http://www.faz.net/-gy9-97j0w

Mobile Connect : Ein Universalschlüssel für alle Dienste im Internet

Elektronischer Schlüssel mit digitalem Sicherheitskonzept (Symbolbild). Bild: Getty Images/bearbeitet F.A.Z.

Mobile Connect will die Identität im Internet und sämtliche private Logins verwalten. Doch eine zentrale Plattform birgt auch Gefahren.

          Es soll nur Gewinner geben, und zwar gleich dreifach: die Nutzer, die Anbieter von Internetdienstleistungen und der neue Mittelsmann, um den es hier geht. Das Szenario wird zuckersüß immer wieder aus Kundensicht beschrieben. Endlich komme eine neue Lösung, auf die alle gewartet hätten. Muss man sich bisher langwierig bei unterschiedlichen Diensten im Netz mit Name, E-Mail-Adresse und Kennwort registrieren, gebe es nun einen „neuen Standard der digitalen Authentifizierung“.

          Michael Spehr

          Redakteur im Ressort „Technik und Motor“.

          Es geht um Identitätsmanagement, ein Schlüssel für alle Schlösser: Mobile Connect heißt das Produkt, das von der GSM Association (GSMA), der Industrievereinigung der Mobilfunker, zum Mobilfunk-Weltkongress in Barcelona ins Leben gerufen wird. Die Idee besteht darin, dass sich Verbraucher über ihr Handy sicher bei Internetdiensten anmelden können. Ein einziges Mal vom Nutzer selbst angemeldet, übernimmt Mobile Connect alle weiteren Logins für andere Dienste.

          Das Telefon soll also zum Universalschlüssel werden. Statt Dutzender von Login-Daten muss man nur sein Telefon parat haben, und schon ist man überall „drin“. Auch bei ganz neuen Diensten kann man sich mit einem einzigen, schnellen Login anmelden.

          Die Tücke liegt im Detail

          Mobile Connect wird in Deutschland von allen drei Netzbetreibern unterstützt, zunächst für den Einkauf in Online-Shops und der Anmeldung in Internet-Portalen. Das beginnt Mitte des Jahres, und später wollen die Mobilfunker sogar hoheitliche Aufgaben wahrnehmen, nämlich ein Login für Online-Behördengänge anbieten.

          Doch die Tücke liegt wie immer im Detail. Niemand hat Mobile Connect standardisiert, es ist ein Vorstoß der Mobilfunker. Von hoheitlichen Aufgaben weiß der deutsche Gesetzgeber nichts. Die Idee, Identitätsprüfung und Authentifizierung einer zwischengeschalteten Instanz zu überlassen, ist sodann alles andere als neu.

          Das Login mit dem eigenen Facebook-Account begegnet einem bereits an jeder Ecke des Internets. Von einer Web-Anwendung wechselt man beispielsweise zu Facebook, wo man sein Benutzer-Login vornimmt. Anschließend kommt die Frage, ob man der Web-Anwendung den Zugriff erlauben will. Damit ist die Authentifizierung abgeschlossen. Man wird zur ursprünglichen Anwendung zurückgeleitet und kann hier nun loslegen.

          Facebook chiffriert Daten nicht

          Genau so funktioniert der weniger verbreitete Login mit anderen Plattformen wie Google oder Twitter. Der Nutzer hat den Vorteil des erleichterten Einbuchens und der Anbieter die Gewissheit, dass seine Kunden reale Menschen sind, die sich bei Google, Twitter oder Facebook bereits legitimiert haben. Seit Jahren gelten diese Login-Verfahren als schick und sicher, sie laufen unter dem Oberbegriff O Auth, Open Standard for Authorization.

          O Auth gibt es seit 2006, und es hat in seiner ursprünglichen Implementierung den Vorzug, dass Dritten gegenüber die Privatsphäre des Nutzers gewahrt bleibt. Daten des Nutzers werden – zum Beispiel an die Web-Anwendung – nur als Token übermittelt, als chiffrierte Zeichenkette, und Zugriffsrechte lassen sich jederzeit widerrufen.

          Nur wird dieses O-Auth-Prinzip fortwährend von den Netzgiganten aufgebrochen. Bereits vor vier Jahren konnten wir nachweisen, dass Facebook einer Web-Anwendung die hinterlegte E-Mail-Adresse und andere Daten als Klartext zukommen lässt. Daraus ergibt sich, dass ein Widerruf der Autorisierung sinnlos ist, weil die Daten schon in dessen Hand sind.

          Weitere Themen

          Topmeldungen

          Bundeskanzlerin Angela Merkel (CDU,l) neben dem französischen Präsidenten Emmanuel Macron vor Schloss Meseberg.

          Treffen in Meseberg : Merkel und Macron einig über EU-Budget

          Die Kanzlerin kommt dem französischen Präsidenten in der Sache entgegen – wie üppig der Haushalt für den Euroraum ausfallen soll, bleibt aber offen.

          Mo Salah : Volksheld und Staatsfeind

          Mo Salah und sein Mentor verkörpern die tödliche Gemengelage aus Sport und Politik im fußballverrückten Ägypten. Heute endet bei der Weltmeisterschaft die Schonzeit des Superstars.
          Alte Technik: Heute werden Autos oft gestohlen, ohne dass eine Tür aufgehebelt werden müsste.

          Auto-Diebstähle : Aufrüstung auf beiden Seiten

          Die Zahl der Auto-Diebstähle sinkt – doch die Täter tricksen elektronische Sperren immer wieder aus. Kleine Tricks können den Besitzern viel Ärger ersparen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.