IDENTITY ... alter Hut, aber nie richtig gelöst

Hallo,

ganz gleich, wo man sich im Internet bewegt, Bewertungs- und Meinungsforen sind immer der Manipulation ausgesetzt.

So gibt es User, die zum Beispiel in Urlaubcheck-Seiten gegen Cash positive Hotel-Bewertungen eintragen um somit dem Reiseveranstalter oder Hotelbetreiber unberechtigt ausgelastete Zimmer zu ermöglichen.

Oder es gibt Seiten, in denen manipulierte Userbewertungen zum Kauf von Artikeln anregen sollen.

Für jede Regel gibt es ein Hintertürchen.

Ich selbst erstelle gerade ein solches Meinungsforum … und diese Problematik läßt mir keine Ruhe.

Wie kann man _ weitgehend _ verhindern, dass gefakete Bewertungen die echte Statistik nicht belasten?

Eine Idee wäre Autentifizierung via Mail, eine Stufe härter Kopie Personalausweis(PA). In beiden Fällen sind natürlich auch Manipulationen möglich, denn niemand kann wirklich kontrollieren, WER hinter der Mail-Adresse steckt oder wer die Kopie des PA´s zugeschickt hat.

Hallo,

Eine Idee wäre Autentifizierung via Mail, eine Stufe härter
Kopie Personalausweis(PA). In beiden Fällen sind natürlich
auch Manipulationen möglich, denn niemand kann wirklich
kontrollieren, WER hinter der Mail-Adresse steckt oder wer die
Kopie des PA´s zugeschickt hat.

Wie man anhand deiner Vorschlaege schon sieht, steigt die Huerde zum teilnehmen, je „sicherer“ du es machen willst.

Eine weitere Moeglichkeit ist ein sogenanntes „Web of Trust“, wo du mit ein paar dir persoenlich bekannten Leuten als Mitgliedern anfaengst, und andere nur auf Einladung von einem oder (fuer extra-Paranoia) zwei Mitgliedern beitreten duerfen.

Das hat den Vorteil, dass du bei einer Bewertung auch immer anzeigen kannst, ueber wie viele Ecken du den Autor der Bewertung kennst, du damit seine Glaubwuerdigkeit einschaetzen kannst.

Allerdings ist das dann eine recht hohe Einstiegshuerde.

Gruesse,
Moritz

Hallo,

oder alternativ wäre das mann nur verifizierte DE Mail Adressen wie zbsp. Epost verwendet.

Ich hab da so eine Idee:

Bei mir schwebt so etwas vor wie eine User-zwei-Klassen-Gesellschaft. Die eine Gruppe kann NUR und auch nur eingeschränkt lesen, die andere Gruppe hingegen kann sich durch eine Verifizierung für das uneingeschränkte Lesen und eigene Beiträge schreiben freischalten lassen.

Eine Möglichkeit wäre zum Beispiel, dass die zu verifizierende Person von Dir zwei von Dir per Zufallsgenerator ausgewählte kleine Geldbeträge auf dessen Konto überwiesen wird, z.B. 21 Cent und 61 Cent. Diese beiden Beträge sind quasi der Verifizierungs-PIN und kosten weniger als 1 EUR.

Gibt er anschließend die beiden richtigen Beträge ein, stimmen Bankverbindung und Real-Namen der Person überein.

Beispiel: Ein User mit gefaktem Real-Namen hat sich im Board mit beschränkten Nutzungsrechte registriert. Nun möchte er eigene Beiträge schreiben und gibt für die Überweisen der beiden „PIN“-Beträge seinen echten Real-Namen mir korrekter Bankverbindung an. Nun sollte ein Regelwerk im Board erkennen, dass sich beide Namen unterschieden.

Fazit:

1. der User erhält keine zwei Geldbeträge auf sein Konto und

2. er kann sich mit seinem Realname und den Kontodaten in Deinem Board nie wieder komplett freischalten lassen.

Davon, dass er bei Falschangaben später keine Möglichkeit mehr hat, sich bei Dir jemals wieder frei zu schalten, erfährt der User bei der Erstanmeldung natürlich nichts.
Er wird lediglich bei der Erstanmeldung ausdrücklich darauf hin gewiesen, dass seine Angabe für eine Freischaltung der Wahrheit entsprechen müssen.

Nur mal so als Idee

Kann Deine Aussage nicht verstehen.
Solche Fragen sind gelöst. Zumindest dahingehend, dass es für bestimmte Probleme einfach keine einfache Antworten gibt.

Und praktischen Probleme rund um Sicherheit sind nicht absolut zu lösen sondern nur relativ: Man muss etwas Aufwand betreiben, um die Sicherheit zu erhöhen.

Missbrauch ist in der Regel damit nicht ausgeschlossen, sondern nur mit mehr Aufwand verbunden und damit unwahrscheinlicher.

Man schraubt den betriebenen Aufwand aber nur so hoch, wie es sich über das reduzierte Risiko auch lohnt.

Und da sich technische Möglichkeiten, Methoden und Schadenshöhen über die Zeit verändern, ist man laufend am kontrollieren, ob man noch das richtige Maß anwendet.

Also nic ungelöstes.

Ciao, Allesquatsch

Eine Idee wäre Autentifizierung via Mail, eine Stufe härter
Kopie Personalausweis(PA).

Hallo,

ich will garnicht in die Problematik tiefer einsteigen, nur so als Idee: wenn ich tatsächlich was drehen wollte, traue ich mir auch zu, eine Serie von einigen hundert Personalausweis-Kopien nichtexistenter Personen anzufertigen. Das könnte höchstens wegen zu grosser Ähnlichkeiten auffallen.

So ein PA-Kopie-Generator wäre vielleicht eine gute neue Software-Idee…

Gruss Reinhard

Ich schätze, das kommt ganz auf das in dem Forum zu besprechende Thema und besonders die Ziel- bzw. Autorengruppe an.

Wenn Du eine Hotelbewertungsplattform einrichtest und dazu verlangst, dass Dir alle ihre Persönlichkeit preisgeben, dann kannst Du am besten gleich die Idee in die Tonne treten. Die Anzahl Deiner Kunden wird gegen Null tendieren.
Warum sollte jemand, der eben mal 5 Minuten Zeit hat und gerne etwas über seinen letzten Urlaub schreiben will, eine tagelange Prozedur auf sich nehmen, bei der er einem völlig Fremden seine Personalausweisdaten oder Kontodaten zuschicken muss.
(Für Identitätsprüfung gibt es übrigens das PostIDent-Verfahren u.Ä.)
Woher willst Du bei eingesandter Personalausweiskopie wissen, dass sie vom Eigentümer des Ausweises stammt?

Ein anderer Weg ist, mit Zertifikaten zu arbeiten. (Sowas nutzt z.B. auch das unsägliche D-Mail-Projekt).
Die gibt es von kostenlos bis teuer und dazu müssen sich die Antragsteller auch persönlich vorstellen (irgendwo im Netz des gegenseitigen Vertrauens). Erhältlich z.B. bei der Telekom, manchen Banken und Notaren … oder bei CACert und Heise (beide kostenlos).

Die Hürden sind bei all Deinen Vorschlägen so extrem hoch, dass es die Meisten abschrecken wird. Mal davon abgesehen, dass zumindest ich die Idee mit den beiden Überweisungen beim ersten Durchlesen nicht verstanden habe.

Willst Du aber eine Expertenplattform aufbauen, dann hast Du eine ganz andere Zeitgruppe. Je nach Toppik sind bestimmt ein paar Leute bereit, dafür auch ihre Identität anzugeben und evtl. auch Geld dafür zu bezahlen. Das ist aber etwas ganz anderes und die große Masse wirst Du nicht erreichen damit.

Das Problem der Zuverlässigkeit der Datenquelle ist damit vielleicht geklärt, willst Du ein Bewertungsportal aufbauen geht es aber auch und vor allem um Masse. Je mehr Benotungen auf ein Hotel kommen, umso ausnivellierter wird das Ergebnis (vielleicht) sein, wenn nicht ein Störer massiv eingreift. Hast Du aber wie in Deinem Vorhaben, nur eine kleine Menge erlaubter Autoren, bekommst Du zu vielen Hotels (oder was auch immer) nur wenige bis keine Bewertungen. Hatten die Bewerter einen schlechten Tag, hat das somit größere Ausschläge als wenn es eine Meinung von 1000en ist.

Am Ende steht der Seitenbesucher und der muss so oder so entscheiden, was er mit der subjektiven „Meinung“ anderer anfangen will.

Stand der Technik
Angesichts der hier gemachten Vorschläge will doch noch mal konkreter werden.

Der Aufwand zur Authentifizierung muss natürlich dem Einsatzzweck angemessen sein. Und für ein Forum oder gar nur für eine Bewertung ist das mit Kanonen auf Spatzen geschossen.
Der Abschreckungseffekt ist gigantischer als der Nutze eines personenidentifizierenden Verfahrens.

Außerdem sollte man stets die Perspektive des Benutzers im Fokus haben. An dessen Bequemlichkeit und Kosten bemisst sich zuerst die Attraktivität eines Web-Angebot.
Und natürlich auch an seiner eigenen Benutzersicherheit.

Wer nur, um irgendwas in einem neuen Internetforum bewerten zu können, zuerst eine Personalausweiskopie angibt, mit dem habe ich kein großes Mitleid, wenn sein Konto leergeräumt ist.

Selbst wenn man keine böse Absicht unterstellt, deutet solch ein Vorgehen darauf hin, dass der Diensteanbieter nicht ausreichend mit Datensicherheit und Datenschutz vertraut ist. Das Vorgehen würde nämlich gegen das Bundesdatenschutzgesetz verstoßen (Angemessenheit, Datenvermeidung/-sparsamkeit).

Personenidentifizierung verhindert übrigens nicht, dass die Besitzer, Mitarbeiter und deren Umfeld gefakte Bewertungen abgeben,

Eine datenschutz- und sicherheitsgerechte Lösung für die Personenidentifizierung wäre der Einsatz des neuen Personalausweises , der auch eine anonyme Nutzung gestattet. Der Diensteanbieter benötigt allerdings ein kostenpflichtiges Zertikat, für den Benutzer ist der Prozess aber recht einfach und kostenfrei (Voraussetzung nPA, freigeschaltetes eID und Lesegerät).
Und für eine Hotelbewertung kann man sogar ausschließen, dass Leute mit Wohnsitz in der gleichen Stadt bewerten, weil da das Risiko einer gefälschten Bewertung zu hoch ist.

Aber auch in diesem technisch aktuell bestmöglichen Verfahren ist die praktische Zugangshürde meines Erachtens für ein Bewertungsforum zu hoch.

In einem Bewertungsforum würde ich keine Eindeutigkeit nutzen, sondern heuristisch entscheiden, ob ich die Bewertung akzeptiere. Dann gibt es vielleicht 1% Doppelbewertungen und 1%, deren Bewertung unterschlagen wird. Wird natürlich nur dann akzeptiert, wenn die Einzelbewertung nicht identifizierbar ist (wie z.B. bei der Beitragsbewertung im heise-Forum).

Ciao, Allesquatsch

Wie kann man _ weitgehend _ verhindern, dass gefakete Bewertungen
die echte Statistik nicht belasten?

Mal abgesehen davon, daß es sich eigentlich um keine Frage zur IT-Sicherheit handelt, da dieses Problem in der analogen Welt ebenso besteht gibt es nur eine Antwort:

Eine möglichst große Datenbasis. Alles weitere beantwortet gern ein Statistiker Deiner Wahl.

Gruß

osmodius

Moin 4seasons,

guck dir mal an wie die Punkte beim Skispringen der 5 Springrichter in der Gesamtnote berücksichtigt werden. Bei denen geht man auch von einer gewissen „Nationalsympathie“ aus.
Vlt. ist das was für dich.

Gruß
widecrypt