Donnerstag, 28. März 2024

Archiv


Die Nachlässigkeit: Kein Identitätsmanagement

Wenn IT-Kriminelle fremde Passwörter, Kreditkarten- oder Kontodaten ausspähen, können sie im Namen ihrer Opfer posten, mailen oder sogar einkaufen. Vor allem der Staat könnte seine Bürger vor solch einem Identitätsdiebstahl schützen. Doch er gibt sich diesbezüglich eher nachlässig.

22.07.2013
    Mail-Accounts, Internet-Foren, Web-Shops : Man kommt schnell auf ein paar Dutzend Benutzernamen und Passwörter, wenn man ein bisschen im Netz unterwegs ist. Sich so viel zu merken, ist schwer. Hinzu kommt, dass sich irgendwo im Web zu registrieren, auch ganz schön aufwendig sein kann. Da wär's doch gut, wenn das alles jemand für einen übernehmen könnte. Aber wenn sich wer dazu bereit erklärt, ist's garantiert der Falsche.

    "Microsoft will der Grenzpolizist des Internets werden", so Jason Catlett, der Gründer der Datenschutzorganisation Junkbusters, um die Jahrtausendwende. Microsoft wollte damals mit seinem Dienst Passport ein sogenanntes Single-Sign-on-System ins Netz stellen. Eine Website, auf der man sich einmal einloggt und dann auf allen andern Sites, die man ansurft, automatisch angemeldet ist. Ein Aufschrei ging damals durchs Netz: Ausgerechnet Microsoft, der zu der Zeit mächtigste IT-Konzern der Welt! Das löste eine Diskussion um das Identitätsmanagement im Netz aus. Auch viele andere Unternehmen wollten wie Microsoft die Daten der Surfer abgreifen. Aber auch einige wenige interessante Projekte entstanden in der Folge. So etwa Prime, das europäische Datenschutz- und Identitätsmanagement der EU. Neil Mitchison vom EU-Forschungszentrum in Ispra, damals 2005, über die Funktionsweise von Prime:

    "Ein Stück Software, das sie zusammen mit der Garantie bekommen, dass es sauber ist, dass es nur das tut, was es tun soll, dass es begutachtet ist und dass es signiert ist. Sie können sich also sehr sicher sein, was Sie da bekommen. Und sie installieren diese Software auf ihrem eigenen Computer. Das ist das Wichtigste. Mit dieser Software organisieren Sie Ihre Identität und Ihre Privatsphäre."

    Also nicht auf Servern von Internet-Unternehmen, sondern auf dem Rechner des Surfers sollten dessen persönliche Daten gespeichert werden und nur auf dessen ausdrückliches Kommando hin sollten die für eine Anmeldung oder Registrierung nötigen Daten übermittelt werden. Nicht mehr. Dadurch unterscheidet sich das Prime-Konzept von den heute gängigen Identitätsmanagementsystemen im Netz. Allein: Die EU stellte die Förderung ein. Und deshalb managen heute ausschließlich Privatunternehmen die Identität der Surfer. Microsoft spielt dabei keine große Rolle mehr. Aber immer wichtiger wird ein anderer Konzern, dem viele aus guten Gründen misstrauen:

    "Klick auf Log-in mit Facebook. Du brauchst keinen Benutzernamen und kein Passwort eingeben, weil du dich ja schon bei Facebook eingeloggt hast."

    Es ist schon komisch: Da jammern Politiker immer, dass es im Netz anders zugeht, als auf staatlichem Hoheitsgebiet, auf dem sich zu bewegen sie gewohnt sind. Aber wenn's darum geht, ein bisschen öffentliche Sicherheit in den Cyberspace zu bringen, dann kommt nix. Was ist das mindeste, was man als Bürger von seinem Staat erwarten kann? Einen Pass, möglichst einen fälschungssicheren. Das Passwesen ist eine originär staatliche Aufgabe. Diese Aufgabe aber vernachlässigen die Staatsmänner aller Länder. Sie überlassen die Ausgabe von Identitätsnachweisen den Datensammlern im Internet. Das ist schlimmer, als wenn man sich seinen Reisepass von einem Telefonbuchverlag drucken lassen müsste. Es ist die Vernachlässigung staatlicher Aufgaben. Und Nachlässigkeit ist eine Todsünde.

    Zur Übersichtsseite der Serie "Die sieben Todsünden der IT-Sicherheit"