Das Recht auf digitale Souveränität ist universell gültig. In der Praxis wird es jedoch vielfach untergraben und scheitert oft aus vermeintlich simplen Gründen. Wie zum Beispiel an der Antwort auf die Frage: Wer ist eigentlich mein digitales Gegenüber?
Bei der Diskussion über die Voraussetzungen für die Souveränität im Umgang mit digitalen Services für jeden einzelnen Nutzer werden üblicherweise drei elementare Punkte genannt: Open Source als Grundlage der Software-Entwicklung, flexible Bereitstellungsmodelle für Applikationen und nutzerfreundliche Verschlüsselungsmechanismen. Die freien Quellcodes von Open Source als Basistechnologie für die Software-Entwicklung sind der Gegenentwurf zu dem hermetischen Prinzip von Closed Source. Open Source reduziert die Abhängigkeiten von proprietären Plattformen mit ihrer begrenzten Durchlässigkeit und Interoperabilität, die von ihren Verfechtern gerne euphemistisch als „Ökosystem“ bezeichnet werden, letztlich aber auf Abschottung und Ausgrenzung ausgelegt sind. Gleichzeitig ist die Community-gestützte weltweite Entwicklungspower von Open Source höher als die begrenzten Fähigkeiten Unternehmens-spezifischer Teams. Davon profitieren sowohl die Innovationsgeschwindigkeit als auch die Reaktionsfähigkeit auf sich wandelnde Bedingungen und Herausforderungen, beispielsweise im Umfeld von Sicherheitsthematiken. Parallel dazu gelten variable Bereitstellungsmodelle als zweite wichtige Bedingung für digitale Souveränität. Auch hier wird vielfach versucht, Nutzer in die Abhängigkeit von exklusiven SaaS-Modellen zu führen, also Software, die ausschließlich als Service über eigene, proprietäre Plattformen zur Verfügung gestellt wird. Anwender sollten jedoch die Freiheit haben, die von ihnen genutzten Programme je nach eigenem Gutdünken entweder On-Premises auf eigenen Rechnern oder als Software-as-a-Service über den (oder die) Provider ihrer Wahl zu nutzen. Als dritter Punkt wird häufig die Bedeutung von leicht zu nutzenden Verschlüsselungstechnologien genannt. Solche kryptografischen Werkzeuge in Nutzerhand können vor Ausspähung und Datenklau schützen – oder sie den Datenabschöpfern und Cyberkriminellen zumindest erschweren.
Digitale Provenienz oder who is who?
Ein enorm wichtiges Segment beim autonomen Umgang mit der Digitalisierung wurde dagegen bis dato unterschätzt: Die Frage nach der Provenienz, also nach der Herkunft, Ursprungsoriginalität und Quellsicherheit von Daten, Informationen und Werken. Dabei ist die Antwort darauf schon seit vordigitalen Zeiten ein Spiel mit vielen Unbekannten. Typische Szenarien sind die Medienlandschaft und der Kunstmarkt, wo die Seriosität von Quellen oder die Herkunft eines Werkes schon immer eine elementare Rolle gespielt hat, oder der Bankensektor, in dem die Authentizität von Personen und Verträgen Voraussetzung für rechtssichere Geschäftsprozesse ist. Nehmen wir zur Illustrierung beispielsweise den Skandal um die vorgeblichen Hitler-Tagebücher, die spektakulären Kunstfälschungen eines Wolfgang Beltracchi oder die aktuellen Betrugswelle mit dem Enkeltrick. In jedem dieser und ähnlicher Fälle wird ein falscher Urheber vorgegaukelt, um sich mit einer gefälschten Herkunft oder Identität finanzielle Vorteile zu ergaunern. Wie diese Negativbeispiele aus dem analogen Raum zeigen, ist der Nachweis sicherer Herkunft auch die Voraussetzung für die Sicherheit vieler digitaler Interaktionen und Assets. Im digitalen Raum verschärft sich dieser Druck zur Sicherstellung der Ursprungslegitimität. Bei jeder Transaktion stellt sich die Frage: Mit wem habe ich es gerade zu tun? Ist mein Gegenüber auch tatsächlich der, als der er sich ausgibt? Eine fast schon philosophische Frage nach der Identität, die aber ganz praktischen Wert hat. Die Antwort darauf gibt die sogenannte Digital Provenance. Sie stellt sicher, dass der Urheber einer digitalen Information auch der ist, der er vorgibt zu sein.
Legitimitätsnachweis in der Blockchain
Voraussetzung für einen effizienten Einsatz von Systemen zur Prüfung der Ursprungslegitimität ist eine schnelle und einfache Handhabung. Notarielle Beglaubigungen oder externe Zertifizierungsinstanzen fallen daher aus: zu langsam, zu aufwändig und mit teilweise erheblichen Kosten verbunden. Sinnvoller ist es daher, zusätzlichen Aufwand zu vermeiden und zur Sicherstellung der Digitalen Provenienz die Blockchain-Technologie zu nutzen. Mit ihrer Hilfe arbeitet Digital Provenance unabhängig von Dienstleistern, sondern vielmehr direkt innerhalb einer Applikation quasi in Echtzeit. Sie ist als Querschnittsfunktion ausgelegt, funktioniert also unabhängig von bestimmten Anwendungen oder Programmmodulen. Typischerweise denkt man dabei zuerst an die Quellentransparenz in Kommunikationskanälen wie E-Mail, Messenger oder Chat. Täglich werden beispielsweise weltweit rund 300 Milliarden E-Mails verschickt. Das veranschaulicht den potenziellen Aufwand, der allein für die Sicherstellung der Digital Provenance innerhalb des E-Mail-Verkehrs zu betreiben ist. Möglich wird das über die Kombination von SEAL und Seal. Dahinter steckt einmal ein sogenannter Secure Electronic Authentication Layer (SEAL) für die Überprüfung der Herkunft im Backend und zum anderen ein QR-Code als Siegel (Seal) im Frontend, der wie im Falle einer E-Mail der Nachricht automatisch angefügt, und beim Empfänger wieder ausgelesen wird, um die Authentizität (oder gegebenenfalls Nicht-Authentizität) zu testieren.
Für die Nutzer sind damit weder zusätzlicher Aufwand noch zusätzliche Kosten verbunden. Sie haben aber die Gewissheit zertifizierter Herkunft ihrer Informationen und können sich so sicherer und souveräner im digitalen Raum bewegen. Über den Einsatz in Applikationen hinaus hilft eine solche Lösung auch, den sich ständig verschärfenden nationalen und internationalen Security- und Compliance-Richtlinien gerecht zu werden, die ihrerseits ja wiederum ein Teilaspekt Digitaler Souveränität sind.