Archiv


Verlust des digitalen "Ichs"

IT-Sicherheit.- In München fand diese Woche die European Identity Conference statt. 500 Experten aus aller Welt diskutierten darüber, wie der Umgang mit Nutzernamen und Passwörtern sicherer gemacht werden könnte. Dass auf diesem Gebiet Nachholbedarf besteht, zeigen die jüngsten Vorkommnisse bei RSA Security und Sony.

Von Achim Killer |
    Während einiger Vorträge auf der European Identity Conference geht es zu wie bei einem Veteranentreffen. Dann erinnern sich Pioniere auf dem Gebiet der Internet Sicherheit gemeinsam an Firmen, die vom Markt verschwunden sind, und an digitale Zugangskontrollen, die sich als schwach und überwindbar erwiesen haben.

    Jackson Shaw von Quest Software etwa hat für seine alten Freunde im Auditorium eine Liste untergegangener Sicherheitsunternehmen zusammengetragen. Den Namen des Kryptographie-Pioniers RSA Security darauf hat er vorsorglich schon einmal durchgestrichen. Dessen Passwort-Generatoren sind unlängst geknackt worden. Und Banken beispielsweise, die den Zugang mit RSAs Einmalpasswörtern fest in ihre Systeme einprogrammiert haben, haben deswegen jetzt ein richtiges Problem. Die versatile Authentication, übersetzt etwa: die flexible Zugangskontrolle, ist denn auch einer der aktuellen Trends in der IT-Sicherheit, die der Veranstalter, die Unternehmensberatung Kuppinger-Cole, ausgemacht hat. Martin Kuppinger:

    "Die Grundidee ist, dass man eine Schicht hat, bei der ich verschiedene Authentifizierungsverfahren kombinieren und einbinden kann - das heißt in dem Fall zum Beispiel dann die Möglichkeit habe, ein Verfahren, RSA, durch ein anderes Verfahren zu ersetzen, ohne dass ich jetzt beginnen muss, meine Anwendung, auf die ich abziele, direkt zu ändern. Sondern ich mache es sozusagen auf der Konfigurationsebene und nicht, indem ich wieder neu entwickle – ich schaffe mir einfach mehr Flexibilität."

    Und Kim Cameron weist auf einen weiteren aktuellen Trend hin. Seit ein paar Tagen ist er im Ruhestand. Zuvor trug er den imposanten Titel Microsoft Identity Architect.

    "Der wichtigste Trend ist die Föderation. Das bedeutet, dass man eine Identität, die man an einem Ort hat, auch an anderen Orten verwenden kann. Solche Systeme gibt es für den Unternehmenseinsatz. Und jetzt geht das in den Konsumenten-Bereich. Es gibt Facebook Connect und Twitters Sigle-Sign-on-System. Vom Konsumenten-Standpunkt aus betrachtet, stellt sich die Frage, in welchem Ausmaß man all seine Identitäten verbinden will. Ich persönlich vermute, dass nicht sehr viele Leute Facebook für’s Online-Banking verwenden wollen."

    In Open-Source-Projekten, etwa der Open-ID oder im Rahmen der sogenannten Liberty Alliance, wurden derartige Zugangssysteme entwickelt. Jetzt machen die sozialen Netzwerke des Web 2.0 sie populär. Diese sozialen Netzwerke zeigen aber auch ständig die Verletzbarkeit digitaler Identitäten auf. Hacker greifen Profildaten ab. Und von geknackten Accounts aus wird Spam verschickt. Wann denn wohl der nächste große Identitätsdiebstahl im Netz aufgedeckt werde, will ich von Kim Cameron wissen.

    Jetzt, während wir sprechen, meint er. Ja, und es muss wohl auch der Zeitpunkt gewesen sein, als bekannt wird, dass bei Facebook wieder einmal jede Menge Profildaten von Nutzern auf Abwege geraten sind.