Passwort zur eindeutigen Authentifizierung nicht mehr ausreichend

Experten erörtern Bedeutung und Voraussetzungen für vertrauenswürdige Online-Identitäten

[datensicherheit.de, 01.02.2017] In einer aktuellen Stellungnahme des Branchenverbands eco wird auf die Bedeutung einer starken Zwei-Faktor-Authentisierung als Grundlage für vertrauenswürdige Identitäten hingewiesen – Nutzername und Passwort alleine seien nicht mehr zeitgemäß. Sichere Identitäten aber seien im Internet der Dinge (engl.: Internet of Things / IoT) auch für Objekte wie Autos und Organisationen notwendig.

Sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung

In der technisierten Lebens- und Arbeitswelt von heute seien sichere digitale Identitäten unverzichtbar – nicht nur beim Online-Banking möchten Nutzer zuverlässig erkannt werden. Für immer mehr Anwendungen in der Cloud oder für das Smartphone sei die sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung. Es stelle sich nun die Frage, wie es sich verhindern lässt, dass sich eine Person digital als jemand anders ausgibt.
„Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus“, betont Oliver Dehning, Leiter der „Kompetenzgruppe Sicherheit“ im eco – Verband der Internetwirtschaft e.V.

Abermillionen gestohlener Passwörter im Netz

Auch die Bundesregierung betone in ihrer am 9. November 2016 beschlossenen „Cyber-Sicherheitsstrategie für Deutschland 2016“, dass das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren als Standard zu ergänzen und nach Möglichkeit abzulösen sei.
Denn bei einer Authentisierung mittels Nutzername und Passwort seien Diebstahl, Manipulation oder Fälschung einer Identität nicht hinreichend ausgeschlossen. Hunderte Millionen gestohlener Passwörter inklusive Nutzernamen und E-Mail-Adressen kursierten im Internet. Diese stammten aus Hacks bedeutender Webseiten. Millionenfacher Passwort-Diebstahl sei nicht nur von den Online-Diensten Dropbox, Yahoo und LinkedIn eingeräumt worden. Es gebe ein großes Bedürfnis nach besseren digitalen Verfahren zum Nachweis der eigenen digitalen Identität, so Dehning.

Starke, nutzerfreundliche Authentisierungs-Methoden gefragt

„Eine starke Authentisierung setzt die Nutzung zweier unterschiedlicher Faktoren voraus“, sagt Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Dabei gelte es, Authentisierungsfaktoren geschickt zu kombinieren, um verschiedene Angriffskategorien abzuwehren und die Stärken verschiedener Faktoren zu kombinieren. Es sollten asymmetrische Verfahren bevorzugt werden, bei denen keine zentrale Datenbank notwendig ist.
Mit Ausweisdokumenten einschließlich Online-Ausweisfunktion stelle die Bundesregierung bereits eine „hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereit“, heißt es in der „Cyber-Sicherheitsstrategie für Deutschland 2016“. Der neue deutsche Personalausweis (eID) beispielsweise biete eine sichere Möglichkeit, sich auch für Cloud-Infrastrukturen zu identifizieren. Dies habe Dr. Detlef Hühnlein von der ecsec GmbH im Rahmen der „Internet Security Days 2016“ in Brühl bei Köln gezeigt. Mit der Lösung „SkIDentity“ auf der Basis der Online-Funktion des Personalausweises ließen sich sichere virtuelle Identitäten erstellen und auch transferieren, beispielsweise auf ein Smartphone. Mit dieser vom BSI nach ISO 27001 auf Basis von IT-Grundschutz und von der TÜV Informationstechnik GmbH gemäß dem „Trusted Cloud Datenschutz“-Profil zertifizierten Lösung könnten sich Nutzer anschließend bis zu 14 Tage lang auch ohne Nutzung des physikalischen Ausweises für digitale Services authentisieren.

Foto: eco – Verband der Internetwirtschaft e.V.

Oliver Dehning: „Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus!“

Zweifelsfreie Identitäten für Personen, Institutionen und Objekte

Im Internet der Dinge benötigten nicht nur Personen, sondern auch Objekte zweifelsfreie Identitäten. „Wenn beispielsweise Fahrzeuge untereinander kommunizieren, um sich gegenseitig vor Gefahren zu warnen oder über die Verkehrslage zu informieren, dann muss die Kommunikation zugleich vertrauenswürdig sein und extrem schnell ablaufen“, erläutert Christian Welzel vom Fraunhofer Institut FOKUS. Auch Organisationen und Dienste brauchten digitale Identitäten, denen Nutzer vertrauen können.
„Dem Staat kommt dabei die Rolle zu, den Rahmen festzulegen. Er definiert rechtliche und technische Anforderungen und gewährleistet über Zertifikate Sicherheit.“ Zugleich stehe der Staat in Konkurrenz zur Wirtschaft, die eigene Möglichkeiten zur Authentisierung geschaffen habe. Beispiele dafür seien etwa die „Facebook ID“ für Personen oder Gütesiegel für Online-Shops. Generell gelte: „Lösungen für digitale Identitäten müssen global gedacht werden und internationalen Standards und Kriterien genügen“, unterstreicht Welzel. Dies gelinge mit einheitlichen Standards und Rahmenbedingungen und abgestimmten Vergleichskriterien für Authentisierungsverfahren.

Weitere Informationen zum Thema:

datensicherheit.de, 09.11.2016
Cyber-Sicherheitsstrategie 2016: Investments in die digitale Aufklärungsarbeit