Maximilian Schönherr: Offene Identität - Sie schmeißen alle Namen und Passwörter weg und lassen vor einer treuhänderischen Instanz die Hosen runter. Thomas Reintjes, Sie haben sich damit beschäftigt. Das kann doch nicht deren Ernst sein?
Thomas Reintjes: Solche Versuche gab es ja in der Vergangenheit schon öfter. Microsofts Passport ist das prominenteste Beispiel. Aber die sind alle gescheitert unter anderem, weil die Nutzer und auch mitunter Webseitenanbieter den Diensten nicht vertraut haben. Außerdem wären sie auch sehr abhängig von dem Dienst. Wenn Microsoft dann beispielsweise beschlossen hätte, wir hören jetzt auf, Passport weiter anzubieten, dann wäre die Webseite ja nicht mehr zugänglich gewesen.
Maximilian Schönherr: Und mit OpenID wird jetzt alles besser?
Thomas Reintjes: Man muss natürlich nach wie vor seine Daten auf einem Internetserver speichern. Das ist überall so, auch bei OpenID. Doch OpenID hat den Vorteil, dass es dezentral ist. Es gibt also nicht mehr den einen Server, der einem Unternehmen gehört und auf dem meine Daten liegen, sondern es gibt ganz viele OpenID-Server. Ich kann unter Umständen sogar selber so einen Server betreiben, wenn ich das notwendige Know-how habe. Einfacher ist es natürlich, einen bestehenden Dienst zu nutzen. Den kann ich mir frei aussuchen. Ich kann mir also den Anbieter nehmen, dem ich vertraue, und sollte das einmal nicht mehr der Fall sein, dann kann ich sogar meine Identität nehmen und umziehen zu einem anderen Anbieter.
Maximilian Schönherr: Und wenn jetzt dieser Typ, bei dem ich meine Daten hinterlegen, sozusagen die Festplatten mit ins Ausland nimmt, kommt er dann an die Daten heran? Ist das denn verschlüsselt?
Thomas Reintjes: Darauf sollte man natürlich achten bei der Auswahl des Anbieters, dass der die Daten verschlüsselt. Das ist natürlich abhängig von den Anbietern, da lohnt es sich auf jeden Fall, einen Blick in die Nutzungsbedingungen und Datenschutzregelungen zu werfen. Man kann zum Beispiel auch darauf achten, dass die Daten immer SSL-verschlüsselt übertragen werden, wie man das ja auch vom Online-Banking kennt. Der Anbieter sollte ausschließen, dass die Daten an Dritte weitergegeben werden. Auch ein wichtiger Punkt wäre, wenn man seinen Account kündigt, müssen die Daten natürlich auch gelöscht werden.
Maximilian Schönherr: Wenn ich mich bei meinem E-Mail-Provider anmelde, muss ich meinen Namen und mein Passwort eingeben. Was wird mit OpenID da anders?
Thomas Reintjes: Also bei den meisten Diensten, die jetzt schon OpenID anbieten, ist es so, dass es die Maske immer noch gibt mit Benutzernamen und Passwort. Und da drunter gibt es dann eine Alternative: "Wenn Sie eine OpenID haben, dann tragen Sie diese hier ein." Man gibt also die OpenID ein und diese eine Kennung kann man für alle Dienste verwenden. Und die enthält dann einen Hinweis auf den Server, auf dem Ihre Daten liegen und Ihre Identität gespeichert ist. Der Dienst, wie etwa der E-Mailprovider leitet Sie dann zu Ihrem Identitätsprovider weiter. Und dort können sie dann auswählen, welche Daten möchte ich denn meinem E-Mailanbieter übermitteln. Also etwa mein Geburtsdatum muss der E-Mail-Anbieter eigentlich nicht wissen, das möchte ich ihm nicht übermitteln, aber meinen Vornamen und meinen Nachnamen aber beispielsweise schon. Und diese Daten werden dann übermittelt an den Dienst, den Sie nutzen möchten, und Sie sind dann direkt eingeloggt und können den Dienst nutzen.
Maximilian Schön Schönherr: Sie haben mit einem der Entwickler von OpenID gesprochen?
Thomas Reintjes: Genau. Die Frage war, es ist ja für Nutzer sehr praktisch, dass sie sich jetzt nur noch einen Benutzernamen praktisch merken müssen, aber wie ist das für Webseitenbetreiber, was ist für die der Anreiz, das überhaupt anzubieten? Die Daten sind sehr wertvoll, die sie sammeln, und jetzt liegen die auf einem externen Server. Aber David Recordon, der das entwickelt hat, sagt, auch für Webseitenbetreiber ist OpenID ein Gewinn:
"Wer OpenID auf seiner Website einbindet, öffnet sich theoretisch über Nacht für mehr als 160 Millionen neue Nutzer. Die große Hürde, ein Benutzerkonto anzulegen, wird damit niedriger. Und was die Daten angeht: Man kann ja über OpenID persönliche Daten anfordern: E-Mail-Adresse, Name oder Zeitzone. Aber die Nutzer behalten die Kontrolle darüber. Und wenn die Nutzer das Gefühl haben, dass sie die Kontrolle haben, dann sind sie sogar bereit, mehr Informationen preis zu geben, weil sie sich dann respektiert fühlen."
OpenID
Thomas Reintjes: Solche Versuche gab es ja in der Vergangenheit schon öfter. Microsofts Passport ist das prominenteste Beispiel. Aber die sind alle gescheitert unter anderem, weil die Nutzer und auch mitunter Webseitenanbieter den Diensten nicht vertraut haben. Außerdem wären sie auch sehr abhängig von dem Dienst. Wenn Microsoft dann beispielsweise beschlossen hätte, wir hören jetzt auf, Passport weiter anzubieten, dann wäre die Webseite ja nicht mehr zugänglich gewesen.
Maximilian Schönherr: Und mit OpenID wird jetzt alles besser?
Thomas Reintjes: Man muss natürlich nach wie vor seine Daten auf einem Internetserver speichern. Das ist überall so, auch bei OpenID. Doch OpenID hat den Vorteil, dass es dezentral ist. Es gibt also nicht mehr den einen Server, der einem Unternehmen gehört und auf dem meine Daten liegen, sondern es gibt ganz viele OpenID-Server. Ich kann unter Umständen sogar selber so einen Server betreiben, wenn ich das notwendige Know-how habe. Einfacher ist es natürlich, einen bestehenden Dienst zu nutzen. Den kann ich mir frei aussuchen. Ich kann mir also den Anbieter nehmen, dem ich vertraue, und sollte das einmal nicht mehr der Fall sein, dann kann ich sogar meine Identität nehmen und umziehen zu einem anderen Anbieter.
Maximilian Schönherr: Und wenn jetzt dieser Typ, bei dem ich meine Daten hinterlegen, sozusagen die Festplatten mit ins Ausland nimmt, kommt er dann an die Daten heran? Ist das denn verschlüsselt?
Thomas Reintjes: Darauf sollte man natürlich achten bei der Auswahl des Anbieters, dass der die Daten verschlüsselt. Das ist natürlich abhängig von den Anbietern, da lohnt es sich auf jeden Fall, einen Blick in die Nutzungsbedingungen und Datenschutzregelungen zu werfen. Man kann zum Beispiel auch darauf achten, dass die Daten immer SSL-verschlüsselt übertragen werden, wie man das ja auch vom Online-Banking kennt. Der Anbieter sollte ausschließen, dass die Daten an Dritte weitergegeben werden. Auch ein wichtiger Punkt wäre, wenn man seinen Account kündigt, müssen die Daten natürlich auch gelöscht werden.
Maximilian Schönherr: Wenn ich mich bei meinem E-Mail-Provider anmelde, muss ich meinen Namen und mein Passwort eingeben. Was wird mit OpenID da anders?
Thomas Reintjes: Also bei den meisten Diensten, die jetzt schon OpenID anbieten, ist es so, dass es die Maske immer noch gibt mit Benutzernamen und Passwort. Und da drunter gibt es dann eine Alternative: "Wenn Sie eine OpenID haben, dann tragen Sie diese hier ein." Man gibt also die OpenID ein und diese eine Kennung kann man für alle Dienste verwenden. Und die enthält dann einen Hinweis auf den Server, auf dem Ihre Daten liegen und Ihre Identität gespeichert ist. Der Dienst, wie etwa der E-Mailprovider leitet Sie dann zu Ihrem Identitätsprovider weiter. Und dort können sie dann auswählen, welche Daten möchte ich denn meinem E-Mailanbieter übermitteln. Also etwa mein Geburtsdatum muss der E-Mail-Anbieter eigentlich nicht wissen, das möchte ich ihm nicht übermitteln, aber meinen Vornamen und meinen Nachnamen aber beispielsweise schon. Und diese Daten werden dann übermittelt an den Dienst, den Sie nutzen möchten, und Sie sind dann direkt eingeloggt und können den Dienst nutzen.
Maximilian Schön Schönherr: Sie haben mit einem der Entwickler von OpenID gesprochen?
Thomas Reintjes: Genau. Die Frage war, es ist ja für Nutzer sehr praktisch, dass sie sich jetzt nur noch einen Benutzernamen praktisch merken müssen, aber wie ist das für Webseitenbetreiber, was ist für die der Anreiz, das überhaupt anzubieten? Die Daten sind sehr wertvoll, die sie sammeln, und jetzt liegen die auf einem externen Server. Aber David Recordon, der das entwickelt hat, sagt, auch für Webseitenbetreiber ist OpenID ein Gewinn:
"Wer OpenID auf seiner Website einbindet, öffnet sich theoretisch über Nacht für mehr als 160 Millionen neue Nutzer. Die große Hürde, ein Benutzerkonto anzulegen, wird damit niedriger. Und was die Daten angeht: Man kann ja über OpenID persönliche Daten anfordern: E-Mail-Adresse, Name oder Zeitzone. Aber die Nutzer behalten die Kontrolle darüber. Und wenn die Nutzer das Gefühl haben, dass sie die Kontrolle haben, dann sind sie sogar bereit, mehr Informationen preis zu geben, weil sie sich dann respektiert fühlen."
OpenID