94 IT-SICHERHEIT_1/2022 Daraus entsteht die eigene Referenz, selbst unter der Bedingung, dass dem Nutzer kein vollständiges Wissen über alle Abläufe vorliegt und seine Annahmen zur Beurteilung nicht voll-umfänglich sind. Also obwohl beispielsweise keinesfalls nachvollziehbar ist, welche Prozesse parallel beim Diensteanbieter stattfinden – etwa in Bezug auf die Nutzung von Daten – vertraut der Kunde dieser Anwendung und tätigt den Einkauf. Voraussetzung dafür ist, dass er der Zweckerfüllung einen hohen Stellenwert ein-räumt, weil der unmittelbare Nutzen hoch und das Risiko tolerierbar ist.Fremde emotionale ReferenzHat der Nutzer noch keine eigenen Erfahrungen mit einer IT-Lösung gemacht und ist aus diesem Grund nicht sicher, ob er mit deren Nutzung ein potenzielles Risiko eingeht, besteht die Möglich-keit, eine – aus seiner Sicht – vertrauenswür-dige Person zu befragen, ob der Gebrauch der IT-Lösung empfohlen werden kann oder eben nicht. In der Regel sind dies Personen aus dem Freundes-, Verwandtschafts-, Kollegen- oder Nachbarschaftskreis. Der Grad der positiven Er-fahrung dieser Vertrauensperson in eine speziel-le IT-Lösung oder in die Domäne beeinflusst da-bei das Level an Vertrauen beim Nutzer in diese. In gewissem Umfang können auch unabhängige Bewertungsportale eine emotionale Referenz liefern (näheres dazu unter „Neutrale Referenz“).Beurteilung der emotionalen ReferenzDie Bewertung mittels emotionaler Referenz ist für den Nutzer bis zu einem gewissen Um-fang akzeptabel. IT-Lösungen, bei denen der Nutzwert nicht unmittelbar gegeben ist und das Risiko aufgrund der zunehmenden Komplexi-tät in der Digitalisierung steigt, müssen weitere Mechanismen für die Vertrauensbildung zum Einsatz kommen.UNTERNEHMENS-REFERENZDa eine produktive Digitalisierung maßgeblich vom Vertrauen der Nutzer in die IT-Technologie und des Herstellerunternehmens abhängt, ist es essenziell, alles zu tun, um Vertrauenswür-digkeit verbindlich als Teil der Unternehmens-kultur zu etablieren und dies entsprechend publik zu machen. Diese Forderung beinhaltet zwei Gesichtspunkte: Einerseits gilt sie in Bezug auf die Bereitstellung von IT-Lösungen sowie andererseits im Sinne der Erbringung einer umfassenden Dokumentation aller Vertrauens-würdigkeitsaspekte des Unternehmens und der IT-Lösungen, die ergriffen werden, damit die Menschen eine IT-Lösung aufgrund der wahrge-nommenen Vertrauenswürdigkeit souverän und sicher anwenden können.[1] Insbesondere das zweite Kriterium ermöglicht es, eine informier-te Entscheidung im Hinblick auf die Nutzung zu treffen, auch wenn diese nicht durch eine emoti-onale Referenz verifiziert wurde. NEUTRALE REFERENZDie Bereitschaft grundsätzlich zu vertrauen kann durch verschiedene Faktoren beeinflusst wer-den. Etwa, wenn es nicht möglich ist, die Ent-scheidung auf eine emotionale Referenz zu tref-fen, weil es sich um eine innovative Anwendung handelt oder ein neuartiges Geschäftsmodell zugrunde liegt – beispielsweise eins, bei dem der Kunde mit der Offenlegung seiner persönli-chen Daten Geld verdienen kann. In diesem Fall muss das Vertrauen auf andere Weise gebildet werden. Dies ist besonders relevant, wenn für den Nutzer das Risiko nicht einschätzbar ist oder es ihm instinktiv zu hoch erscheint. In dem Fall benötigt er eine Instanz, die ihm Hilfestellung bietet. Eine solche Hilfe könnte etwa eine Refe-renz sein, die bestätigt, dass eine Anwendung oder ein Dienst in erwarteter Weise den beab-sichtigten Zweck erfüllt.Damit diese Instanz von den Nutzern als ver-trauenswürdig bewertet wird, ist es notwendig, dass sich neutrale Institutionen oder Organi-sationen dafür verantwortlich zeichnen, die hier relevanten Informationen zu selektieren und bereitzustellen. Das bedeutet entspre-chend, dass diese Referenzsysteme weder von Unternehmen initiiert sein dürfen, noch dass ihnen die Verantwortung dafür obliegen darf. Zur bestmöglichen Umsetzung eignen sich ver-schiedene Mechanismen.ReputationssystemeAufgrund der gestiegenen Komplexität der IT-Technologie fällt einem Reputationssystem eine wesentliche Rolle insbesondere bei der Einschätzung künftiger IT-Lösungen zu – vor allem in Bezug auf solche, die nur unvollständig beziehungsweise noch gar nicht erfasst werden (können). Die grundsätzliche Idee hierfür ist AUS FORSCHUNG UND TECHNIKnicht neu, denn die Möglichkeit, Rezensionen bezüglich eigener Nutzererfahrungen abzu-geben, wird von vielen Diensteanbietern oder Herstellern bereits offeriert – sie ist somit also bekannt und bestens etabliert. Daher kann diese Methodik als Ausgangsbasis für ein Reputati-onssystem dienen.[2]Das gilt allerdings nur unter Berücksichtigung von zwei wesentlichen Aspekten, die unbedingt für den Aufbau einer Vertrauensgrundlage ein-zuhalten sind: Zum einen bedarf es hier der ab-soluten Unabhängigkeit, zum anderen muss ein Reputationssystem mehreren Anforderungen gerecht werden und sich klar von den bislang gängigen Rezensionssystemen abgrenzen. Denn die dort gemachten Bewertungen können rein subjektiv ausfallen, weil sie nicht auf absoluten Kriterien basieren, sondern durch individuelle Präferenzen einzelner Nutzer (teilweise stark) beeinflusst werden. Eine essenzielle Bedingung, die autarke Reputationssysteme erfüllen müs-sen, ist somit, Nutzer dabei zu unterstützen, ihr Vertrauen auf objektivierten Kriterien aufbau-en zu können, damit sie in der Lage sind, ihre Risikoabschätzung zu versachlichen und darüber dann zu konkretisieren.Welche Informationen könnten für diese Ent-scheidungsfindung relevant sein? Eine neutrale Angabe, die hier verzeichnet werden müsste, wäre zum Beispiel, auf welche Daten ein Dienst zugreift und zu welchem Zweck diese Daten verwendet werden, zusätzlich angereichert mit Erfahrungswerten von Nutzern aus der Praxis. Eine sachliche Aussage könnte zudem die Aus-kunft darüber sein, dass eine IT-Lösung aus-schließlich mit den persönlichen Daten der Kun-den Gewinne erzielt. Realistischerweise werden diese Informationen seitens der Unternehmen nicht ohne Weiteres preisgegeben. Daher ist es notwendig, dass die Organisation dieser Re-putationssysteme unabhängigen Institutionen obliegt. Diese sind sowohl dafür verantwort-lich, objektiv die Basisinformationen einzustel-len, als auch entsprechende Kriterienkataloge zu definieren, die es ermöglichen, Erfahrungen von Nutzern bezüglich der Vertrauenswürdigkeit einwandfrei und sachlich zu erfassen sowie zu analysieren. Hierbei könnten neben der reinen Funktionalität der IT-Lösung auch weiche Fakto-ren, zum Beispiel, ob ein Anbieter oder Hersteller sich ethischen Werten verpflichtet fühlt, Berück-sichtigung finden.