https://www.faz.net/-gqe-882ix

Neue Sicherheitsstandards : IT-Unternehmen träumen vom Tod des Passworts

  • Aktualisiert am

„Passwort eingeben“: Ein beliebter Angriffspunkt für Hacker. Bild: dpa

„Passwort und Benutzername eingeben“ - auf fast jedem Online-Portal liest der Internetnutzer diese Aufforderung. Sicher ist das nicht. An einer besseren Alternative wird bereits getüftelt.

          Am besten lang und möglichst kompliziert, eine willkürliche Reihenfolge aus Buchstaben, Zahlen und Sonderzeichen. Passwörter sollen regelmäßig geändert und nicht mehrfach benutzt werden. Doch viele Internetnutzer halten sich nur selten daran. Es ist einfach zu umständlich. Doch das erleichtert Cyberkriminellen die Arbeit erheblich.

          „Passwörter will keiner mehr“, fasst Bernd Kowalski vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Expertensicht zusammen. Das Anmelden im Internet soll sicherer und zugleich simpel werten. Fachleute arbeiten bereits an einer Lösung. Ein vielversprechendes Projekt ist die Fido-Allianz, in der große IT-Unternehmen mitwirken. Setzt sich ihr Ansatz durch, könnte das herkömmliche Passwort bald der Vergangenheit angehören.

          Fido steht für „Fast Identity Online“, auf deutsch „Schnelle Identität im Internet“. Zusammengeschlossen haben sich hier unter anderem der Bezahldienst PayPal, der Computerhersteller Lenovo und der Technologiekonzern Infineon. Inzwischen sind Internet- und Technologie-Riesen wie Google, Microsoft und Samsung sowie die Kreditkartenanbieter Visa und Mastercard ebenfalls mit an Bord.

          Der Schlüssel ist Einfachheit

          Fido will neue Standards für die Authentifizierung im Internet durchzusetzen. Die vergleichsweise unsichere Variante „Benutzername plus Passwort“, die momentan noch fast überall Standard ist, soll abgelöst werden. Hier gibt es bereits diverse Ansätze, zum Beispiel das Einmalpasswort, bei dem für jeden Anmeldevorgang ein neuer Code generiert wird. Auch dieses System gilt aber als anfällig. Mehr Zuspruch von Experten findet die sogenannte Zwei-Faktor-Authentifizierung. Ein Beispiel ist das Abheben am Bankautomaten: Damit Geld ausgespuckt wird, muss der Nutzer neben der Bankkarte die dazu passende PIN kennen.

          Im Netz geht Zwei-Faktor-Authentifizierung häufig so: Ein Nutzer meldet sich am Computer mit Benutzername und Passwort auf einer Internetseite an und bekommt sofort einen Hinweis auf sein Handy, dass gerade ein Einlog-Versuch unternommen wird. Erst wenn der Benutzer den Vorgang auf dem Handy freigibt, wird das Einloggen am Rechner fortgesetzt. Unter anderem für Facebook und Twitter gibt es solche Verfahren bereits.

          Fido will nun einerseits sichere Verfahren durchsetzen und andererseits verhindern, dass sich Nutzer dabei für unterschiedliche Dienste mit unterschiedlichen Anwendungen herumschlagen müssen. „Der Schlüssel für eine breite Akzeptanz ist Einfachheit“, betonte der Geschäftsführer der zur Bundesdruckerei gehörenden D-Trust GmbH, Kim Nguyen, kürzlich in Berlin . Die neuen Authentifizierungsvarianten müssten für Nutzer attraktiv sein - „die Leute müssen das wollen“. Auch Fabian Bahr vom Technologiekonzern Giesecke & Devrient betonte, die „sehr geringen Eintrittshürden“ für die Nutzer seien von großer Bedeutung.

          Hindernis: Begrenzte Anzahl von beteiligten Anbietern

          Die Allianz hat Standards entwickelt, die für jeden Anbieter nutzbar sind. Es gibt eine Zwei-Faktor-Variante und eine, bei der gar kein Passwort mehr gebraucht wird. Die Nutzer bestätigt seine Identität entweder mit einem biometrischen Merkmal, klassischerweise einem Fingerabdruck - die Skepsis gegenüber solchen Techniken ist allerdings in Deutschland und Europa recht groß. Alternativ können Nutzer auch ein sogenanntes Token verwenden. Das kann zum Beispiel ein spezieller USB-Stick oder eine Chipkarte sein. Idealerweise soll am Ende nur noch ein Token für alle Dienste genutzt werden können. Dieses kann zum Beispiel auch ins Smartphone eingebaut werden.

          „Entscheidend ist die Marktverbreitung“, betont Kowalski vom BSI . Hier sei Fido dank der Teilnahme diverser Branchen-Schwergewichte der vielversprechendste Ansatz. „Die Fido Allianz ist unsere bislang beste Chance“ für gute und praktikable Authentifizierungsstandards, sagt auch Chester Wisniewski vom Sicherheitssoftwarehersteller Sophos der Nachrichtenagentur AFP. Das System sei für den Durchschnittsverbraucher einfach genug und die Tokens seien auch nicht zu teuer.

          Das zentrale Problem bei Fido ist bislang noch die begrenzte Zahl von Anbietern, die die Standards der Allianz verwenden. Ein Branchenriese ist außen vor - und wird es wohl auch bleiben: Apple. Der US-Konzern baut lieber seine eigenen Lösungen.

          Weitere Themen

          Dieselskandal kommt vor BGH Video-Seite öffnen

          Showdown gegen VW : Dieselskandal kommt vor BGH

          Der Dieselskandal wird zum Fall für den Bundesgerichtshof (BGH): Der Dienstleister Myright wirft VW wegen des Einbaus von Schummelsoftware in Dieselautos unter anderem Betrug und sittenwidriges Verhalten vor.

          Topmeldungen

          Samsung Galaxy Fold : Smartphone, 2000 Euro, faltbar

          Nun ist es wirklich da. Samsung hat das erste faltbare Smartphone in Serienreife vorgestellt. Es kommt Anfang Mai, kostet 2000 Euro und hat aufgeklappt einen Bildschirm, der fast so groß ist wie das iPad Mini.

          Brexit-Krise : Kein Durchbruch, aber May sieht Fortschritte

          Der Countdown zum angestrebten Austrittsdatum vom 29. März läuft. Doch einig sind sich die britische Premierministerin May und EU-Kommissionspräsident Juncker nur darüber, dass sie weitere Gespräche führen wollen.
          Eine einfache Gesetzesänderung hätte auch gereicht - das Grundgesetz hätte nicht angetastet werden müssen.

          Digitalpakt-Kommentar : Armes Grundgesetz

          Die Änderung des Grundgesetzes für den Digitalpakt widerspricht dem Geist unserer Verfassung – denn sie schadet dem Föderalismus, der einen Wettbewerb um die beste Politik vorsieht.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.