Token-basierte (Kontakt)Datenangabe statt eMail und Telefon

Kampf den roten Sternchen!

Während inzwischen jede zweite Internetseite unsere Facebook-Identität wissen möchte, und wie fest der Stuhl heute war, vermeiden große Firmen es inzwischen auf ihrer kompletten Internetpräsenz, irgendwelche Kontaktadressen anzugeben. Weil wird ja eh nur vollgespammt, oder schlimmer, Kunde will Antwort.

Aber auch die Kommunikation untereinander wird bei jedem Anbieter einzeln abgeschirmt was das Zeug hält. Wer kennt nicht die eMail-Adressen, die beispielsweise von ebay im Namen seiner Mitglieder kommen:

irgenduser_124jn3mffd@members.ebay.de

Ein bisschen vergleichbar sind auch die wohlgehüteten Durchwahlnummern und eMail-Adressen innerhalb großer Firmen und Behörden.

Aber was bleibt uns, den sogenannten Verbrauchern? Wir kennen auf den Formularen nur die roten Sternchen: Friss oder stirb! Um aus dieser Falle raus zu kommen, brauchen wir einen großen Wurf…

Zur Notwehr im Kampf um meine informelle Selbstbestimmung setze ich seit einigen Jahren zwei ähnliche Techniken ein:

Zum einen gebe ich mir bei jedem Datensammler einen zweiten Vornamen, der ihn identifiziert: Melchior DB Blausand steht dann im Briefkuvert, Melchior TKK Blausand oder aus Bonn einfach Melchior T. Blausand. Das funktioniert sehr gut, falls mal eine dieser Kundendatenbanken leakt oder irgendeine Klitsche meine Daten vertickt.

Was eMails betrifft, bin ich von der einen Wegwerfadresse dazu übergegangen, von einem sogenannten catch all Gebrauch zu machen, der mir für jede Domain, die ich besitze, zur Verfügung steht. Ich lasse mich also über z.B._ccc@blausand.net anschreiben oder unter z.B._netcologne@blausand.net und schon weiß ich, wer mich da anschreibt. Das lässt sich dann langfristig wunderbar in whitelists und blacklists filtern. Freunde und Verwandte kann ich versorgen, indem ich für jedeN eine eigene subdomain anlege, sodass jedermensch ein eigener catch all zukommt. Trotzdem ist das keine Lösung für die Massen.

Ich bin daher der Meinung, man sollte 2016 solche Behelfstechniken endlich durch einen Standard für alle ersetzen. Naheliegenderweise habe ich mich dazu von existierenden Verfahren für die sitzungsbasierte Authentifizierung im Netz inspirieren lassen:

Tokens als individuelle "Erlaubnis" zur Kommunikation

Warum können wir nicht einfach Tokens zu unserem Postfach, unserem Telefonanschluss etc. generieren lassen? Mit einem solchen System könnten alle anderen Daten auch endlich unter unsere Kontrolle gebracht werden. Wir könnten Zugriff auf Teilmengen unserer Krankenakte definieren, unseres Personalausweises, überhaupt unserer Identität.

Nicht (nur) der Dienstanbieter definiert, was er wissen will, sondern auch wir definieren endlich genau, was wir preisgeben wollen und was nicht.

Wir erstellen also mit einer Art quelloffener Hochsicherheits-App unseren selfhosted-Ausweis, unser eines Profil, in dem wir beliebig Datenfelder definieren können und diese Anbietern zum Lesen oder Schreiben zur Verfügung stellen können, oder eben nur ein Token zu diesem Feld, d.h. der Empfänger kann das Datum nutzen, aber nicht anonym. In diesem Szenario gibt er seine Identität preis, wenn er meine Daten nutzt, z.B. mich anschreibt oder anruft. Ein solches System könnte auch für die so heiss beliebten anonymen Statistiken eingesetzt werden.

Während ich schreibe, denke ich den Gedanken weiter. Natürlich muss ein Datum für andere Zwecke immer "dekodiert" vorliegen. Größe, Gewicht, Blutgruppe, Lieferanschrift, all diese Dinge würden wir gerne von den Anbietern fernhalten. Außer den ganzen Visitenkartendruckern, Musikströmern, Freemail- und Telefonanbietern kann es auch den Reiseveranstaltern und selbst meinem Zahnarzt total wurscht sein, wie mein Klarname lautet oder ob ich männlich oder weiblich bin, und auch das genaue Geburtsdatum geht ihn eigentlich nichts an.

Sie alle könnten sich gegen Missbrauch und Betrug mit - ggf. authentifizierten - Tokens sichern, die erst im Ernstfall und auf der Seite der Strafverfolger in konkrete Identitätsakten aufgelöst werden müssen. Der Reiseveranstalter muss wissen, dass ich ein reisefreier EU-Bürger bin, der Arzt, dass ich ggw. krankenversichert bin. Mehr nicht. (Oder zumindest vielmehr nicht).

Könnte man nicht die Algorithmen, die das zugestandene Datum generieren, offenlegen und zB. clientseitig implementieren? Dann erfährt der Zahnarzt im Idealfall nur die datensparsame Ausgabe: Blutgruppe: 0+ schwanger: nein Alter: 25-30 Jahre Das reicht doch?

Jetzt kommt der Haken: Ein solches System hätte nur den Bürger als Interessengruppe. Staat und Wirtschaft würden alles tun, um eine solche Emanzipation zu vereiteln. Wenn man sich der Begeisterung der OttoNormalFaceTuber für neue Technologien bewusst ist, wird augenblicklich klar: Wir bohren hier ein verdammt dickes Brett.

Melchior blausand Tuesday 29 December 2015 at 11:42 pm | | nicht euer bier

No comments

Remember personal info?
Notify
Hide email
Small print: All html tags except <b> and <i> will be removed from your comment. You can make links by just typing the url or mail-address.