Archiv

IT-SicherheitDie Nachlässigkeit: Kein öffentliches Identitätsmanagement

Welche Daten gibt man von sich preis, und an wen? Diese Frage stellen sich Internetuser bei vielen Informationsangeboten im Netz. Internetkonzerne wie Yahoo, Microsoft und Facebook bieten mit fragwürdigen Diensten das Management der Identität an. Unabhängige und wirklich sichere Angebote dagegen - Fehlanzeige.

Von Achim Killer | 14.11.2015

Ein Mensch vor einem Laptop, an dessen Monitor der Schriftzug "Passwort akzeptiert" zu lesen ist
Die Daten von Internetnutzern sind ein wertvolles Gut für die Konzerne (picture alliance / dpa / Tobias Hase)
Mail-Accounts, Internet-Foren, Web-Shops: Man kommt schnell auf ein paar Dutzend Benutzernamen und Passwörter, wenn man ein bisschen im Netz unterwegs ist. Sich so viel zu merken, ist schwer. Hinzu kommt, dass sich irgendwo im Web zu registrieren, auch ganz schön aufwendig sein kann. Da wär's doch gut, wenn das alles jemand für einen übernehmen könnte. Aber wenn sich wer dazu bereit erklärt, ist's garantiert der Falsche.
"Microsoft will der Grenzpolizist des Internets werden", so Jason Catlett, der Gründer der Datenschutzorganisation Junkbusters, um die Jahrtausendwende. Microsoft wollte damals mit seinem Dienst Passport ein sogenanntes Single-Sign-on-System ins Netz stellen. Eine Website, auf der man sich einmal einloggt und dann auf allen andern Sites, die man ansurft, automatisch angemeldet ist. Ein Aufschrei ging damals durchs Netz: Ausgerechnet Microsoft, der zu der Zeit mächtigste IT-Konzern der Welt! Das löste eine Diskussion um das Identitätsmanagement im Netz aus.
Daten der Nutzer abgreifen
Auch viele andere Unternehmen wollten wie Microsoft die Daten der Surfer abgreifen. Aber auch einige wenige interessante Projekte entstanden in der Folge. So etwa Prime, das europäische Datenschutz- und Identitätsmanagement der EU. Neil Mitchison vom EU-Forschungszentrum in Ispra, damals 2005, über die Funktionsweise von Prime: "Ein Stück Software, das sie zusammen mit der Garantie bekommen, dass es sauber ist, dass es nur das tut, was es tun soll, dass es begutachtet ist und dass es signiert ist. Sie können sich also sehr sicher sein, was Sie da bekommen. Und sie installieren diese Software auf ihrem eigenen Computer. Das ist das Wichtigste. Mit dieser Software organisieren Sie Ihre Identität und Ihre Privatsphäre."
Also nicht auf Servern von Internet-Unternehmen, sondern auf dem Rechner des Surfers sollten dessen persönliche Daten gespeichert werden und nur auf dessen ausdrückliches Kommando hin sollten die für eine Anmeldung oder Registrierung nötigen Daten übermittelt werden - mehr nicht. Dadurch unterscheidet sich das Prime-Konzept von den heute gängigen Identitätsmanagementsystemen im Netz. Allein: Die EU stellte die Förderung ein. Und deshalb managen heute ausschließlich Privatunternehmen die Identität der Surfer. Microsoft spielt dabei keine große Rolle mehr. Aber immer wichtiger wird ein anderer Konzern, dem viele aus guten Gründen misstrauen: "Klick auf Log-in mit Facebook. Du brauchst keinen Benutzernamen und kein Passwort eingeben, weil du dich ja schon bei Facebook eingeloggt hast."
Der Staat überlasst seine Aufgaben den Datensammlern im Internet
Es ist schon komisch: Da jammern Politiker immer, dass es im Netz anders zugeht, als auf staatlichem Hoheitsgebiet, auf dem sich zu bewegen sie gewohnt sind. Aber wenn's darum geht, ein bisschen öffentliche Sicherheit in den Cyberspace zu bringen, dann kommt nix. Was ist das mindeste, was man als Bürger von seinem Staat erwarten kann? Einen Pass, möglichst einen fälschungssicheren. Das Passwesen ist eine originär staatliche Aufgabe. Diese Aufgabe aber vernachlässigen die Staatsmänner aller Länder. Sie überlassen die Aufgabe von Identitätsnachweisen den Datensammlern im Internet. Das ist schlimmer, als wenn man sich seinen Reisepass von einem Telefonbuchverlag drucken lassen müsste. Es ist die Vernachlässigung staatlicher Aufgaben. Und Nachlässigkeit ist eine Todsünde.