Warum xlogon? - oder: "Wenn Paranoide OpenID betreiben"

Als Tom und ich im Oktober letzten Jahres in seinem Büro saßen und mögliche so genannte Single Sign On Lösungen für eine Reihe innovativer Web-Angebote besprachen, fiel unser Augenmerk unweigerlich auch auf OpenID.

Ungeachtet der damals (auch in Deutschland schon zart) aufkeimenden Euphorie über die mit OpenID verbundenen Möglichkeiten der völligen Selbstveröffentlichung, -Darstellung und -Vernetzung, war einer unser ersten Gedanken: Das ist der Datenschutz-Gau!
Nun, dieser Ansicht sind mittlerweile auch andere.

Warum in aller Welt also sollten paranoide Menschen wie wir sich selbst mit Identitäten aussatten, die im schlimmsten Fall totale Transparenz bedeuten?

Hierauf gibt es zwei Antworten:

1. Sie sollten es nicht! (Sie sollten es jedenfalls nicht müssen)
2. Weil die Erde sich dreht.

Fangen wir mit 2. an: Es ist eine Tatsache, dass das Web sich entwickelt. Wir schreiben das Jahr 2007 und das Web 2.0, und wir werden in Zukunft eine Reihe innovativer Dienste im Web finden, die unsere Art zu arbeiten und zu kommunizieren ein weiteres Mal völlig verändern werden. Menschen werden das Web nicht nur mehr benutzen, sondern sie werden sich im Web bewegen, und dort wie im richtigen Leben Rollen einnehmen und ausprägen. Wir werden unseren Facettenreichtum, der uns im alltäglichen Umgang miteinander auszeichnet und in den sozialen Bindungen, die wir pflegen, begleitet, in das Web hinein tragen. Wir werden dies unter Umständen genauso wenig wahrnehmen wie den permanenten Rollenwechsel, den wir im täglichen Leben ständig vollziehen, weil er uns hilft die vielfältigen Situationen, in denen wir uns bewegen, zu begehen. Aber wir werden es tun -- es entspricht unserem natürlichen Streben.

Die damit einhergehenden technischen Herausforderungen verlangen nach entsprechenden Lösungen -- und Eines ist klar: Dieser Fortschritt hat seinen Preis, wie jeder andere nennenswerte Fortschritt, den Menschen in der Vergangenheit erzielt haben.

Im Vergleich schneidet OpenID dabei sogar sehr gut ab:

• OpenID stellt den Menschen mit seinem Recht auf informationelle Selbstbestimmung und nicht den Dienstanbieter oder den Anbieter von Identitäten ins Zentrum.
• Die Spezifikation von OpenID ist ein transparenter Prozess, bei dem alle Karten offen liegen. Wird diese Spezifikation richtig angewendet, so hat jeder Mensch die volle Kontrolle über die von ihm veröffentlichten Informationen.
• OpenID ist dezentralisiert: Jeder kann mehrere Identitäten besitzen, sie weltweit verteilen und die mit den Identitäten verknüpften Daten an unterschiedlichen Orten aufbewahren.

OpenID lässt sich somit also auch zum Legen falscher Spuren verwenden. Entsprechende OpenID-Anonymizer existieren heute schon. Doch damit gewinnt man natürlich nicht den angestrebten Nutzen, nämlich den Verwaltungsaufwand für den User zu reduzieren.

Uns war daher von Anfang an klar, dass ein brauchbarer OpenID Provider neben den zurzeit gehypten Features eben folgendes auf jeden Fall wird leisten müssen:

• Er muss einem Nutzer, wenn der das will, mehr als eine OpenID zur Verfügung stellen können. Denn ansonsten legt sich der User auf eine ID fest und wird im Netz transparent. Mehrere IDs sind darüber hinaus derzeit die einzige Möglichkeit seine Rollen im Netz wirklich trennscharf abzubilden.

• Er muss dem Nutzer die Möglichkeit bieten, mehrere Abbilder seiner Person (so genannte Personas) verwalten zu können, denn ansonsten finden die gelebten Rollen keine Ausprägung in den persönlichen Daten für die Sites draußen im Web. Damit wäre die hinter den OpenIDs stehende Person wieder erkennbar.

• Er muss das Ganze für den User handhabbar machen. Und hier kommen wir zum springenden Punkt: Damit ein Nutzer nicht bei jedem Login wieder vor dem Problem der Zuweisung seiner Daten an eine Anwender-Site steht, muss der Nutzer seine Personas den Sites zuordnen können. Spätestens hier entsteht dann ein brisanter Datensatz beim ID-Provider.

Womit wir zu Punkt 1. kommen: Für uns war Ende letzten Jahres klar, dass OpenID in Deutschland nicht sinnvoll zum Einsatz gebracht werden kann, wenn für den Nutzer keine Klarheit darüber besteht, was mit seinen Daten passiert. Wir haben uns dann auf die Suche nach Providern in Deutschland gemacht -- und keine gefunden, die den Dienst rechtssicher hätten anbieten können.

Da eine Lösung her musste und wir das Rad keinesfalls neu erfinden wollten, gab es nur einen Weg: Das schon erfundene Rad selbst zu implementieren.

Wir haben uns damals gesagt, dass wenn wir so einen Dienst schon selbst betreiben müssen, dass wir ihn dann auch richtig konzipieren. Wir wollten unbedingt einen Dienst, den wir auch selbst benutzen, dem wir vertrauen, und über den wir mit Stolz würden sprechen können.

Und deshalb haben wir mit my.xlogon.net einen Dienst geschaffen, bei dem das deutsche Recht den Anwender schützt. Bei my.xlogon.net gibt es (soweit möglich) verständliche Nutzungsbedingungen, ein klares Bekenntnis zum Datenschutz und keine zusätzlichen Häkchen, die den Nutzer auffordern, einer zweckfremden Verwendung seiner Daten zuzustimmen -- ganz einfach, weil eine solche Verwendung nicht stattfindet und auch nicht geplant ist.

Wer also noch wesentlich paranoider ist als Tom oder ich, der hostet seine Identitäten selbst. Allen anderen sei ans Herz gelegt, sich xlogon ruhig einmal anzuschauen. Wir wissen, dass das Featureset noch nicht perfekt ist, aber wir glauben, dass wir die Prioritäten richtig setzten. Und natürlich haben wir hier auch ein offenes Ohr für Anregungen und Kritik.