Vertrauen - Prof. Dr. Norbert Pohlmann

Was ist Vertrauen?

Vertrauen (digitales Vertrauen) oder „trust“ ist ein Zustand zwischen Wissen und Nicht-Wissen, eine Hypothese künftigen Verhaltens, auf die, insbesondere bei risikobehaftetem Ausgang, Menschen ihr konkretes Handeln gründen.
Eine Definition von Vertrauen könnte als der Glaube daran beschrieben werden, dass es möglich ist sich auf jemanden (Hersteller/Anbieter) oder auf etwas (Technologie) zu verlassen.

Durch die immer schnellere und komplexere Digitalisierung werden innovative IT-Lösungen aus Sicht des Nutzers zunehmend weniger berechenbar – sie sind nicht mehr in der Lage, die Technologie zu durchdringen. Dass dies mit Folgen verbunden ist zeigt sich auch an den Ergebnissen des Online-Vertrauens-Kompass des „Bundesverband Digitaler Wirtschaft“ in der 46 Prozent der Befragten angeben: „Die schnelle Veränderung unserer Lebensbedingungen durch zunehmende Technisierung und Vernetzung macht mir Angst“. (Online-Vertrauens-Kompass 2020)

Um hier ihre Vertrauenswürdigkeit glaubhaft zu demonstrieren und damit das Vertrauen sowie die Akzeptanz in ihr Unternehmen sowie ihre Cyber-Sicherheitslösungen oder IT-Lösungen mit Cyber-Sicherheitsmechanismen zu manifestieren, sind zusätzlich weitere Aspekte zwingend notwendig.

Im Hinblick auf Unternehmen bedeutet dies, neben der Cyber-Sicherheit auch in die Aspekte Zutrauen, Zuverlässigkeit, Integrität und IT-Sicherheit zu investieren und alles zu tun, um diese Aspekte so weit wie möglich für die Nutzer transparent zu machen. Also eine reale Überprüfbarkeit dahingehend zu bieten, dass es möglich ist sich auf ein Unternehmen und/oder auf eine IT-Lösung zu verlassen.

In Bezug auf IT-Lösungen lässt sich in dem Kontext unter anderem ableiten, dass diese allgemein vertrauenswürdig sind, wenn sie sich immer in der erwarteten Weise für den beabsichtigten Zweck verhalten.
Im Hinblick auf IT-Lösungen bedeutet dies in die Aspekte Transparenz, Leistungsfähigkeit und Zweckprägnanz zu investieren und alles zu tun, um diese Aspekte so weit wie möglich für die Nutzer transparent zu machen.
Siehe auch Vertrauenswürdigkeitsmodell.

Mechanismen zur Vertrauensbildung

In diesem Abschnitt wird aufgezeigt, wann ein Nutzer dazu bereit ist, einem Unternehmen oder einer IT-Lösung wirklich zu vertrauen. Es gibt grundsätzlich zwei Ansätze, auf denen sich der Prozess der Vertrauensbildung begründet. Die Kenntnis darüber ist für Unternehmen von zentraler Bedeutung, denn diese ermöglicht den Verantwortlichen, ihre Maßnahmen bezüglich ihrer Vertrauenswürdigkeit mit den Bedürfnissen der Nutzer zu synchronisieren.

Eigene emotionale Referenz

Ein Kunde sammelt spezifische Erfahrungen in Bezug darauf, dass eine Anwendung oder ein Dienst für seinen beabsichtigten Zweck in der erwarteten Weise funktioniert.

Bei einem aus Nutzersicht transparenten Vorgang – zum Beispiel der Bestellung von Waren im Internet – lässt sich anhand selbst definierter impliziter oder expliziter Kriterien leicht nachvollziehen, dass ein Vorgang in erwarteter Weise vonstattengegangen ist. Zum Beispiel daran, dass die bestellte Ware in der angenommenen Qualität eintrifft und beim Zahlungsvorgang keine Unregelmäßigkeiten aufgetreten sind. Daraus entsteht die eigene Referenz, selbst unter der Bedingung, dass kein vollständiges Wissen über alle Abläufe vorliegt und die Vorannahmen zur Beurteilung nicht vollumfänglich sind. Also obwohl beispielsweise nicht nachvollziehbar ist, welche Prozesse parallel beim Diensteanbieter stattfinden – etwa in Bezug auf die Nutzung von Daten – ist es für einen Kunden trotzdem möglich dieser Anwendung zu vertrauen und entsprechend den Einkauf zu tätigen. Voraussetzung dafür ist, dass er der Zweckerfüllung einen hohen Stellenwert einräumt und die Gefahr des Verlusts sich für ihn in einem akzeptablen Rahmen bewegt – er also nicht wirklich „etwas aufs Spiel setzt“.

Neutrale Referenz

Die Kriterien bezüglich der Vertrauensbereitschaft können keinesfalls immer auf eigenen emotionalen Referenzen basieren. Zum Beispiel dann, wenn es sich um eine neue Anwendung handelt oder ein neues Geschäftsmodell zugrunde liegt – beispielsweise eines, bei dem der Kunde mit der Offenlegung seiner persönlichen Daten Geld verdienen kann. Für den Fall, dass für den Nutzer dabei das Risiko nicht einschätzbar ist oder es ihm instinktiv zu hoch erscheint, benötigt er eine Instanz, die ihm hier Hilfestellung bietet. Etwa mit Referenzen dahingehend, dass eine Anwendung oder ein Dienst in erwarteter Weise den beabsichtigten Zweck erfüllt. 

Damit diese Instanz von den Nutzern als vertrauenswürdig bewertet wird ist es notwendig, dass sich neutrale Institutionen oder Organisationen dafür verantwortlich zeichnen, die hier relevanten Informationen zu selektieren und dann bereitzustellen. Das bedeutet entsprechend, dass diese Referenzsysteme keinesfalls von Unternehmen initiiert sein dürfen. Zur bestmöglichen Umsetzung eignen sich verschiedene Mechanismen.

Reputationssysteme

Aufgrund der gestiegenen Komplexität der IT-Technologie fällt einem Reputationssystem eine wesentliche Rolle insbesondere bei der Einschätzung künftiger Anwendungen und Dienste zu – vor allem in Bezug auf solche, die nur unvollständig beziehungsweise noch gar nicht erfasst werden (können). Die grundsätzliche Idee hierfür ist nicht neu, denn die Möglichkeit Rezensionen bezüglich eigener Nutzererfahrungen abzugeben wird von vielen Diensteanbietern bereits offeriert – sie ist somit also bekannt und bestens etabliert. Daher kann diese Methodik als Ausgangsbasis für ein Reputationssystem dienen.

Allerdings unter Berücksichtigung von zwei wesentlichen Aspekten die unbedingt einzuhalten sind: Zum einen bedarf es hier der absoluten Unabhängigkeit. Zum anderen muss ein Reputationssystem mehr Anforderungen gerecht werden und sich klar von den bislang gängigen Rezensionssystemen abgrenzen. Denn die dort gemachten Bewertungen können rein subjektiv ausfallen, weil sie nicht auf absoluten Kriterien basieren, sondern durch individuelle Präferenzen einzelner Nutzer (teilweise stark) beeinflusst werden. Eine essenzielle Bedingung, die autarke Reputationssysteme erfüllen müssen ist somit, Nutzer dabei zu unterstützen ihr Vertrauen auf objektivierten Kriterien aufbauen zu können, damit sie in der Lage sind ihre Risikoabschätzung zu versachlichen und darüber dann zu konkretisieren.

Welche Informationen könnten für diese Entscheidungsfindung relevant sein? Eine neutrale Angabe, die hier verzeichnet werden müsste, wäre zum Beispiel, auf welche Daten ein Dienst zugreift und zu welchem Zweck diese Daten verwendet werden, zusätzlich angereichert mit Erfahrungswerten von Nutzern aus der Praxis. Eine sachliche Aussage könnte zudem die Auskunft darüber sein, dass ein Dienst ausschließlich mit den persönlichen Daten der Kunden Gewinne erzielt. Realistischerweise werden diese Informationen nicht ohne weiteres seitens der Unternehmen preisgegeben. Daher ist es notwendig, dass die Organisation dieser Reputationssysteme unabhängigen Institutionen obliegt. Diese sind dann sowohl dafür verantwortlich objektiv die Basisinformationen einzustellen als auch entsprechende Kriterienkataloge zu definieren, die es ermöglichen, Erfahrungen von Nutzern bezüglich der Vertrauenswürdigkeit einwandfrei und sachlich zu erfassen sowie zu analysieren. Hierbei könnten neben der reinen Funktionalität der Anwendung respektive des Dienstes auch weiche Faktoren, zum Beispiel, ob ein Anbieter oder Hersteller sich ethischen Werten verpflichtet fühlt, Berücksichtigung finden.

Da Vertrauen im Rahmen der Digitalisierung ein wesentlicher Faktor ist, gilt es sorgfältig abzuwägen, wer die Verantwortung für die Inbetriebnahme und ordnungsgemäße Führung übernehmen kann. Zu diskutieren ist, ob hier politische Vorgaben inklusive entsprechender Kontrollmechanismen unausweichlich sind oder ob diese Aufgabe bereits existierenden Institutionen wie Verbraucherzentralen zufallen könnte. Möglich wäre auch eine neue Organisation für den Cyber-Raum zu schaffen, vergleichbar zum ADAC. Unter dem Aspekt, dass ein gutes Vertrauensverhältnis ein wesentlicher Bestandteil ist, sollten sowohl Nutzer als auch Hersteller daran interessiert sein, am Aufbau und Betrieb solcher autonomen Reputationssysteme mitzuwirken, da dieses als guter Vermittler zwischen Herstellern, Diensteanbietern und Nutzern gewertet werden kann.

Evaluierung/Zertifizierung

Vor und bei dem Einsatz komplexer Technologien, Anwendungen und Dienste wird künftig autarken Bewertungs- und Kontrollinstanzen eine höhere Bedeutung zukommen. Für die Durchführung der hier notwendigen Maßnahmen müssen bereits existierende unabhängige Organisationen, wie etwa der TÜV, erweitert oder möglicherweise vergleichbare Institutionen neu aufgebaut werden, die umfänglich die Evaluierung der Qualität sowie Cyber-Sicherheit und Vertrauenswürdigkeit sowohl von IT-Lösungen als auch von Herstellern und Anbietern vornehmen. Überprüft und beurteilt werden könnten dabei unter anderem das Geschäftsmodell oder auch, ob im Rahmen der Unternehmenstätigkeit die ethischen Werte und Moralvorstellungen der Gesellschaft Berücksichtigung finden.

Hierbei wird es jedoch elementar sein, dass nicht die Hersteller den Umfang der Evaluierung definieren. Im Gegenteil. Zukünftig gilt es sicherzustellen, dass diese Bewertung – analog zu der Überprüfung durch den TÜV beispielsweise bei Fahrzeugen – gemäß standardisierter Kriterien oder gesetzlicher Vorgaben, anhand deren die Qualität ebenso wie die Vertrauenswürdigkeit von Anwendungen und Diensten sowohl zu auditieren als am Ende auch zu gewährleisten ist, erfolgt.

Nach einem entsprechenden Zertifizierungsvorgang erhalten Hersteller und Diensteanbieter ein Zertifikat. Dieser Nachweis, dass alle vorgegebenen Kriterien erfüllt sind, dokumentiert somit den Grad der Vertrauenswürdigkeit der evaluierten Anwendungen und Dienste.

In diesem Kontext fällt dem BSI in Deutschland eine große Bedeutung zu. Für den Wirkungsraum Europa hat im Rahmen des neuen „Cybersecurity-Act“ die ENISA die Aufgabe, ein Framework für die Evaluierung und Zertifizierung von Produkten und Dienstleistungen für die EU zu erstellen – in Analogie zu der Datenschutz-Grundverordnung (DSGVO).

Zertifizierungen und Evaluierungen werden eine entscheidende Rolle dahingehend zufallen, dass sich Hersteller und Diensteanbieter mit ihren Cyber-Sicherheits- und Vertrauenswürdigkeitsmechanismen darstellen können und Nutzer dabei zu unterstützen, ihre Vertrauensbereitschaft zu erhöhen und souveräner Handlungsentscheidungen zu treffen.

Zusammenfassung: Mechanismen zur Vertrauensbildung

Auf der Grundlage eigener emotionaler Referenzen sowie neutraler Referenzen können Nutzer das Vertrauen aufbauen, das notwendig ist, um ihre Akzeptanz bezüglich der Nutzung von IT-Anwendungen und -Diensten zu manifestieren. Daher sollten Hersteller und Diensteanbieter alles tun, um diese dabei zu unterstützen.

Zusammenhang zwischen Vertrauen, Vertrauenswürdigkeit und Cyber-Sicherheit

Das Vertrauen von Nutzern wird zu einem großen Maß über die Vertrauenswürdigkeit von IT-Lösungen und Hersteller-/Anbieterunternehmen aufgebaut. Dabei sind die Umsetzung und Darstellung von Cyber-Sicherheit ein wichtiger Bestandteil der Vertrauenswürdigkeit.

In Zukunft werden zunehmend mehr und vor allem auch neue Werte geschaffen, die (nur) digital vorhanden sind, und in der Konsequenz sowohl einen weitaus höheren als auch individuelleren Schutzbedarf aufzeigen. Dieses Schutzniveau zu erreichen ist aufwendiger als es je in der analogen Welt der Fall war – denn auf abgeschlossenen Unternehmensarealen ist es eher möglich Unternehmenswerte gut zu überwachen beziehungsweise sicher in Tresoren aufzubewahren und somit, auch für die Unternehmensleitung gut nachvollziehbar, zu schützen.

Im Gegensatz dazu unterliegt in der digitalen Welt der Schutz nicht mehr unmittelbar der Kontrolle der Anwendungsunternehmen. Nicht nur, dass sie die Absicherung ihrer digitalen Werte keinesfalls mehr physisch nachprüfen können – sie müssen gleichzeitig auch darauf vertrauen, dass die Hersteller bei Entwicklung, Auswahl und Umsetzung von Cyber-Sicherheitsmaßnahmen wie etwa Verschlüsselung, Multifaktor-Authentifikation oder Isolierung von Anwendungen alles tun, um die richtige Vorgehensweise zu gewährleisten. Im Hinblick auf die Zukunftsfähigkeit von Anbieterunternehmen ist es wichtig zu sehen, dass dieser Aspekt – allein aufgrund der zunehmenden Vulnerabilität in der Digitalität durch immer versiertere Angriffe – mehrere Ebenen tangiert. Die Forderung nach einem gewissenhaften Umgang mit der Cyber-Sicherheit bezieht sich zum einen auf die Verantwortung der Hersteller dahingehend alle Maßnahmen zu ergreifen, um ihr eigenes Unternehmen vor Angriffen zu schützen. Zum anderen jedoch gleichzeitig, ihre IT-Lösungen gemäß Stand der Technik zu entwickeln, um so die bestmögliche Technologie zur Verfügung stellen zu können. Hieran zeigt sich zum einen die Relevanz von Vertrauen beim Einsatz von IT-Lösungen seitens der Nutzer und unterstreicht gleichzeitig die Notwendigkeit, dass Unternehmen vertrauenswürdig agieren müssen, damit dieses Vertrauen auch gerechtfertigt ist.

Weitere Informationen zum Begriff “Vertrauen”:

„Vertrauenswürdigkeit schafft Vertrauen – Vertrauen ist der Schlüssel zum Erfolg von IT- und IT-Sicherheitsunternehmen“

„Wie können wir der KI vertrauen? – Mechanismus für gute Ergebnisse“

„Menschliche Basis fürs Business – Mechanismen zur Vertrauensbildung“

„Gemeinsames Vorgehen für mehr Vertrauen in die Zukunft“

„Ohne Vertrauen geht es nicht – Kriterien für das Vertrauen von Anwenderunternehmen in Hersteller und deren IT-Sicherheitslösungen“

„Mit Vertrauenswürdigkeit in eine sichere Zukunft – Warum im Cyberraum ein technisches Pendant zur menschlichen Empathie nötig ist“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„IT-Sicherheit in Lebensräumen“

„Immer noch nicht sicher? Neue Strategien und Lösungen!“

„Sicher einkaufen und surfen im Netz“

„Betrugsschutz beim Online-Banking“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

Vertrauen

Description

Vertrauen ist eine Hypothese künftigen Verhaltens, auf die bei risikobehaftetem Ausgang Menschen ihr konkretes Handeln gründen. Vertrauen kann auch als Glaube daran beschrieben werden, dass es möglich ist, sich auf jemanden oder auf etwas zu verlassen.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo