Vertrauenswürdigkeit Durch eine schnelle Digitalisierung und damit einhergehend erhöhten Komplexität werden Lösungen zunehmend weniger berechenbar. Dadurch sind Nutzer immer weniger in der Lage, die Technologie zu durchdringen. Das hat Folgen, wie ein Ergebnis aus dem online-Vertrauens-Kompass (ovk) des Bundesverbands Digitaler Wirtschaft zeigt: 46 Prozent der Befragten sagte dort aus, dass ihnen „die schnelle Veränderung der Lebensbedingungen durch zunehmende Technisierung und Vernetzung Angst macht“. Von daher muss die Digitalisierung so gestaltet werden, dass sie von den Nutzern akzeptiert werden kann. Unternehmen können dies ermöglichen, indem sie alles tun, damit Nutzer Vertrauen aufbauen können. Denn Vertrauen – also die Annahme, dass es möglich ist sich auf etwas bestimmtes zu verlassen – reduziert die Komplexität.
Was bedeutet das für Unternehmen? Sie müssen Wege finden das Vertrauen, das normalerweise zwischen zwei Menschen – aufgrund der Fähigkeit zur Empathie – entstehen kann, auf ihr Unternehmen zu übertragen. Eine Vorgehensweise, wie sich das erreichen lässt wird nachfolgend vorgestellt.
Vertrauenswürdigkeitsmodell
Mit der Digitalisierung zeigt sich, dass eine starke Abhängigkeit zwischen Herstellern, Diensteanbietern und Nutzer entstanden ist. In dieser Wechselbeziehung kann letztendlich auch die Akzeptanz der IT-Technologie und einzelner IT-Lösungen sowohl positiv als auch negativ beeinflusst werden.
Dabei greifen folgende Mechanismen: Einerseits, dass die Nutzer deutlich mehr prinzipielle Möglichkeiten zur Kontrolle der Handlungsweise und Leistung von Herstellern haben. Denn über die sozialen Medien können die Nutzer unmittelbar kundtun, wenn ihnen etwas missfällt oder bestimmte Aktivitäten der Hersteller beurteilen. Das heißt, den Nutzern steht ein Mittel der direkten Einflussnahme zur Verfügung.
Andererseits haben die Nutzer – aufgrund der gestiegenen Komplexität – zunehmend weniger Möglichkeiten die IT-Lösungen zu durchdringen, was teilweise ihre Urteilsfähigkeit einschränkt und ihre Entscheidungsmacht verringert. Dadurch wird ihnen bei deren Einsatz eine höhere Vertrauensbereitschaft abverlangt. Dieser grundlegende, und für den Erfolg von IT-Lösungen und Unternehmen relevante Faktor muss aufgrund eines weiteren Parameters noch differenzierter betrachtet werden: Denn es gilt auch zu berücksichtigen, dass die Interessen der beteiligten Parteien teilweise diametral sind: Etwa dann, wenn der Hersteller möglichst viele Kundendaten mit seiner IT-Lösung generieren sowie für jegliche Zwecke verwenden möchte und dies weder im Sinne des Nutzers ist noch seinen Wünschen entspricht. Ob und in welchem Maße sich dieser Zielkonflikt auf die Vertrauensfähigkeit beziehungsweise -bereitschaft auswirkt, lässt sich nicht pauschal beantworten, da diese Eigenschaft individuell unterschiedlich ausgeprägt ist. Dabei spielen verschiedene weitere Faktoren eine Rolle. Zum Beispiel, ob der Nutzer mit der Nutzung des Dienstes aus seiner Sicht ein hohes Risiko eingeht – aber ebenso, welche Intention er dabei verfolgt und ob für ihn die eigentliche Zweckerfüllung an erster Stelle steht.
In jedem Fall ist davon auszugehen, dass der Nutzer jeweils alle für ihn relevanten Informationen generiert, die ihm als Kriterien für seine Entscheidungsfindung – und damit letztendlich zum Aufbau von Vertrauen – dienen können.
Dies lässt die Schlussfolgerung zu, dass die hohe Vertrauenswürdigkeit einer IT-Lösung sowie des Unternehmens notwendig ist, um die Akzeptanz für die IT-Lösung positiv zu beeinflussen. Generell kann davon ausgegangen werden, dass sich durch Vertrauenswürdigkeit die Kundenloyalität steigern lässt, was sich gleichzeitig auf die Akzeptanz aller Produkte/Dienstleistungen eines Unternehmens prinzipiell affirmativ auswirkt.
Im Folgenden wird das Vertrauenswürdigkeitsmodell dargestellt und diskutiert, mit dem sich erklären lässt, was Unternehmen und deren IT-Lösung in Bezug auf Vertrauenswürdigkeit tun müssen und wie dies dem Nutzer zu vermitteln ist. Dabei werden die Zusammenhänge zum Aufbau von Vertrauen nachfolgend anhand der einzelnen Aspekte erläutert (in Anlehnung an Nils Backhaus: „Nutzervertrauen und – erleben im Kontext technischer Systeme: Empirische Untersuchungen am Beispiel von Webseiten und Cloudspeicherdiensten“, Dissertation, Technischen Universität Berlin, 2016).
Vertrauen, Vertrauensgeber und Vertrauensnehmer:Vertrauen bezeichnet unter anderem die subjektive Überzeugung der Richtigkeit von Handlungen. Grundsätzlich ist Vertrauen notwendig zur Reduzierung von Komplexität und immer dann erforderlich, wenn der Nutzer mit einer ungewissen oder unsicheren Situation konfrontiert wird oder der Ausgang seiner Handlung risikobehaftet sein kann. Das „Zulassen können“ des Vertrauensgebers (Nutzer) einem Vertrauensnehmer (Unternehmen) zu vertrauen, bedeutet daher die Bereitschaft den jeweiligen Vertrauensnehmer nicht infrage stellen zu wollen und sich damit einem bestimmten Risiko auszusetzen. Insbesondere bei IT-Lösungen ist ein wichtiger Aspekt, dass Vertrauen beim Nutzer in erster Linie aufgrund der Vertrauenswürdigkeit eines Unternehmens und/oder deren IT-Lösungen entstehen kann – also dadurch, dass Unternehmen als Vertrauensnehmer mit verschiedenen Maßnahmen eine Vertrauensgrundlage schaffen.
Institutionelles Vertrauen: Eine Grundvoraussetzung dafür, dass Menschen IT-Lösungen nutzen, ist das Versprechen eines Mehrwerts. Das bedeutet im Umkehrschluss, wenn für die Nutzer kein Wertzuwachs durch deren Einsatz entsteht, sind sie kritischer in ihrer Beurteilung und dadurch weniger bereit, sich auf das jeweilige Produkt per se zu verlassen. Darüber hinaus müssen Unternehmen weitere Maßnahmen ergreifen, um Nutzer in die Lage zu versetzen, ihre grundsätzliche Vertrauensfähigkeit auf IT-Lösungen zu extendieren. Das kann ermöglicht werden, indem es gelingt, interpersonales Vertrauen – also das Vertrauensverhältnis, das aufgrund bestimmter eigener Kriterien zwischen Menschen entsteht – auf IT-Lösungen zu übertragen. Dabei ist es wichtig zu beachten, dass im Verhältnis zwischen zwei Personen Vertrauen aufgrund der Fähigkeit zur Empathie aufgebaut wird und die individuell relevanten Kriterien direkt nachprüfbar sind. Diese Option ist in Bezug auf IT-Lösungen nicht gegeben, allein unter dem Aspekt, dass sich deren Verhalten beziehungsweise Funktionsweise nicht unbedingt nachprüfen lässt. Das institutionelle Vertrauen ist das Ergebnis der Transferleistung, also inwieweit Nutzer fähig und auch dazu bereit sind, ihr Vertrauen auf Institutionen wie etwa Unternehmen zu übertragen. Dieses Vertrauen kann in erster Linie durch das Unternehmen selbst, über die IT-Lösung sowie auch über die Vertrauenswürdigkeit der Domäne (positiv) beeinflusst werden.
Wahrgenommene Vertrauenswürdigkeit: Vertrauenswürdigkeit basiert auf der Annahme, dass es möglich ist, sich auf etwas Bestimmtes verlassen zu können. Im Regelfall beruht die wahrgenommene Vertrauenswürdigkeit auf offensichtlichen Funktionalitäten der IT-Lösung und Maßnahmen des Unternehmens, die dem Nutzer als Vertrauensgeber entweder aufgrund des ersten Eindrucks oder aus eigener Erfahrung oder über Dritte bekannt sind. Daran wird deutlich, dass es für Unternehmen zunehmend wichtig wird, eine Vertrauensgrundlage zu schaffen, indem sie relevante Aspekte der Vertrauenswürdigkeit sowohl für die IT-Lösung als auch das Unternehmen explizit darstellen, damit die Nutzer Vertrauen aufbauen können.
Vertrauensfähigkeit: Grundsätzlich ermöglicht diese Personen oder auch Unternehmen zu vertrauen beziehungsweise ihnen etwas zuzutrauen. Basierend auf der individuellen Prägung eines Menschen oder dessen Vorerfahrung ist die Fähigkeit dazu unterschiedlich dominant. In diesem Sinne hat die wahrgenommene Vertrauenswürdigkeit einen Einfluss auf die Vertrauensfähigkeit des Nutzers und kann sich positiv auf diese auswirken.
Unternehmen: Sind Hersteller oder Anbieter von IT-/Sicherheits-Technologien, -Produkten oder -Diensten, die auch als IT-Lösungen zusammengefasst werden.
Nutzer: Darunter sind im Allgemeinen alle Nutzer von IT-/Sicherheits-Technologien, -Produkten oder -Diensten subsumiert, also auch Anwenderunternehmen.
Im Folgenden werden die wichtigsten Aspekte der Vertrauenswürdigkeit beschrieben und konkrete Beispiele dargestellt.
Vertrauenswürdigkeit der IT-Lösung
In diesem Abschnitt wird aufgezeigt, welche Aspekte der wahrgenommenen Vertrauenswürdigkeit zu beachten sind, damit der Nutzer Vertrauen zur IT-Lösungen aufzubauen kann.
Aspekt: Transparenz einer IT-Lösung
Die Bereitschaft zur Transparenz zeigt sich in erster Linie darin, dass ein Unternehmen die Bedürfnisse der Nutzer ernst nimmt und bereit ist offen zu kommunizieren – also alle relevanten Maßnahmen ergreift, um sie beim Aufbau von Vertrauen zu unterstützen. Dies bedeutet jedoch keinesfalls, jedes Detail der IT-Lösung oder alle damit einhergehenden geschäftlichen Aktivitäten preisgeben zu müssen. Sondern, dass alle relevanten Informationen zur Verfügung gestellt werden, die für den Nutzer erforderlich sind, um im gegebenen Kontext eine valide Entscheidung über die Vertrauenswürdigkeit der IT-Lösung treffen zu können. Insgesamt fällt der Informationsqualität somit eine entscheidende Rolle zu – sie sollte partizipativ und besonders ausgewogen sein, also die Interessen aller Parteien gleichermaßen berücksichtigen.
In der Vergangenheit war diese Form der Kommunikation nicht erforderlich. Aufgrund des mittlerweile hohen Komplexitätsgrads ist es jedoch unumgänglich so zu agieren, um das Vertrauen zu stärken und über die daraus entstehende Akzeptanz die Bereitschaft zur Nutzung zu erhöhen. Hier zeigt sich die Wechselwirkung zwischen Vertrauen und Vertrauenswürdigkeit: Ein Unternehmen ist auf die Akzeptanz der Nutzer angewiesen. Andererseits ist es für den Nutzer – aufgrund der zunehmend intelligenten Angriffe und komplexeren Cyber-Sicherheitsmechanismen – zunehmend wichtiger, dass seine Cyber-Sicherheitsbedürfnisse auch angemessen durch die IT-Lösung befriedigt werden.
Beipackzettel-Cyber-Sicherheit: Eine Möglichkeit der Transparenz ist zum Beispiel die Bereitstellung eines Beipackzettels, in dem beschrieben wird, wie mithilfe von Cyber-Sicherheitsmechanismen in der IT-Lösung dafür gesorgt wird, die Wahrscheinlichkeit der verschiedenen Angriffe zu reduzieren. Wichtig ist zudem aufzuzeigen, welche Restrisiken bestehen und wie der Nutzer damit umgehen kann.
Darstellung von Zertifikaten: Ein weiterer wichtiger Aspekt der Transparenz ist die Zurverfügungstellung von vorhandenen Zertifikaten und die dazugehörigen Berichte, die es für die IT-Lösung gibt. Damit ist der Nutzer in der Lage festzustellen, welche Aspekte in welcher Tiefe von Cyber-Sicherheitsexperten der Zertifizierungsstellen analysiert und bewertet worden sind.
Aspekt: Leistungsfähigkeit einer IT-Lösung
Die Leistungsfähigkeit einer IT-Lösung ist das, was der Nutzer unmittelbar erfassen und auch kontrollieren kann. Daher ergeben sich daraus die messbaren Kriterien für dessen Beurteilung, inwieweit er sich bei der Erreichung des beabsichtigten Einsatzzwecks unterstützt fühlt und wie gut die IT-Lösung tatsächlich dafür geeignet ist. Als Bewertungsmaßstab sind hier unter anderem Zuverlässigkeit und Berechenbarkeit zu nennen. Von hoher Relevanz ist dabei auch, dass sich in der Leistungsfähigkeit der IT-Lösung die Kompetenz des Unternehmens dokumentiert. Denn letztendlich entsteht mangelnde Leistungsfähigkeit durch Fehler im Kompetenz- oder Strategiebereich. Daran zeigt sich somit sowohl die Verbindung als auch Wechselwirkung zwischen der Vertrauenswürdigkeit der IT-Lösung und dem Unternehmen.
Als Bewertungsmaßstab kann einem Nutzer unter anderem die Bedienbarkeit oder die Leistungsfähigkeit der Cyber-Sicherheitsmechanismen dienen.
Bedienbarkeit: Sind Cyber-Sicherheitsmechanismen und -Management für den Nutzer einfach oder sogar intuitiv zu bedienen. Beschreiben, dass sich z.B. die IT-Lösung in 5 Minuten sicher und vertrauenswürdig einrichten lässt.
Leistungsfähigkeit der Cyber-Sicherheitsmechanismen: Wie stark verringert sich die Leistungsfähigkeit der IT-Lösung, zum Beispiel durch Verschlüsselung der Daten. Aufzeigen, dass es für den Nutzer nicht spürbar ist. Oder wie lange benötigt ein Angriffserkennungssystem von dem Erkennen eines Angriffs bis zur Reaktion, zum Beispiel dem Versenden eines Alarms oder einer automatischen Reaktion darauf. Darstellen, dass es schnell genug ist, um Schäden zu verhindern oder zu minimieren und welche Voraussetzungen zu schaffen sind.
Aspekt: Zweckprägnanz einer IT-Lösung
Die Zweckprägnanz manifestiert sich im Verwendungszweck der IT-Lösung. Für Unternehmen bedeutet dies, dass bei der Entwicklung Funktion und Intention der IT-Lösung zielgenau definiert sind. Daraus resultierend sollte in der Konsequenz der Einsatzzweck der IT-Lösung für den Nutzer klar offensichtlich sein. Aus diesem Grund gilt es darauf zu achten, dass der Zweck der IT-Lösung – auch durch den Einsatz charakteristischer Eigenschaften – leicht und unmittelbar erfasst werden kann. Im Umkehrschluss bedeutet dies jedoch keinesfalls, dass mit der Zweckprägnanz eine geringe Funktionalität einhergehen muss. Des Weiteren ist es notwendig, jede relevante Änderung oder Erweiterung der IT-Lösung offen darzulegen – vor allem dann, wenn dadurch der originäre Verwendungszweck nicht mehr eindeutig erkennbar ist.
Bietet eine IT-Lösung neben der eigentlichen Anwendung weitere Funktionen an, die nur im Sinn des Unternehmens oder dritter Parteien sind, müssen auch diese klar dargestellt und beschrieben werden. Beispiele dafür sind:
Geschäftsmodell: Mithilfe des Geschäftsmodells „Bezahlen mit persönlichen Daten“ kann der Hersteller sensitive Daten der Nutzer sammeln und diese für individualisierte Werbung nutzen und/oder lukrativ an Dritte verkaufen. Die Intention des Unternehmens muss klar ersichtlich, also transparent dargestellt werden.
Neue Features: Das neue Erkennungssystem – Client Side Scanning (CSS) – von Apple, mit dem Daten auf dem iPhone nach kinderpornografischem Material anlasslos durchsucht werden sollen, hat zwar einen hohen gesellschaftlichen Wert stellt aber für den Nutzer ein Risiko im Sinne seiner Privatsphäre dar, allein aus dem Grund, da der Abgleich auf dem Endgerät stattfindet. Zudem ist es hierüber auch prinzipiell möglich, beliebig nach anderen Inhalten zu suchen. Neue Features sollten immer der Zweckprägnanz entsprechen. CSS hat nichts mehr mit dem eigentlichen Zweck eines Smartphones mit seinen Apps zu tun.
Vertrauenswürdigkeit des Unternehmens
In diesem Abschnitt wird aufgezeigt, welche Aspekte der wahrgenommenen Vertrauenswürdigkeit für Unternehmen eine besondere Rolle spielen, um Vertrauen bei den Nutzern aufzubauen.
Bei der Entscheidung zur Nutzung neuer IT-Technologien sind nicht ausschließlich die Aspekte der jeweiligen IT-Lösung ausschlaggebend. Im Gegenteil – die Reputation des Unternehmens spielt hierbei ebenfalls eine wichtige Rolle. Da sich aktuell zeigt, dass ein Vertrauen in IT-Technologien, -Anwendungen und -Dienste prinzipiell (noch) nicht uneingeschränkt gerechtfertigt ist, sind die Unternehmen gefordert weitere Bedingungen zu erfüllen, um den Grad ihrer Vertrauenswürdigkeit zu steigern. Hierzu müssen sowohl Hersteller als auch Diensteanbieter ihre Strategie nach außen sichtbar machen, um die Basis für den Aufbau von Vertrauen bei den Nutzern zu schaffen.
In der Umsetzung bedeutet dies, ihr Handeln an den definierten Kriterien Zutrauen, Zuverlässigkeit, Integrität und Sicherheit auszurichten. Maßgeblich für die Definition ist dabei, dass die unternehmensspezifische Vertrauenswürdigkeit rational bewertbar gestaltet wird, um dem Nutzer die Möglichkeit zu geben, die entsprechenden Parameter schnell und einfach beurteilen zu können.
Aspekt: Zutrauen in ein Unternehmen
Zutrauen ist ein relevantes Kriterium für die Vertrauenswürdigkeit. Generell kann dieses im Hinblick auf die Funktionalität dadurch erzeugt werden, dass Unternehmen sowohl über die Fähigkeit als auch über die entsprechenden Mittel verfügen, um verlässliche sowie sichere Technologie, respektive Dienste und Anwendungen, bereitzustellen.
Wichtig hierbei ist eine Strategie zu entwerfen, um dieses Kriterium sowohl zu erfüllen als auch in einer Zutrauens-Leitlinie dokumentieren zu können. Hierzu muss unter anderem ein Konzept erstellt werden bezüglich der Parameter die zwingend erfüllt sein müssen. In diesem Kontext sind dann beispielhaft folgende Faktoren von hoher Relevanz:
Mitarbeiter: Aufzeigen der Qualifikationen der Mitarbeiter – Ausbildung (z.B. Master Internet-Sicherheit), Qualifizierung und Weiterbildung (z.B. T.I.S.P. oder CISSP ).
Qualitätsstandards: Parameter zur Entwicklung und Produktion: Beschreibung des Entwicklungsprozesses, Definition der begleitenden Qualitätssicherung inklusive Durchführung, Spezifizierung des Lebenszyklus-Managements. Betriebsmittel: Beschreibung zur Qualität und Quantität von IT-Systemen und deren Software zu Entwicklung/Betrieb der IT-Lösung.
Ausgaben für Cyber-Sicherheit: Die Ausgaben, die ein Unternehmen für Cyber-Sicherheit tätigt, sind ein weiterer Aspekt, um das Zutrauen zu beurteilen. Die Ausgaben in der Summe für die Informationstechnologie lagen 2020 in Deutschland bei 95,5 Mrd. Euro. Die Ausgaben in der Summe für die Cyber-Sicherheit lagen 2020 in Deutschland bei 5,65 Mrd. Euro. Das macht 5,9 % der Ausgaben für Cyber-Sicherheit von den Ausgaben für Informationstechnologien. Wenn also ein Unternehmen weniger als 5,9 % ausgibt, liegt es unter dem Durchschnitt und ist wahrscheinlich nicht so gut abgesichert wie die anderen. Das BSI empfiehlt Ausgaben von 15 %.
Aspekt: Zuverlässigkeit eines Unternehmens
Mit Zuverlässigkeit ist gemeint, dass IT-Technologien sowie IT-Lösungen nur die Prozesse ausführen, die seitens der Nutzer gewünscht sind, beziehungsweise die er erwartet und dies möglichst hundertprozentig verlässlich. Zuverlässigkeit impliziert somit, dass Unternehmen grundsätzlich wohlwollend sind. Das bedeutet, dass sie im besten Sinne ihrer Nutzer handeln, sich also an deren Bedürfnissen orientieren, statt ihre eigenen Interessen besonders in den Mittelpunkt zu stellen. Ein Beispiel hierfür ist, dass sie offensichtliche Schwachpunkte ihrer Nutzer nicht instrumentalisieren, um dadurch einen (finanziellen) Vorteil zu erzielen und es somit unterlassen, ihnen Schaden zuzufügen. Dies wäre im Rückschluss möglich, indem die Schwäche eines Kunden für Sonderangebote ausgenutzt wird: Dem Nutzer werden regelmäßig veraltete Anti-Malware-Produkte zum stark vergünstigten Preis angeboten, die nicht mehr dem Stand der Technik genügen und daher keinen angemessenen Schutz gegen aktuelle Angriffe bieten.
Kein Unternehmen ist perfekt, daher bedingt Zuverlässigkeit auch die Bereitschaft zur Weiterentwicklung. Um momentan noch bestehende Defizite zu kompensieren, müssen Hersteller daher Mechanismen integrieren, mittels derer sie proaktiv den Grad ihrer Zuverlässigkeit beständig optimieren können und im Weiteren dann diese Entwicklungsschritte adäquat darstellen. Ein Idealzustand ist dann erreicht, wenn das Nutzervertrauen kongruent der faktischen Zuverlässigkeit des Unternehmens respektive der IT-Lösung entspricht. Dies bedeutet im Umkehrschluss, dass Unternehmen ihre Vertrauenswürdigkeit riskieren oder verlieren, wenn deren Handeln nicht mit ihrer Außendarstellung übereinstimmt.
Wie müssen Unternehmen hier zukünftig agieren – was sollte in deren Zuverlässigkeitsmanagement einfließen? Nachfolgend einige Faktoren die dabei von Relevanz sind:
Kooperativ handeln, um die wahren Bedürfnisse der Nutzer besser identifizieren zu können und bei Problemstellungen den Nutzer individuell zu unterstützen. Die Übernahme einer Gesamtverantwortung im Schadensfall oder Rückrufaktionen bei identifizierten Problemen sind Beispiele für ein kooperatives Handeln. Das bedeutet, Hersteller müssen – wenn möglich auf direktem Weg – ihre Nutzer bei Erkennen von gravierenden Schwachstellen umgehend informieren. Wird diese Information zuerst von anderen Quellen zum Beispiel über soziale Medien veröffentlicht, mindert dies die Vertrauenswürdigkeit der Hersteller.
Verantwortlich handeln, um durch den richtigen Einsatz von Funktionen – die zum Vorteil der Nutzer sind – für diese einen Mehrwert zu schaffen. Aber auch die Überprüfung und kontinuierliche Kontrolle der Lieferketten unter den verschiedensten Aspekten sowie das Ergreifen aller Maßnahmen, um Betrugsprävention durchzuführen gehören zum verantwortlichen Handeln. Das bedeutet zum Beispiel, Hersteller müssen alles tun, um Supply-Chain-Angriffe zu verhindern, etwa durch Überprüfung der Lieferanten und/oder auch der Kontrolle der Inhalte sowie der Software des jeweiligen Lieferanten. Speziell hier und ebenso in vergleichbaren Konstellationen kann Vertrauenswürdigkeit nur durch Übernahme einer Gesamtverantwortung aufgebaut werden.
Aspekt: Integrität eines Unternehmens
Integrität zeigt sich darin, dass seitens der Hersteller und Diensteanbieter alle Faktoren berücksichtigt werden, die jeweils die relevanten Aspekte der Vertrauenswürdigkeit beinhalten und hier insbesondere die ethischen Dimensionen beachtet. Das bedeutet, dass ein Hersteller als Vertrauensnehmer prinzipiell in der Lage ist alle Versprechen, die er abgegeben hat, überhaupt einhalten zu können und auch tatsächlich einhält sowie generell dazu bereit ist, sowohl Normen als auch Werte der Gesellschaft zu berücksichtigen.
Insbesondere die ethische Ausrichtung von Unternehmen wird zukünftig noch stärker auf dem Prüfstand stehen. Dies lässt sich anhand verschiedener Studien belegen: zum Beispiel dadurch, dass 93 Prozent der Nutzer in Deutschland einen ethisch vertretbaren Einsatz von IT-Technologie fordern. Daher sollte Wahrhaftigkeit in allen geschäftlichen Aktivitäten konsequenterweise zu einem Muss deklariert werden. Eine eindimensionale rein technisch-orientierte Denkweise, ohne Berücksichtigung ethischer Aspekte und Werte wird zunehmend weniger – oder sogar nur kurzfristig – rentabel sein, da das Verhalten der Nutzer volatil ist und sie sich schnell durch negative Ereignisse oder Posts beeinflussen lassen. Aber auch dem Aspekt, dass das Potenzial zur Vertrauensfähigkeit bei den Nutzern unterschiedlich stark ausgeprägt und somit die Grundhaltung relativ schwer kalkulierbar ist fällt in diesem Zusammenhang eine wichtige Bedeutung zu.
Daher gilt es für Unternehmen – als einer der wichtigsten Schritte – hier eine Integritäts-Maxime zu entwerfen, mit klaren Bekenntnissen zu ihrem Geschäftsmodell und im Weiteren den unternehmensspezifischen Aspekten. Dazu gehört definitiv, die ethischen Anforderungen klar zu adressieren. Einige ethische Anforderungen werden nachfolgend exemplarisch vorgestellt:
Schutz der Privatsphäre: Diese Forderung beinhaltet zum einen den guten Umgang mit Kundendaten, etwa sofortige Löschung, wenn diese nicht mehr benötigt werden und auch, diese Daten durch Verschlüsselung zu schützen sowie zum anderen das Versprechen, die Daten der Nutzer nicht für weitere wirtschaftliche Zwecke zu verwerten.
Rechenschaftspflicht: Mit der Rechenschaftspflicht wird unter anderem auf die Nachprüfbarkeit der Qualität von IT-Lösungen abgehoben. Zudem sollte für Unternehmen die Überprüfung eingesetzter Technologien, inklusive entsprechender Offenlegung von eventuell negativen Auswirkungen auf die Gesellschaft, obligatorisch sein.
Keine eingeschränkte Cyber-Sicherheit: Die Hersteller und Anbieter müssen sich dazu verpflichten, dass die genutzten Cyber-Sicherheitsmechanismen keine geschwächten Verschlüsselungen, Zufallszahlengeneratoren oder weitere Kryptografie-Verfahren verwenden sowie sichere Schlüssel nutzen. Ebenso ist sicherzustellen, dass keine Backdoors in den Cyber-Sicherheitslösungen eingebaut sind. In der Darstellung zum Nutzer hin können Hersteller dies zum Beispiel mithilfe des Vertrauenszeichen „IT Security made in Germany“ deklarieren.
Aspekt: Sicherheit des Unternehmens
Das Anerkennen der Bedeutung von Cyber-Sicherheit sowie deren Umsetzunggewährleistet, dass Technologien, respektive Dienste und Anwendungen, im Internet risikoarm zu nutzen sind. Dieser Anspruch ist jedoch (noch) eine Fiktion da unter anderem Ransomware, DDoS– oder Phishing-Angriffe heute an der Tagesordnung sind. Alltäglich genutzte Dienste, wie etwa E-Mail-Programme, Online-Banking oder Online-Shops, bieten bei weitem nicht den Level an Vertrauenswürdigkeit der notwendig ist, um damit kritische Geschäftsprozesse sicher abwickeln zu können.
Daher benötigen Unternehmen eine adäquate und ausformulierte IT-Sicherheits-Richtlinie, um im Sinne der Kunden den bestmöglichen Schutz gewährleisten zu können. Die kontinuierliche Umsetzung gemäß aktueller Sicherheitsanforderungen ist notwendig, da Nutzer im Allgemeinen nicht dazu in der Lage sind, sich angemessen zu schützen. Unter anderem haben die folgenden Faktoren im Kontext der Sicherheit eine hohe Relevanz:
Darstellung der verwendeten Cyber-Sicherheitsmaßnahmen: Hier sollten die Hersteller aufzeigen, was sie tun, um die jeweilige IT-Lösung und ihr Unternehmen vor Cyber-Sicherheitsrisiken zu schützen. Anders als beim „Beipackzettel Cyber-Sicherheit“ können Beschreibungen und Hintergrundinformationen hier detaillierter dargestellt werden.
Zertifizierung der IT-Lösung: Die Zertifizierung von Qualität und Vertrauenswürdigkeit der IT-Lösungen muss durch qualifizierte unabhängige Organisationen erfolgen, die nach definierten Kriterien überprüfen und testieren. Kriterien ergeben sich zum Beispiel aus den Bereichen IT-Sicherheit, Datenschutz und den Entwicklungs- und Qualitätssicherungsprozessen. Die Zertifizierung der IT-Lösung aber auch des Unternehmens ist eine wichtige Maßnahme zur Vertrauensbildung.
Regelmäßige Überprüfung der Produkte und des Unternehmens: Das Ziel hierbei ist, Schwachstellen aktiv und kontinuierlich mithilfe von Penetrationstests und Red-Teams zu identifizieren, damit diese so schnell wie möglich durch Updates eliminiert – und dadurch nicht für Angriffe verwendet – werden können. Dies gilt sowohl für die angebotenen IT-Lösungen als auch für die Unternehmen und deren Zulieferer. Dadurch lässt sich ein – für den Nutzer jederzeit nachweisbares – hohes Sicherheitsniveau des Entwicklungsprozesses erreichen. Bug Bounty Programm: Die zentrale Idee von Bug Bounty-Programmen ist, die Hacker-Community, Wissenschaftler oder weitere Akteure mit finanziellen Anreizen zu animieren, Schwachstellen in den IT-Lösungen der jeweiligen Unternehmen aufzufinden. Dadurch wird es möglich, Schwachstellen möglichst zeitnah zu beheben, bevor kriminelle Organisationen sie nutzen können.
Cyber-Sicherheitsstrategie: Eine Cyber-Sicherheitsstrategie ist ein längerfristig ausgerichtetes, planvolles Vorgehen mit dem Ziel, die vorhandenen Risiken eines Angriffs auf digitale Werte des Unternehmens so gering wie möglich zu halten. Vorstellen, wie mit Vermeiden und Entgegenwirken von IT-Angriffen die vorhandenen Risiken reduziert sowie mit Erkennen von und Reaktion auf IT-Angriffe die verbleibenden Risiken gehändelt werden. Da deren Darstellung die Vertrauenswürdigkeit eines Unternehmens erhöht, sollte die prinzipielle Strategie auch nach außen kommuniziert werden.
Vertrauenswürdigkeit von Domänen
In diesem Abschnitt wird die Vertrauenswürdigkeit von Domänen behandelt, die sich auf die Domäne Cyber-Sicherheit bezieht.
Für Unternehmen ist es prinzipiell von Vorteil unabhängig zu agieren, um auf Basis einer hohen Nutzer-Orientierung Wettbewerbsvorteile generieren zu können. Doch oftmals ist es nicht einfach oder sogar unmöglich, eine Vorreiterrolle einzunehmen und dadurch den Markt zu gestalten. Denn oftmals kann über die Vertrauenswürdigkeit eines einzelnen Unternehmens nicht ein generelles Vertrauen etwa in einen innovativen Ansatz grundsätzlicher IT-Lösungen geschaffen werden.
Daher ist es für Unternehmen notwendig in die Vertrauenswürdigkeit von Domänen zu investieren. Mit anderen Worten: teilweise kann es von Vorteil sein kollaborativ mit anderen Herstellern Werte zu kreieren oder Wertevorstellungen umzusetzen, um die gesamte Branche respektive Domäne zu entwickeln und so im Weiteren die erfolgreiche Einführung von neuen Geschäftsmodellen oder Technologien zu gewährleisten.
Im Prinzip gibt es mehrere Optionen, um eine Vertrauenswürdigkeit für (neue) Technologien und IT-Lösungen zu schaffen. Nachfolgend einige Beispiele in Bezug auf Domänen:
Schaffung von Rahmenbedienungen: Der Staat schafft die Randbedingungen, indem Domänen-spezifisch vorgegeben wird, wie Unternehmen den Einsatz der Technologie und IT-Lösungen zu gestalten haben. Ein Beispiel dafür ist das IT-Sicherheitsgesetz, in dem die Rahmenbedingungen für die Sicherheit von Kritischen Infrastrukturen definiert sind. Weitere Gesetze: Datenschutz-Grundverordnung – DSGVO und eIDAS.
Motivierung von Ökosystemen: Ein Beispiel in diesem Bereich stellt Self-Sovereign Identity (SSI) dar. Mit SSI soll die Basis eines europäisches Ökosystems zur Ausgabe und Verifizierung digitaler Identitäten sowie Nachweisen aufgebaut werden. Darüber ließen sich relevante Ziele verwirklichen: unter anderem der Schutz der Privatsphäre. Denn darüber könnten Nutzer zukünftig selbstbestimmt entscheiden, welcher Anwendung sie wann ihre digitalen Identitätsdaten und weitere Nachweise zur Verfügung stellen. Letztendlich führt der souveräne Umgang mit den eigenen Daten auch dazu, dass die Abhängigkeit von einzelnen monopolierten Anbietern minimiert wird, womit das Ziel einer unabhängigen schnelleren Digitalisierung gefördert wird. Ein weiterer Vorteil: Überholte Geschäftsmodelle ließen sich so durchgängig ablösen, zum Beispiel „Unfreiwillig Bezahlen mit den eigenen Daten.
Ein weiteres Beispiel stellt das Industriekonsortium GAIA-X dar. Nicht nur für neue IT-Technologien kann es relevant sein eine Vertrauenswürdigkeit zu etablieren – auch bei bereits eingeführten ist es teilweise notwendig werteorientiert Standards neu zu definieren und damit zu erhöhen. Aufgrund der Intention von GAIA-X soll den Nutzern garantiert werden, dass die eingesetzten IT-Lösungen europäisches Recht einhalten und Datenportabilität, werthöchste Kriterien der IT-Sicherheit sowie eine klare Transparenz rund um die Datenverwendung gewährleisten. Darüber ist es letztendlich möglich, eine verstärkte Speicherung von Daten in Europa zu forcieren.
Allerdings ist es nicht immer im Sinne des Staats oder von Konsortien die Vertrauenswürdigkeit als wichtigstes Kriterium anzuerkennen. So werden teilweise Maßnahmen ergriffen, die hier eher kontraproduktiv sind und zu einer Schwächung der Domäne führen.
Etablierung eines gemeinsamen Gütesiegels: Gütesiegel helfen den Unternehmen, ihre Vertrauenswürdigkeit darzustellen. Ein Beispiel für ein Gütesiegel ist „IT Security – Made in Germany“ des Bundesverband IT-Sicherheit – TeleTrusT. Die Unternehmen dokumentieren zum Beispiel damit, dass ihre Produkte und Dienstleistungen den strengen deutschen sowie europäischen Datenschutzgesetzen genügen und keine Hintertüren für Geheimdienste enthalten.
Schutzmechanismen des Staats: Ein Negativ-Beispiel ist die Anwendung des Bundestrojaners. Dessen Einsatz schwächt die Cyber-Sicherheit von Bürgern und Unternehmen, weil das Wissen über bestimmte Sicherheitslücken nicht an die Hersteller weitergegeben, sondern für den Bundestrojaner genutzt wird.
Zusammenfassung – Vertrauenswürdigkeit
Das Vertrauenswürdigkeitsmodell stellt sehr gut dar, auf welchen Ebenen es Unternehmen möglich ist – durch entsprechendes Handeln und Bereitstellung von Informationen – ihre wahrgenommene Vertrauenswürdigkeit zu erhöhen. Je höher die Vertrauenswürdigkeit des Unternehmens – was implizit auch bedeutet, dass alle Aspekte der Vertrauenswürdigkeit für IT-Lösungen umgesetzt werden – desto eher kann Vertrauen bei den Nutzern entstehen. Dieses ist notwendig, um eine Akzeptanz für die jeweils angebotene IT-Lösung zu erreichen. Hinzu kommt, dass auch die wahrgenommene Vertrauenswürdigkeit einer Domäne, zum Beispiel der Domäne „Cyber-Sicherheit“, ein wichtiger Aspekt für den Aufbau des Vertrauens der Nutzer ist.
