributes to modernising Europe and securing the smooth functioning of the Digital Economy and the Information Society. [21] Hier sollen nun exemplarisch zwei der aktuellen Bestrebungen zur Weiterenwicklung des Wissensstandes im Feld der IT-Sicherheit kurz vorgestellt werden: IST Results I Information Society Technologies (IST) Results ist eine Plattform, die Informationen über die Ergebnisse verschiedener Forschungsprojekte anbietet. Laut Beschreibung auf der Projekthomepage bietet es einen stets aktuellen Überblick über die Ergebnisse aller einschlägigen Forschungsprojekte. Auf diese Weise soll sichergestellt werden, dass die Ergebnisse auch allen interessierten Personen zugänglich sind und Reichweite und Auswirkungen damit auch möglichst groß sind. Hier geht es also nur um die Bereitstellung von Informationen zu verschiedenen Projekten, die sich mit Vertrauen im Internet beschäftigen. Safer Internet plus Programm II Das Programm Safer Internet plus zielt darauf ab, die Nutzung von Internet und neuen Technologien sicherer zu machen, besonders für Kinder. Das Programm will gegen illegale und gegen vom Nutzer/von der Nutzerin unerwünschte Inhalte kämpfen und somit einen Beitrag zum entsprechenden Ansatz der EU liefern. Eine der Vertrauensaspekte dabei ist folgender: ich (als Mutter/Vater) will mich darauf verlassen können, dass meine Kinder im Internet surfen können, ohne Inhalte zu bekommen, die für sie schädlich sind oder gar in gefährliche Kommunikationssituationen kommen. C.Modelle Zwei Modelle sollen hier vorgestellt werden: Trustcenter und Web of Trust. Sie werden den Modellen zugeordnet, weil es darum geht, die dahinterliegenden Ideen für Vertrauen im Internet zu zeigen, die auf unterschiedliche Weise umgesetzt werden können. Trustcenter Um Daten effizient zu Ver- und Entschlüsseln wird ein geheimer Schlüssel benötigt, der für eine Sitzung generiert wird und beiden Benutzern/Benutzerinnen bekannt ist. Diesen Schlüssel kann man zwischen den kommunizierenden Teilen persönlich austauschen oder man verwendet dafür Algorithmen. Der Kanal, über den der Sitzungsschlüssel geschickt wird, muss verschlüsselt sein. Eine weit verbreitete Lösung ist das Public-Key Verfahren um einen sogenannten Session key (Sitzungsschlüssel) auszutauschen. Um dies zu ermöglichen benötigen beide Teile eine öffentlichen und einen privaten Schlüssel. Ein Problem beim Public-Key Verfahren ist das Verbreiten des öffentlichen Schlüssels. Hier helfen uns Trustcenter weiter. I II index_en.htm,

12 12 Bei den Teilnehmern/Teilnehmerinnen wird unterschieden zwischen Privatpersonen, Unternehmern und staatlichen Einrichtungen [23]. Beispiele für Trustcenter sind: GlobalSign, VeriSign (z.b. Visa), Netrust oder Thawte.[24] Web of Trust (Netz des Vertrauens) Abbildung 7: mögliches Szenario [24] Without a trusted third party certifying that a given individual is in fact the holder of a public key, it is impossible for other transacting partners on the network to know for certain that the holder of the public key is not an impostor. [22]. Trustcenter stellen also eine unabhängige dritte Instanz dar, die beiden Seiten einer Transaktion Sicherheit bietet. Sie beglaubigt die Richtigkeit des öffentlichen Schlüssels zu einer Person oder Institution [24]. Trustcenter spielen eine wesentliche Rolle in Public Key Infrastrukturen (PKI), die weiter unten beschrieben werden. Der Begriff Trustcenter wird oft synonym mit den Ausdrücken Trusted Third Party oder Certification Autority verwendet. Es handelt sich jedoch allgemein um eine hochsichere Einrichtung, die durch besondere organisatorische und bauliche Maßnahmen ausgezeichnet sind. Natürlich muss auch das Trustcenter selbst seine Identität beweisen können. Dies geschieht wie bei Transaktionspartnern/partnerinnen durch öffentlichen Schlüssel oder durch ein Public-Key-Zerfikat eines anderen Trustcenters. Wenn eine solche Zertifizierungskette (eine Instanz belegt die Authentizität der anderen) frei von Zyklen, spricht man von einem 'Zertifizierungspfad'. Aber da dieser Pfad auch irgendwo ein Ende hat kommt man an einem gewissen Punkt nicht mehr darum herum, Daten persönlich zu übergeben. Das kommt jedoch aufgrund der hohen Anzahl von Trustcentern sehr selten vor [24]. Als Benutzer/Benutzerin geht man entweder persönlich zu solchen Einrichtungen und bestätigt seine Identität oder man muss sich zumindest mit einer adresse verifizieren. Das Trustcenter kann im zweiten Fall nicht verifizieren, dass es sich um die richtige Person handelt, aber es kann bestätigen, dass bei unterschriebenen s der Absender/die Absenderin wirklich Besitzer/Besitzerin der adresse ist. Trustcenter verwalten die öffentlichen Schlüsseln der Teilnehmer/Teilnehmerinnen und beglaubigen die Zugehörigkeit. Zur Zeit gibt es nur wenig Literatur zu diesem Thema. Das Web of Trust wird benutzt, um die öffentlichen Schlüssel schneller und einfacher zu verbreiten. Im Gegensatz zum Trustcenter, handelt es sich beim Web of Trust nicht um eine zentrale Einrichtung sondern um ein Netzwerk des Vertrauens. Wenn man einer Person vertraut, dann vertraut man auch Personen, der diese Person vertraut. Wenn zum Beispiel Alice Bob vertraut und Bob vertraut Charly, dann vertraut auch Alice Charly (Abbildung 8). Da dieses Netzwerk stetig am wachsen ist, werden die öffentlichen Schlüsseln sehr schnell verbreitet. Alice Abbildung 8: Idee von Web of Trust Allerdings kann man sich recht leicht in so ein Web of Trust einschleusen. Wenn man zum Beispiel das Vertrauen eines Benutzers/einer Benutzerin gewinnt, vertrauen einem/einer alle Teilnehmer/Teilnehmerinnen, die auch dem Benutzer/der Benutzerin vertrauen. So vertraut man blind fremden Personen. Wenn ein Angreifer /eine Angreiferin auf welche Art auch immer ein Vertrauen erhält, kann er weitere Angreifer/Angreiferinnen in das Netzwerk bringen und das System ist infiziert. Diego vertraut vertraut Elke Bob vertraut vertraut vertraut vertraut vertraut vertraut Abbildung 9: Infizierung eines Web of Trust Charly Wenn wir Abbildung 9 näher betrachten sehen wir, dass es gefährlich ist, wenn man Angreifern/Angreiferinnen das

13 13 Vertrauen schenkt. In der Abbildung wäre Elke die vorher beschriebene Angreiferin, die sich das Vertrauen von Diego erschleicht. Elke vertraut anderen Angreifern, somit vertraut auch Diego diesen Angreifern/Angreiferinnen. Die Idee des 'Web of Trust' wird auch im Zusammenhang mit Protokollen erwähnt, beispielsweise mit Public Key Infrastructures (siehe nächster Punkt), hierbei kann der öffentliche Schlüssel von Personen oder Institutionen innerhalb eines Web of Trust weitergegeben werden. D.Protokolle und Standards Der IT-Markt bietet verschiedene Protokolle und Standards, die alle oder Teile dieser Kriterien erfüllen (je nach Einsatzgebiet). Beispiele sind Digital Signatures, Public Key Infrastructures (PKI), Secure sockets layer (SSL) und Secure Electronic Transation (SET). chain of trust [25]. Eine PKI besteht dabei aus folgenden Elementen: Sicherheitspolizze, Zertfizierungsauthorität, Registrierungsauthorität, Zertifizierungsverteilungssystem und PKI-fähige Applikationen [25]. Die Sicherheitspolizze legt die Rahmenbedingungen der verschlüsselten Transaktion fest, die Autoritäten müssen die Zertifizierungen koordinieren. Diese sind notwendig, damit die Authentizität des Schlüsselbesitzers/der Schlüsselbesitzerin gewährleistet werden kann. (Nur so kann man wissen, dass es sich um den öffentlichen Schlüssel der Instanz handelt und nicht um einen gefälschten Schlüssel.) Eine solche Autorität kann beispielsweise ein Trustcenter (wie oben beschrieben) sein. Das Zertifizierungsverteilungssystem sorgt letzten Endes dafür, dass die öffentlichen Schlüssel für die Transaktionspartner/partnerinnen verfügbar sind [25]. Public Key Infrastructures (PKI) Wie schon weiter oben kurz beschrieben wurde, ist PKI ein Verfahren zur verschlüsselten Versendung von Nachrichten. Durch das Verwenden dieser Schlüssel wird sichergestellt, dass die Nachricht auch wirklich von der angegeben Person stammt und dass niemand Drittes die Nachricht einsehen oder verändern kann. Das Verfahren der Public-Key-Kryptographie basiert auf zwei Schlüsseln. Beide Teilnehmer/Teilnehmerinnen einer Transaktion verfügen über je einen privaten (geheimen) und einen öffentlichen Schlüsse, mit dem die Daten entschlüsselt werden können. Jeder Partner/jede Partnerin muss über den öffentlichen Schlüssel des Anderen verfügen. Der Sender/die Senderin verschlüsselt seine/ihre Nachricht mit dem öffentlichen Schlüssel der Gegenseite. Der Empfänger/die Empfängerin nutzt dann den eigenen privaten Schlüssel, um die Nachricht zu lesen [25][11]. Abbildung 11: Kommunikationsformen von Zertifizierungsautoritäten [11] Im Zentrum der PKI steht die Zertifizierungsautorität. Sie stellt die Vertrauensbasis des Systems dar. Ihre Aufgaben sind [25]: Ausfertigung von Zertifikaten durch Bindung der Identitäten von Nutzer/Nutzerinnen bzw. Systemen an einen öffentlichen Schlüssel mit einer digitalen Signatur Planung der Ablaufdaten der Zertifikate Sicherstellung, dass Zertifikate im Bedarfsfall entzogen werden. Abbildung 10: PKI-Verfahren [26] Eine Public Key Infrastruktur ist das System, das diese Verschlüsselung ermöglicht: A PKI is a combination of hardware and software products, policies and procedures, which provides the basis security required to carry out e-commerce activity in order that users -who do not know each other, or who are widely distributed, or who are both of these can communicate securely through a Wenn man eine PKI errichten oder nutzen will, kann man auf kommerzielle Zertifizierungsautoritäten zurückgreifen. Derzeit sind Entrust Authority (von Entrust), TrustedCA (CyberTrust) und Keon (RSA Security) sehr weit verbreitet III. Es gibt verschiedene Modelle für PKIs, je nach Kommunikations mit der Certification Authority oder der Kommunikation zwischen verschiedenen Zertifizierungsautoritäten. Die Kommunkation kann online, offline oder über ein anderes Medium (z.b. Telefon) erfolgen. Die Autoritäten können hierarchisch, im Netzwerk oder hybrid miteinander kommunizieren [11]. III

14 14 Digital Signatures Digital Signatures arbeiten mit dem umgekehrten Prinzip. Auch hier werden zwei Schlüssel verwendet, allerdings braucht der Sender/die Senderin den eigenen privaten Schlüssel, um die Nachricht zu verschlüsseln. Der Empfänger/die Empfängerin nimmt dann den öffentlichen Schlüssel des Senders/der Senderin, um zu verifizieren, ob die Nachricht vom Sender/von der Senderin kommt und ob sie während der Sendung nicht verändert wurde [26]. der gegenseitigen Identität und stellt die Integrität der Daten sicher. Ein großer Vorteil von SSL liegt in der einfachen Handhabung seitens des Nutzers/der Nutzerin bei geschäftlichen Transaktionen. Der Aufwand liegt allein bei dem/der Anbieter/Anbieterin [25]. Es stellt mittlerweile einen Standard für sensible Transaktionen im Web dar, insbesondere in der Kommunikation mit Banken und ähnlich sensiblen Instanzen kann nicht auf SSL verzichtet werden. Das ist vor allem deshalb sehr interessant, da aus verschiedenen Ecken Kritik an der Zuverlässigkeit von SSL geäußert wird [27][25]. Secure Electronic Transaction (SET) Abbildung 12: Digital-Signature-Verfahren [26] Der Sinn digitaler Signaturen liegt in der Authentifizierung des Senders/der Senderin. Analog zum Zweck 'echter' Unterschriften geht es darum, sicherzustellen, dass die Person von der die Nachricht kommt auch wirklich diejenige ist, die sie behauptet. Secure sockets layer (SSL) Secure sockets layer (SSL) ist ein Sicherheitsprotokoll, das sicheren Datentransfer im Internet ermöglichen soll. The SSL protocol is intended to provide a practical, application-layer, widely applicable connection-oriented mechanism for Internet client/server communications security. [27] Es besteht aus zwei Ebenen, die jeweils Dienste nutzen, die von den darunterliegenden Ebenen angeboten werden. Gleichzeitig bieten sie den höherliegenden Ebenen verschiedene Funktionalitäten. Der Record-Layer stellt Vertraulichkeit und Authentizität sicher auf einem verbindungsorientierten Transportprotokoll (z.b. TCP). Über dem Record-Layer befindet sich das SSL-Handshake- Protokoll. Hier findet der Schlüsselaustausch statt, bei beiden Transaktionspartnern/partnerinnen wird ein Verschlüsselungszustand ausgelöst [27]. Im Handshake- Protokoll werden dabei folgende Aufgaben erledigt: Aushandeln von Verbindungsmodalitäten, Austausch von Zertifikaten, Schlüsselaustausch und Verbindungsüberprüfung [28]. Sind diese Schritte erfolgreich absolviert, wird (am Record Level) mit der Datenübertragung begonnen. Die verschiedenen TLS-Versionen (Transport Layer Security) stellen Weiterentwicklungen von SSL dar. SSL/TLS ermöglicht zwei Instanzen im Web privat miteinander zu kommunizieren, hier liegt ein Schwerpunkt auf Vertraulichkeit. Natürlich sind auch Integrität und Authentizität sehr wichtig. Das Protokoll ermöglicht Prüfung Secure Electronic Transaction (SET) ist ein Set von Standards, die Zahlungen im Internet sicherer machen soll. Es wurde von verschiedenen Kreditkarteninstituten gemeinsam entwickelt und nach wie vor vorallem für die Zahlung mit Kreditkarten verwendet. SET gilt als der sicherste Weg, mit Kreditkarten zu bezahlen, weil die eingesetzten Standards großen Wert auf kryptographische Verschlüsselung legen und den Zugang zu Daten streng regulieren. So haben die Verkäufer/Verkäuferinnen keine Einsicht auf die Kreditkartennummer des Kunden/der Kundin [29]. Alle notwendigen Daten (Kreditkartennummer, Verfallsdatum, Sicherheitscode) werden mit sehr starken Verschlüsselungverfahren (RSA 1024) kodiert. Zusätzlich werden digitale Signaturen und Zertifikate verwendet, um die Übertragung noch sicherer zu machen [28]. Als besonderes Merkmal von SET wird die Trennung von Bestell- und Zahldaten genannt. Bestellung und Zahlungsanweisung werden getrennt angefertigt und mit einer dualen Signatur unterschrieben. Auf diese Weise bekommt der Händler/die Händlerin keine Informationen über die Zahungsanweisung und die Bank erfährt nichts über die Bestellung [28]. Trotzdem haben sich einzelne Kreditkartenanbieter von SET distanziert. Zum Beispiel setzt Visa derzeit auf 'Verified by Visa', das auf der Basis von 3-D Secure arbeitet IV und MasterCard nutzt SecureCode auf der Basis von SPA/UCAF V. PKI, Digitale Signaturen, SSL und SET stellen nur einige der Methoden dar, die zur sicheren Transaktionsabwicklung eingesetzt werden. Andere Werkzeuge sind SEMPER (Secure Electronic Marketplace for Europe), SOX (Systemics Open Transactions), Java Wallet [29] oder S-HTTP [28]. IV.NEUE ANWENGUNGSFELDER Das Web liefert für ebusiness nicht nur Probleme, in erster Linie bietet es völlig neue Möglichkeiten. Eine stellen Individualisierungs- und Personalisierungmaßnahmen dar. Angebote können immer besser auf den Kunden/die Kundin IV V

15 15 angepasst werden. Neue Produkte werden der Zielgruppe präsentiert, wodurch die Werbefläche insgesamt viel größer wird (In Summe werden viel mehr Produkte intensiv beworben, da ja schon im Vorfeld abgeschätzt wird, was für wen interessant sein könnte.). Recommender Systems machen diese Maßschneiderung möglich. Recommender Systems stellen eine Teilgruppe von Empfehlungssystemen dar. Empfehlungssysteme bezeichnen alle Programme, die irgendwelche Empfehlungen vergeben. Diese Systeme lassen sich unterteilen in individualisierte und nicht-individualisierte Systeme. Während nichtindividualisierte mit sehr einfachen Methoden arbeiten (z.b. auf der Basis von Mittelwerten), die allen Nutzern/Nutzerinnen dieselben Ergebnisse liefern, wenden individualisierte Systeme weit aufwändigere Techniken an. Sie erstellen individualisierte Empfehlungen, also Vorschläge, die auf den einzelnen Nutzer/die einzelne Nutzerin angepasst sind. In die Gruppe individualisierter Empfehlungssysteme fallen auch Recommender Systems [30]. Recommender systems are interactive software applications that support the online customer in his/her decision making and buying process [31]. Recommender Systems werden selbst als eine Form der Personalisierung bezeichnet. Die DELOS/NSF Working Group on Personalisation and Recommender Systems for Digital Libraries bezeichnet Personalisierung als the ways in which information and services can be tailored to match the unique and specific needs of an individual or a community [32]. Dieses Ziel wird durch Anpassung verschiedener Elemente (z.b. Darstellung, Services) erreicht. Für diese Anpassung braucht man natürlich Informationen über die Person: Hintergrund, Geschichte, etc. Personalisierung in Empfehlungssystemen kann nutzer/nutzerinnenbasiert oder automatisiert erfolgen. Bei nutzer/nutzerinnenbasierten Systemen ist der Nutzer/die Nutzerin die treibende Instanz, er/sie muss Personalisierungsmechanismen initiieren und den notwendigen Input explizit abliefern (Beispiele sind MyYahoo! Und MovieLens). Bei automatisierter Personalisierung werden die Aktivitäten des Nutzers/der Nutzerin protokolliert und entsprechende Personalisierungsmechanismen ausgelöst. Recommender Systems sammeln Informationen über die Bedürfnisse des Nutzers/der Nutzerin und können dadurch Informationen identifzieren, die für diese Nutzer/Nutzerinnen nützlich sind und diese empfehlen. Das wird dann besonders hilfreich, wenn diese Systeme Bedürfnisse erkennen, die der Person bis dahin gar nicht bewusst waren [32]. Recommender Systems werden häufig bei Internetplattformen verwendet, bei denen Artikel (Filme, Bücher, Cds, etc.) verkauft werden. In der Berechnung von Empfehlungen werden verschiedene Variablen und Algorithmen verwendet. Burke [33] listet fünf Verfahren, die von Recommender-Systemen eingesetzt werden: Kollaborative, inhaltsbasierte, demographische, zweckbasierte und wissensbasierte Methoden (Es gibt auch andere Unterteilungen der Verfahren, so zählt Bridge [34] beispielsweise wissensbasierte und nutzenbasierte Verfahren zu den inhaltsbasierten Verfahren). In allen Verfahren werden vier zentrale Variablen berücksichtigt [35]: I die Menge der Items aus denen Vorschläge erstellt werden sollen U die Menge der Benutzer, über die das System bereits Informationen besitzt u der aktuelle Benutzer i ein Item aus der Menge I, über das eine Vorhersage gemacht wird Inhaltsbasierte Verfahren: Algorithmus: Generiere einen Mechanismus zur Klassifizierung von Items, welcher zum Bewertungsverhalten des Benutzers u passt, und wende diesen auf die zu klassifizierenden Items i aus I an. [33 VI ] In content-based approaches to product recommendation, the product proposals are generated on the basis of detailed descriptions of the items in the catalog Inhaltsbasierte Verfahren machen Empfehlungen aufgrund der Beschreibung von Items eines Kataloges [31]. Bei Content-based Lösungen werden diese Beschreibungen zu Filmen, Büchern, Cds, etc. von (menschlicher) Hand in das System eingegeben. Das System vergleicht dann die Werte der im System vorhandenen Artikel mit den Werten des aktuell vom Benutzer/von der Benutzerin gesuchten Artikels. Das System zeigt dann diese Artikel an, deren Werte am meisten Ähnlichkeit mit dem aktuellen Artikel haben. Da die Werte für jeden Artikel manuell eingegeben werden müssen, ist diese Lösung teurer als die anderen Methoden [36]. Es gibt aber auch Content-based Methoden, die ohne händische Eingabe arbeiten. Dies funktioniert aber nur mit maschinell lesbaren Daten (z.b. Text). Eine sehr einfache Umsetzung von Content-Based Filtering sind Desktop-Agenten, die eingehende s in elektronische Postfächer einordnen. Die Sortierung dabei erfolgt anhand textueller Daten (Absender, Betreff, Inhalt). Ein anderes Beispiel ist Letizia, ein Software-Agent, der beim Browsen im Web helfen soll. Auf jeder besuchten Seite werden von Letizia alle verfügbaren Links gescannt. Dabei werden die Dokumente hinter den Links auf Ähnlichkeit mit den bereits besuchten Seiten untersucht. Wenn ein solches Dokument viele Begriffe enthält, die auf den besuchten Seiten vorgekommen sind, wird das Dokument empfohlen [30]. Mit Content-Based Filtering hat heute jede/jeder zu tun, die/der s mit einem Mailprogramm empfängt. Spamfilter tun nichts anderes, als eingehende s auf Schlüsselausdrücke zu scannen und verdächtige Mails in einen Spam-Ordner zu verbannen. VI Im Dienst einer besseren Lesbarkeit wird hier (und bei den weiteren Algorithmen) die Übersetzung von Bachlechner 2007 verwendet, der Originaltext kann bei Burke 2002 auf Seite 2 nachgelesen werden.

16 16 Kollaborative Verfahren: Algorithmus: Identifiziere Benutzer in U, welche ähnlich zu Benutzer u sind, und extrapoliere deren Bewertungen zu i. [33] Dass inhaltsbasierte Filter zwar hilfreich, aber manchmal nicht gut genug sind, ist jedem klar, der schon die eine oder andere wichtige (oder zumindest ungefährliche) in seinem/ihrem Spam-Ordner gefunden hat. Manchmal braucht es einfach bessere Filtermethoden, beispielsweise wenn man es mit Daten zu tun hat, die gar nicht oder nur sehr unzuverlässig maschinell bewertet werden können. Die vorher beschriebenen Deskop-Agenten sind zwar nützlich, wenn man s vorsortieren will, sie können aber nicht wirklich beurteilen, wie relevant eine Mail ist. Als die Leute im Xerox Palo Alto Research Center sich dieser Sache bewusst wurden, haben sie ein System entwickelt, das inhaltsbasierte Filter durch menschliches Urteilsvermögen abgelöst hat. Tapestry ermöglicht Abonnenten/Abonnentinnen von Mailinglisten, eingehende s nach ihrer Relevanz zu bewerten. Andere Nutzer/Nutzerinnen konnten Tapestry anschließend auffordern, nur s zu zeigen, die von bestimmten Kollegen/Kolleginnen als relevant eingestuft wurden. Es war übrigens dieses System, das erstmals den Namen 'Collaborative Filtering' getragen und das Verfahren begründet hat [30]. Im Web wird Collaborative Filtering oft in Online-Shops eingesetzt. Der kollaborative Filter funktioniert dabei so: alle Benutzer einer Internetplattform werden gruppiert. Wenn zwei Personen viele gleiche Filme, Bücher, Cds, etc. mögen, dann kann man behaupten, dass wenn eine der beiden Personen sich für einen Film interessiert, dieser Film auch für die andere Person von Interesse sein könnte [37]. Ein sehr bekanntes Beispiel für die Anwendung von Recommender Systemen ist Amazon ('Kunden, die dieses Buch gekauft haben,...'). Jeder Identität fügt der Autor/die Autorin Favoriten hinzu und natürlich auch das eigene Buch. Wenn jetzt Übereinstimmungen zwischen den falschen Identitäten und eines Benutzers/einer Benutzerin herrscht, wird das System das Buch des Autors/der Autorin anzeigen. Da bei den meisten Systemen aber eine Registrierung relativ lang dauert, sind diese Attacken noch nicht so verbreitet, werden aber in Zukunft immer mehr an Bedeutung gewinnen. Als mögliche Lösung schlägt Massa ein System vor, in dem in die Berechnung einbezogen wird, wer wem vertraut (siehe Abbildung 13) [36]. Von den Benutzern/Benutzerinnen werden Matrizen angelegt, welcher Benutzer/welche Benutzerin welchen Artikel mag. Weiters wird für jeden Benutzer/jede Benutzerin eine Matrix angelegt, in der festgehalten wird, welcher Benutzer/welche Benutzerin wem vertraut und wem nicht. Demographische Verfahren Algorithmus: Identifiziere nahe Benutzer zu u auf Basis der demographischen Informationen und extrapoliere deren Bewertungen zu i. Wenn Benutzer/Benutzerinnen bei der Registrierung demographische Daten wie Alter, Wohnort etc. angeben, können diese Daten genutzt werden, um Empfehlungen besser an den Nutzer/die Nutzerin anzupassen. Die Daten selbst werden dabei mit ähnlichen Methoden wie beim inhaltsbasierten Verfahren durchsucht. Das Ziel ist es, Ähnlichkeiten in den demographischen Daten zu finden [35]. Ein Beispiel ist Grundy, ein Buchempfehlungssystem aus den Achtzigern. Nutzer/Nutzerinnen geben dabei in einem interaktiven Dialog Informationen bekannt. Diese Daten werden dann mit den gespeicherten Nutzer/Nutzerinnenprofilen (Sterotypen) abgeglichen [33]. Zweckbasierte Verfahren Algorithmus: Wende Funktion auf die Items an und stelle Rangfolge der i in I fest. Das Zweckbasierte Verfahren unterscheidet sich von den übrigen Methoden. Es arbeitet nicht mit Bewertungen der einzelnen Items sondern mit der Nützlichkeit dieser Items für den Nutzer/die Nutzerin. Dieser Nutzen wird mit einer Funktion berechnet, die für das System festgelegt werden muss. Die nützlichsten Items werden dann empfohlen [35]. Abbildung 13: mögliche Architektur eines erweiterten Collaborative- Filtering-Verfahrens [36] Ein Nachteil bei Collaborative Filtering ist jedoch, dass das System ausgetrickst werden kann. Nehmen wir an, ein Autor/eine Autorin eines Buches) legt mehrere Identitäten an. Das Problem dabei ist, Nützlichkeitsfunktionen für die einzelnen Nutzer festzulegen. Ausschlaggebend ist auch hier das Nutzerprofil, unter Einsatz von Constraint Satisfaction (Bedingungserfüllungs-) Techniken (die auch in wissensbasierten Verfahren verwendet werden) wird die beste Übereinstimmung gesucht. Die Stärke von zweckbasierten Methoden im Gegensatz zu anderen Verfahren ist die Möglichkeit, Variablen einzubeziehen, die nicht direkt mit