Martin Rost
Publikationen

Vorbemerkung

Dieser Text ist veröffentlich unter:
- http://www.maroki.de/pub/privacy/tm.html
Kontakt: martinDLT.rost@marokiDLT.de (entferne/delete DLT)

Leben mit der Landkarte - Make Identity Management easy

Version 1 - 2004.08.01

Anforderungen an ein User Interface für Identity Management

Die Anforderungen an ein UI ("User Interface"), die eine Identity Management Applikation auf einem PC benutzbar macht, sind hoch. Identity Management mit Hilfe eines Computers - und hier reicht die Bandbreite der Vorstellung vom PC über einen PDA bis zum Handy (mit typischerweise gering auflösendem Bildschirm) - bedeutet zuende gedacht gleich die Abbildung der kommunikativen Welt im Computer. Natürlich werden sich die ersten Prototypen von Identity Management Applikationen auf leicht verständliche und gut formalisierbare Workflows wie Einkaufszenarien oder Informationsabrufe bei öffentlichen Institutionen konzentrieren. Doch der latente Druck, letztlich jede gesellschaftlich relevante Kommunikation insbesondere zwischen User und Organisationen derart technisch zu unterstützen, dass nur eine (datenschutz)rechtlich einwandfreie Kommunikation stattfindet, ist sehr wahrscheinlich vergleichbar dem Druck, mit dem Schienen, Straßen, Kanäle oder Stromnetze Anschluss an alle andere Schienen, Straßen, Kanäle oder Stromnetze dieser Welt gefunden haben. Solange die optimale Vollvermaschung des Netzes noch nicht abgeschlossen ist, ist klar, dass die Entwicklung noch keinen zumindest vorläufigen Abschluss gefunden hat.

Man kann Identity Management abstrakt als technisch gestütztes Kommunikationsmanagement auffassen. Ein UI muss die Komplexität eines solchen Kommunikationsmanagements auch für einen unbedarften Nutzer intuitiv zugänglich und einfach nutzbar machen. Das besondere Problem des Identity Management besteht darin, dass bislang auch Experten noch nicht vollständig klar ist, was ein technisch gestütztes Identity Management im Detail ausmacht und bedeuten kann. Immerhin ist so viel klar: Identity Management Applikationen bzw. ein Identity Management System sollen in einer weitgehend automatisierten Umgebung zur Formung und Beobachtung von Kommunikationen helfen, dass der einzelne Mensch sein Recht auf informationelle Selbstbestimmung in Anspruch nehmen kann. Dieses Kommunikationsmanagement nötigt dem einzelnen PC-Nutzer eine Technisierung sämtlicher Kommunikationen auf. Nötig wird dieses Management durch die sozialen Umstände der "Durchindustrialisierung der Gesellschaft". Dadurch entsteht absehbar eine ganz neue Klasse an Nutzungsformen des Computers. Das wiederum könnte bedeuten, dass ein grundlegend neues Paradigma der Rechnernutzung gefunden werden sollte, um den Rechner fortan als universelle Kommunikationsmaschine einsetzen zu können. Und diese möglicherweise jetzt anstehenden Änderungen des PC-Einsatzes zeichnen sich zu einem Zeitpunkt ab, an dem die PC-Nutzung im Sinne einer allgemein erwartbaren Kulturtechnik analog zum Lesen, Schreiben und Rechnen, mit Blick auf die über 50-Jährigen noch gar nicht zu einem Massenphänomen geworden ist.

Es ist zu vermuten, dass nach dem Shell- und Fenster- nun ein Topologie-Paradigma gefunden werden muss, das eine generalisierte Handhabung von Adressierungsformen für Kommunikationen bzw. weitgehend durchstrukturierte Workflows intuitiv zugänglich macht. Es geht nämlich nicht mehr länger nur darum, effektiv Texte für E-Mails zu schreiben oder sich per Web Informationen zu verschaffen und einzukaufen, sondern mehr noch diese umfassend, sicher und datenschutzgerecht in den Fluss kommunikativer Ereignisse zu stellen. In diesem Sinne schlagen wir nachfolgend vor, eine Landkarte als Bedienoberfläche für Kommunikationsmanagement zu nutzen.

Eine der besonderen Vorzüge des Landkartenparadigmas besteht darin, sowohl über einen vielversprechenden Strukturreichtum zu verfügen, um darin möglicherweise sämtliche gesellschaftlichen Institutionen und sozialen Kommunikationsformen adressabel zu machen, als auch hinreichend intuitiv zugänglich zu sein, selbst mit Blick auf unterschiedliche Kulturen mit unterschiedlichen sozialen Gewichtungen im Hinblick auf Religiosität, Ökonomie und Politik. Die Landkarte als Raummetapher bietet eine "natürlich zugängliche Hierarchisierung" an, die sich nutzen lässt: So lässt sich mit dessen Hilfe ein Land darstellen, das durch Areale strukturiert ist, die jeweils die private Umgebung des Nutzers als auch die Gebäude für unterschiedliche Organisationen (Firmen, Verwaltungen, Krankenhäuser, Vereine...) enthalten, die wiederum verschiedene Zimmer für verschiedene Funktionen enthalten, die sich ihrerseits noch einmal durch besondere Einrichtungen spezifizieren lassen.

Die Umsetzung eines solchen Paradigmas bedeutet eine neue Herausforderung: So ist voraussichtlich nicht mangelnde Rechenpower der die Umsetzung limitierende Faktor wie noch zu Beginn der Windows-Nutzung mit Hilfe einer Maus und eines weitgehend applikationsfrei gedachten Desktop. Vielmehr stehen nun die Sicherheit und die Datenschutzgerechtigkeit der gesamten technischen Infrastruktur im Fokus des Interesses, weil die Universalmaschine PC faktisch permanent vernetzt sein muss.

The map

Die Kernidee der Landkarten-Metapher ist die folgende: Eine Landkarte ermöglicht die Lokalisierung bzw. Adressierung sozial relevanter Kommunikationen aus der Sicht von Computernetzern, die als Klientel von Organisationen agieren. Die zu entwerfende Landkarte weist dabei verschiedene Landschaften bzw. Areale und Stadtteile auf, die wiederum verschiedene Gebäude enthalten, die für die Adressibilität von Organisationen stehen, die wiederum stellvertretend für typische soziale Sets an Kommunikationen bzw. Workflows stehen. Die Gebäude enthalten dabei ihrerseits wiederum bestimmte Räume und Einrichtungen, die ganz spezifisch zugeschnittene Funktionen übernehmen.

So lassen sich die Areale einer Landschaft bzw. einer Landkarte typischerweise durch Flüsse und Gebirge von einander trennen. Derzeit sollten vier Areale unterschieden werden: In einem Areal, das sich als Stadt-Areal bezeichnen ließe, befinden sich die gesellschaftlich erwartbaren sozialen Organisationen des Einkaufens, der Entspannung. Des Konfliktmanagements usw. Das zweite Areal, das sich als Gemeinschafts-Areal bezeichnen ließe, umfasst im Unterschied dazu den privaten Bereich des Nutzers, sein eigenes Haus, aber auch die Häuser seiner Freunde, Verwandten oder Nachbarn. Das dritte Areal enthält den Organisationsbereich, in dem der Nutzer arbeitet: das Arbeits-Areal. Dieses enthält unterschiedliche Abteilungen. Und der vierte Bereich enthält den Bereich des Nutzers, in dem der Nutzer mit sich selbst interagiert, also bspw. spielt oder den Rechner als Communicationspartner nutzt. Dieser vierte Bereich soll nachfolgend keine weitere Rolle spielen.

Die Funktion dieser Grenzziehungen - nämlich Flüsse zur Abgrenzung von Arealen im Sinne von Landesteilen, Straßen zur Abgrenzung von Gebäudeclustern, Flure zur Abgrenzung von Abteilungen und Räumen zu nutzen - besteht darin, dass für die getrennten Bereiche, man könnte diese Bereiche auch als Domains bezeichnen, jeweils unterschiedliche Regelsets für Kommunikationen gelten, denen bestimmte Daten-Sets, Sicherheitsrichtlinien und Datenschutzniveaus zugeordnet sind. So gilt als Voreinstellung für Kontakte bzw. Kommunikationen im Bereich des Stadt-Areals, dass diese anonym bei einem geringst möglichen Datenaustausch erfolgen sollen. Im Gemeinschafts-Areal dagegen ist davon auszugehen, dass der Nutzer die anderen Kommunikationspartner kennt und anonyme Kommunikation unerwünscht ist. Das Arbeits-Areal ist im Vergleich zu den anderen Arealen wiederum durch einen komplexen Mix aus anonymen und vertrauten Kommunikationspolicies gekennzeichnet. Sobald ein PC-Nutzer mit seinem Mauspfeil von einem Areal in das andere wechselt, wechselt er automatisch die für das Areal voreingestellte Policy in Bezug auf das Daten-Set, Sicherheit und Datenschutz für dieses Areal.

Brücken, Haustüren bzw. Eingangstore und Aufzüge sowie Zimmertüren als Verbinder zwischen zwei Bereichen können die Funktion erfüllen, dass der Nutzer an diesen Stellen, wenn er sie denn anklickt, Regeln für den Übertritt sehen kann, welche Aspekte des Kommunikationsmanagements sich mit einem Übertritt verändern. Gerade diese Übergangsstellen sind besonders geeignet, um die Policies der jeweiligen Bereiche einzusehen oder zu verändern.

Diese Areale enthalten jeweils wiederum Gebäude, die immer dann zu Clustern zusammengestellt sind, wenn diese thematisch eng beieinander liegen. Im Stadt-Areal gibt es zum Beispiel jeweils Gebäudecluster für Aspekte des Verkaufens/ Kaufens (Supermarkt, Bank, Versicherung, Dienstleistung), für Formen hoheitlicher Kommunikation (Verwaltung auf lokaler, bundesländlicher, nationaler oder möglicherweise auch internationaler Ebene), für Kommunikation in Bezug auf Politik (zur Herstellung von Entscheidungen in einer Partei oder einer Bürgerinitiative oder auf lokaler, bundesländlicher, nationaler oder internationaler Ebene), für Kommunikation mit Bezug zu Bildung und Wissen (Schule, Volkshochschule, Universität, Bibliothek, ...) sowie für Kommunikationen mit Bezug zu Religion/ Weltanschauung (Kirchen, Vereinigungen) oder Entspannung (Sportverein, Hobby, Kino...). Die thematische Nähe der Cluster kann sinnfällig von verschieden breiten Straßen umgrenzt werden.

Als Gebäude, die für Organisationen innerhalb des Stadt-Areals stehen, sollten zumindest die folgenden dargestellt werden:

  • Einkaufszentrum
  • Bank/ Versicherung
  • Gericht, Rechtsanwalt
  • Verwaltung
  • >Schule/ Universität/ Medienbibliothek
  • Medizinpraxis
  • Kirche
  • Erholung/ Ferienhotel

Als Gebäude, die für Organisationen innerhalb des Gemeinschafts-Areals stehen, sollten zumindest die folgenden dargestellt werden:

  • Haus für (ehemalige) Freunde
  • Haus für Verwandte
  • Haus für Nachbarn

Als Gebäude, die für Organsationen innerhalb des Arbeits-Areals stehen, sollten zumindest die folgenden dargestellt werden:

  • Die Organisation, für die man arbeitet
  • Die Abteilung, für die man arbeitet
  • Die anderen Abteilungen

Im vierten Areal steht dann das Gebäude des Nutzers, in dem sich der Nutzer allein aufhält.

Als Problem beim Clustern thematisch nahestehender Organisationen könnte sich die Zuordbarkeit von Organisationen herausstellen. Beispielsweise unterstellt ein Patient heutzutage romantischerweise, dass ein Arzt in einer Arztpraxis aufgrund seines Arzt-Ethos einfach best möglich helfen muss oder dass ein Richter vor Gericht sich zwangsläufig für eine gerechte Lösung stark macht. Realistischerweise muss ein Arzt zusehen, dass er Geld verdient, ein Richter, dass er das Verfahren schnell und konfliktarm beendet, ein Politiker allen widerstrebenden Interessen gerecht wird. Wenn man die Gebäude-Cluster im Stadtareal analog der systemtheoretischen Sozialsysteme schneidet (Fussnote: Aus soziologischer Sicht bietet sich das Clustern von Organisationen anhand der vier Großsysteme an: Ökonomie, Recht, Politik, Wissenschaft. Organisationen lassen sich derart klinisch nicht unterscheiden, weil diese die Funktionen innehaben, die Kommunikationen der Großsysteme und weitere gut strukturierte Kommunikationen zu synthetisieren.), könnten jeweils die Organisationen mit dem deutlichsten Systemprimat (Bank für Ökonomie, Gericht für Recht, Parlament für Poltik, Hochschule für Wissenschaft) jeweils im Zentrum des Clusters stehen, um dass sich, je nach Vektor in den anderen Clusterbereich hinein, die anderen Organisationen in Form von Gebäuden, schmiegen.

Wenn ein Nutzer dann eines der Gebäude des jeweiligen Areals anklickt, wird ihm eine neue Oberfläche präsentiert, die naheliegenderweise das Innere des Gebäudes zeigt. Dabei stellt sich die Frage, wie zu vertrauten Organisationen ein privilegierter Zugang eingerichtet wird, weil eine Reputation auf Seiten des Nutzers und der Organisation besteht. Hier böten sich zwei Wege an:

  • Der Nutzer bekommt, wenn er bspw. das allgemeine Bank-Gebäude im Stadt-Areal anklickt, innerhalb dieses Gebäudes neben vielen anderen Banken auch seine Hausbank zu sehen, die er dann anklicken, um mit dieser Transaktionen durchzuführen. Natürlich würde ihm das System dabei zuerst diejenigen Banken anzeigen, mit denen bislang die meisten Interaktionen stattfanden. Sobald die Hausbank anklickt wird, ändert sich die Kommunikations-Policy. Dann befindet der Nutzer sich nicht mehr in der Default-Einstellung der anonymen Kommunikation, die für das Stadtareal auf der darüberliegenden Schicht galt, sondern er befindet sich eingefasst von einem Regelset, das speziell für die Beziehung zwischen dem Nutzer und dessen Hausbank gelten soll.
  • Es könnte aber auch sinnvoll sein, dass die eigene Hausbank, ebenso wie der bevorzugte Lebensmittelmarkt, die eigene Gemeindeverwaltung, der Sportverein, in dem man Mitglied ist, die Schule oder Uni, die der Nutzer besucht usw., nicht über das allgemeine Gebäudesymbol im Stadtareal zu erreichen sind, sondern dass diese sich im Gemeinschaft-Areal der vertrauten Kommunikation befinden. Vermutlich ist es empfehlenswert, den Nutzer darüber entscheiden zu lassen, welche der beiden Lösungen er bevorzugt.

Wechselt man in ein Gebäude hinein, dann findet man einen Grundriss vor, über den spezielle Funktionen des Organisationenset, für das das Gebäude steht, ansprechbar sind. Man sieht dann beispielsweise die verschiedene Zugänge zu spezialisierten Suborganisationen. Als Beispiel denke man an eine Eingangshalle mit Türen, hinter denen der Nutzer zu einem Zahnarzt, einem Allgemeinarzt oder einen Tierarzt gelangen kann - ob es sich dabei um den Hausarzt oder um einen unbekannten Arzt handelt, sei noch dahingestellt. Wie diese Gebäude resp. verschiedenen Organisationen dann intern jeweils aufgeteilt sind, etwa durch unterschiedlich eingerichtete Zimmer, soll an dieser Stelle noch nicht weiter ausgeführt werden.

Auch hier gilt wieder: Ähnliche Funktionen lassen sich zu Cluster zusammenstellen, um die Orientierung in Bezug auf Kommunikationspolicies zu erleichtern. Generell gilt dabei, dass mit dem Wechsel in den View auf das Innere des Gebäudes nicht zwangsläufig die default-Policy des Areals geerbt werden muss, sondern es zu einer neuen Verteilung der verschiedenen Policies für verschiedene Räume/ Zimmer kommt. Beispiel: Wenn man sich im Gemeinschafts-Areal in seinem eigenen Hause befindet, so bedeutet der Rückzug in das Schlaf- oder Badezimmer, dass man dort vielleicht nicht anonym, aber typischerweise durchaus unbeobachtbar sein möchte.

Es muss festgelegt werden, wie die verschiedene Detailierungsgrade innerhalb eines engen thematischen Bereichs dargestellt werden. So ist zum Beispiel zu klären, ob man Gebäude von Organisationen, die mit Verwaltungskommunikation befasst sind, allesamt nebeneinander in einem Areal aufgeführt sind und durch direktes Anklicken zugänglich gemacht werden. Alternativ zur Darstellung auf gleicher Ebene ließen sie sich hierarchisch innerhalb eines allgemeinen Verwaltungsgebäudes anordnen, indem nach dem Anklicken des Verwaltungsgebäudes dann Zugänge zu spezielleren Verwaltungen dargestellt werden, etwa lokalen oder bundesländlichen Zuschnitts. Generell stellt sich bei Design-Entscheidungen wie diesen die Frage, wie flexibel die Oberfläche gestaltet werden kann, ob also derartige Entscheidungen hart codiert werden müssen oder dem Nutzer überlassen bleiben können. Natürlich ist letzteres immer zu bevorzugen, doch muss es auch klare Entscheidungen anhand von Usability-Forschungen darüber geben, von welchen Startbedingungen aus ein neuer Nutzer mit dem System vertraut werden soll. Dies gilt insbesondere unter dem Aspekt, dass Gruppierungen aus nur maximal 12 Teilen bestehen sollten.

Zweifelsfrei muss dem Nutzer auf jeden Fall ein Constructionset zur Verfügung gestellt werden, mit dem er die Bestandteile der verschiedenen Ebene gestalten und um weitere ergänzen kann. Er muss zudem auch möglichst sinnfällig unterstützt werden, um neuen Bestandteilen (im Bereich von Arealen, Gebäuden, Räumen, Einrichtungen) Kommunikationspolicies zuordnen können. Dabei soll das System selbstverständlich dafür sorgen, dass es zu keinen Unverträglichkeiten zwischen Policies und ihrer Topologie, in die sie reingestellt werden, kommt.

Es liegt der Gedanke nahe, dass mit dem Anklicken des Gebäudes bzw. der Organisation, die History der Kommunikation zwischen dem Klienten und der Organisation und die Regeln des Kommunikationsmanagement bzw. die Reputation der Beteiligten aufpoppt. Vermutlich wird es möglich sein, einen gewissen Anteil an Kommunikationen, die über ein solches System abgewickelt werden, per Audio-Video gestützt geschehen. Für den Fall, dass Verschriftlichung gewünscht wird, muss dafür ein Teilbereich des Bildschirms zur Verfügung gestellt werden.

Selbstverständlich lassen sich unterschiedliche viele Teile eines Bereichs anzeigen, je nach Auflösungsniveau des verwendeten Displays. Grundsätzlich ist daran gedacht, dass solch ein Identity Management System sich auch per Mobilfon nutzen lässt.

Sich lange durch Menüs durchzuhangeln respektive immer erst über die allgemeine Landkarte zur gesuchten Organisation vorzuhangeln, kann auf Dauer lästig werden. Deshalb sollte man an sinnfällige Shortcuts denken, mit denen sich schnell zwischen Organisationen (oder Applikationen) wechseln lässt.

Unterhalb des map-layers

Unterhalb des oben kurz angerissenen Map-Layers befindet sich ein Layer, der zur Abwicklung von Adressierungen im Grunde ganz konventionell auf URLs der (Web)Server von Organisationen sowie auf dem Rechner des Nutzers abstellt, an die jeweils bestimmte Kommunikations-Policies anheften. Dies ist im Prinzip vergleichbar dem, was mit P3P angestrebt wird, nämlich ein automatisierbares Aushandeln von Kommunikations-Policies zu erreichen. Dies ganze muss natürlich auf der Basis einer sehr umfassenden Datenbank geschehen. (Fussnote: Möglicherweise bringt Microsofts nächstes Betriebssystem ("Longhorn") dafür gute Voraussetzungen mit, da es auf Datenbankbasis projektiert ist.) Möglicherweise ist es empfehlenswert, den Regel-Layer in UML zu formulieren, um Experten einen Zugang zur Formulierung komplexer Workflows direkt schon auf diesem Layer zu ermöglichen.

Ein neues Paradigma des Mensch-Maschinen-Interface muss her, sprich: ein neues Betriebssystem

Ein solch generischer Desktop, wie er oben in groben Zügen umrissen wurde, wird selbstverständlich zunächst auf einem vorhandenem Betriebssystem aufsetzen müssen. Es ist aber eigentlich deutlich absehbar, dass hier nicht nur eine neue Applikation für eine neue Klasse der Computer-Nutzung programmiert werden muss, sondern dass es viele Vorteile hat, diese ganz eng an das Betriebssystem zu koppeln. Oder besser noch: es gleich als Betriebssystemoberfläche auszulegen. Dies empfiehlt sich zum einen aus inhaltlichen Gründen: Ein solches System bildet die Kommunikation der Welt ab - und dann darf der Flaschenhalt der Applikation nicht zu eng sein. Zum anderen muss vor allem gewährleistet sein, dass ein höchst mögliches Sicherheitsniveau erreicht werden kann, indem eine möglichst enge Ankoppelung an die Mechanismen des Trusted-Computing gefunden wird. Das kann bedeuten: Wenn der Nutzer eines solchen Systems etwa ein Pseudonym auswählt, also gewissermaßen zu einem anderen Nutzer des Systems als zuvor wird, so ändert sich mit dem Wechsel dann möglicherweise auf tiefer Systemebene auch das Sicherheitsniveau.

HINWEIS

Die Weitergabe von Texten bzw. Dateien, die von dieser Seite heruntergeladen wurden, ist allein unter der Bedingung erlaubt, dass keinerlei Veränderungen, die den Inhalt dieser Dateien betreffen, vorgenommen werden und ein Verweis auf diese Quelle hier erfolgt. Außerdem dürfen keine kommerziellen Interessen mit dem Text verfolgt werden.