SIT_Logo

Risiken minimieren,
Restrisiken angemessen verteilen

  • Autor:
  • Das Internet ist eine Plattform für Transaktionen aller Art. Es bewegt Tag für Tag große Werte. Die Zugangshürde ist niedrig. Risiken sind unter diesen Umständen unvermeidlich. Wichtig ist, diese Risiken zu erkennen, zu benennen und angemessen mit ihnen umzugehen. Das Ziel ist nicht Risikofreiheit, sondern Funktionsfähigkeit des Netzes und seiner Anwendungen.

    Dazu müssen technische Sicherungen einerseits und eine angemessene Haftungsregelung andererseits Hand in Hand gehen. Aufgabe der Technik ist es, Risiken zu verringern. Die Haftungsregelung muss dann die verbleibenden Restrisiken so verteilen, dass sie nicht nur für das Gesamtsystem vertretbar, sondern auch für jeden einzelnen Beteiligten akzeptabel sind.
    Haftungsfragen sind genauso komplex wie die Technik

    Die Verteilung von Restrisiken ist nüchtern betrachtet eine Systemeigenschaft, die per se frei gestaltet werden kann. Zu berücksichtigen sind dabei Wechsel- und Nebenwirkungen, die Fähigkeiten und Interessen aller Beteiligten, bekannte Risiken sowie unbekannte Schadenspotenziale.

    Wechselwirkungen treten vor allem zwischen Haftung und Technik auf. Hier kann und soll eine Seite Defizite der anderen kompensieren. Das gilt ausdrücklich wechselseitig. Nicht immer ist der Technik der Vorzug zu geben. Kreditkarten zum Beispiel funktionieren gut, obwohl sie an der Schnittstelle zum Nutzer auf technische Sicherheitsmaßnahmen verzichten.

    Fähigkeiten und Interessen betreffen zum einen die Bereitschaft und Fähigkeit, Risiken zu tragen oder auf eine große Zahl von Transaktionen umzulegen. Zum anderen sind technische Fähigkeiten zu berücksichtigen. So wird der einzelne Nutzer etwa im Gegensatz zu einem Unternehmen kaum ein professionelles Sicherheits- und Risikomanagement aufbauen können.

    Haftung sollte keine Glaubensfrage sein

    Schuldzuweisungen und feste Glaubenssätze führen nicht zu angemessenen Haftungsregelungen, ebenso wenig abstrakte Ziele wie Gerechtigkeit. Tatsächlich geht es um die Feinabstimmung eines komplexen soziotechnischen Systems.

    Neben den bereits genannten Faktoren ist die Art der möglichen Schäden bedeutsam. Direkte finanzielle Verluste sind recht einfach zu handhaben. Sie lassen sich leicht kompensieren, verteilen, versichern. Weitaus schwieriger ist es, Werte wie Vertraulichkeit und informationelle Selbstbestimmung zu garantieren bzw. den Marktteilnehmern geeignete Anreize dafür zu geben.

    Es gibt gute Lösungen

    Im Großen und Ganzen funktionieren unsere Systeme, andernfalls wäre das Internet als Plattform für Zahlungsverkehr, Shopping etc. nicht so erfolgreich. Der millionenfache Normalfall erfolgreicher Transaktionen ist jedoch keine Nachricht wert. Grund zur Panik gibt es also nicht. An einigen Stellen sind jedoch Nachbesserungen erforderlich, oder auch nur der Verzicht auf schlechte Lösungen.
    Schlecht sind all jene Lösungen, die einseitig einem Beteiligten sämtliche Risiken aufbürden und dabei die Leistungs- und Handlungsfähigkeit außer acht lassen. Schlecht sind ebenso auch alle Ansätze, denen eine Perfektionsillusion zugrunde liegt: die Annahme, eine bestimmte technische Komponente sei ohne Einschränkungen sicher.

    Risiken müssen transparent gemacht werden

    Nüchternes, professionelles Risikomanagement funktioniert in Unternehmen. Der Nutzer handelt und entscheidet nach Bauchgefühl. Das kann man beklagen – oder akzeptieren und berücksichtigen. Tatsächlich basiert das „Bauchgefühl“ oft auf gelernten und wiederholt erfolgreich angewandten Regeln und Heuristiken. Die lassen sich beeinflussen, aber nicht mittels formaler Belehrungen und Vertragsklauseln.

    Besser als Erläuterungen und Verträge funktionieren plastische Darstellungen. Wirkungsvoller als beispielsweise eine Datenschutzerklärung ist die Auflistung gespeicherter Daten und durch Verknüpfung gewonnener Erkenntnisse. Nicht als Zusatzfunktion, sondern als integraler Systembestandteil, dem der Nutzer im Alltag immer wieder begegnet.
    Dazu gehört weiter auch die Möglichkeit, direkt einzugreifen. Theoretische Handlungsmöglichkeiten helfen niemandem. Das ist insbesondere im Datenschutz ein Problem: Daten herzugeben ist leicht, ihre Nutzung später zu unterbinden jedoch oft schwer und umständlich.

    Risiken entwickeln sich weiter – langsam

    Mit der Technik und dem Netz entwickeln sich auch die Risiken weiter. Absehbar ist heute, dass die Grenzen im Netz weiter verschwimmen. Hatten es die Nutzer bisher noch mit Websites zu tun, die letztlich einer virtuellen Filiale ähneln, so werden sie sich in Zukunft in Mashups aus verschiedenen Diensten und in sozialen Netzen bewegen. Die klassischen Verfahren des Identitätsmanagements und der Authentisierung genügen dafür nicht mehr. Das bringt neue Risiken mit sich.

    In der Regel entwickeln sich Risiken jedoch langsam, so dass genügend Zeit bleibt für Reaktionen. So sind etwa die Grundlagen der heute aktuellen Angriffe durch Phishing und Trojanische Pferde bereits seit den 80er und 90er Jahren bekannt.


    Literatur
    [1] Ross Anderson: Liability and Computer Security: Nine Principles. URL: http://www.cl.cam.ac.uk/~rja14/Papers/liability.pdf
    [2] Bruce Schneier: Computer Security and Liability. URL: http://www.schneier.com/blog/archives/2004/11/computer_securi.html
    [3] Alma Whitten, J.D. Tygar: Why Johnny Can't Encrypt. URL: http://www.gaudior.net/alma/johnny.pdf
  • Homebanking, E-Shopping, E-Auktionen - welche Chancen für Verbraucherschutz bieten Gütesigel im Internet ? Eine Veranstaltung des Gütesiegel-Board der Initiative D21 e.V., 26. April 2007, Köln