Sicherheit und verlässliche Identitäts-Überprüfungen in unserer heutigen digitalen Landschaft zu gewährleisten, ist echte Teamarbeit. Es ist kein Geheimnis, dass persönliche Informationen und der Zugang zu Konten auf kriminellen Plattformen im Internet stark gehandelt werden. Vor diesem Hintergrund erscheint der traditionelle Weg, Konten mit Passwörtern zu schützen, unzureichend – und zwar sowohl in Bezug auf die Nutzererfahrung als auch bezüglich der Verlässlichkeit. Unserem CTO und Sicherheitsexperten Robert Hoffman zufolge wächst die Einsicht, dass Serviceanbieter dieser Bedrohung nur begegnen können, wenn sie einen robusteren und fortschrittlicheren Ansatz wählen. Qualifizierte Zertifikate, die von öffentlich-privater Key-Cryptography gestützt werden, sind eine zukunftssichere Lösung. Der Weg dahin ist aber nach wie vor langsam und uneinheitlich.
Passwörter, die sogar älter als das Internet sind, sind eine langjährige Annäherung an die Authentifizierung. Der Login-Prozess auf den meisten Webseiten lässt sich auch einen im Vorfeld vereinbarten Nutzernamen oder eine E-Mail-Adresse und einen geheimen Code – das Passwort – herunterbrechen. Diese beiden Faktoren werden zwischen dem Nutzer und der Webseite geteilt. Vor dem Hintergrund der Sicherheit reisen Passwörter während des Logins dabei als Hashtags durch die Drähte. Sie werden zudem auf Webservern gespeichert. Dabei besteht immer die Gefahr, dass sie gehackt werden.
In der modernen Welt, in der Sicherheit und Nutzbarkeit Hand in Hand gehen müssen, ist die passwortbasierte Authentifizierung ein massiver Schmerzpunkt für alle Beteiligten. „Alles von der Mehrfaktoren-Authentifizierung bis hin zu einer provisorischen Identitätsverifizierung durch Rechnungen – zusätzliche Schritte, die Serviceanbieter nutzen, um Vertrauen aufzubauen – haben ganz klar gezeigt, dass Passwörter ihr Haltbarkeitsdatum erreicht haben. Hinzu kommen zwei weitere Dealbreaker, was die Sicherheit betrifft: Die Wiederverwendung von Passwörtern und die Tatsache, dass nicht alle Serviceanbieter zusätzliche Sicherheitsmaßnahmen verwenden. Das öffnet Hackern die Türen und erlaubt es ihnen, auf Nutzerkonten zuzugreifen. Und das auch bei Webseiten mit einem außerordentlich hohen Sicherheitslevel. Wie sie das schaffen? Indem sie zunächst Webseiten hacken, die eine niedrigere Sicherheitsstufe besitzen“, sagt Robert.
Heutzutage hat ein gewöhnlicher Internetnutzer Dutzende von Konten, die durch Passwörter geschützt werden. Das macht es immer schwieriger, diese sicher zu speichern und zu managen. Laut Robert sind Passwort-Manager hier eine gute und sichere Lösung. Aber sie geht wiederum auf Kosten der Nutzbarkeit. „Selbst wenn wir sichere Passwörter kreieren und einen Passwort-Manager einrichten, sind Veränderungen unvermeidbar. Endgeräte gehen kaputt, werden gestohlen oder erhalten ein Upgrade. Einige Serviceanbieter verlangen von ihren Nutzern, dass diese ihre Passwörter regelmäßig ändern. Darüber hinaus haben Nutzer meist mehrere Endgeräte gleichzeitig. Das heißt, dass sie ihre Passwort-Manager dann auch auf all diesen Geräten synchronisieren müssen. Die Sicherheit bei diesem Level an Fluktuation aufrechtzuerhalten, setzt eine unnötige Menge an Ressourcen voraus. Warum also, wenn doch eine klare Alternative direkt vor uns ist?“ merkt Robert weiter an.
Während Nutzer-Identitäten wie Passwörter, Benutzername etc., auf die man sich in gegenseitigem Einverständnis geeinigt hat, leicht von Hackern verkörpert werden können, werden qualifizierte Zertifikate schnell von EU-Vorschriften gestützt. Zudem basieren sie auf der öffentlich-privaten Key Cryptography. „Diese Authentifizierungs-Methode ist bislang unvergleichlich – und zwar sowohl im Hinblick auf die Nutzererfahrung als auch im Hinblick auf die Sicherheit. Nutzer gliedern sich bei einem vertrauenswürdigen Serviceanbieter ein, der ihre Identität verifiziert und ihnen einen privaten Schlüssel erstellt. Wenn ein Nutzer mit einem Serviceanbieter interagiert, haben beide Seiten ihren privaten Schlüssel. Sie einigen sich auf eine geheime Verschlüsselung. Und zwar ausschließlich für die laufende Sitzung und keine zukünftigen! Hierbei handelt es sich um den Sitzungsschlüssel, und dieser wird für jede folgende Sitzung neu erstellt. Eine solche Art der Verschlüsselung für den Authentifizierungsprozess anzuwenden, garantiert ein deutlich höheres Sicherheitslevel. Das Gleiche lässt sich auf das Hacken anwenden. Wird einem Nutzer sein passwortgeschütztes Konto gestohlen, lässt sich diese nur sehr schwer wieder zurückholen. Anders sieht das aus, wenn der Serviceanbieter eine zertifikatsbasierte Authentifizierung mit eIDAS unterstützt. Nutzer können ihre Identität so ganz leicht wiedererlangen, indem sie sich bei ihrem vertrauenswürdigen Serviceanbieter eingliedern“, sagt Robert.
Die Masse an zusätzlichen Schritten in der passwortbasierten Authentifizierung zeigt, was größere Serviceanbieter und Regierungseinrichtungen längst erkannt haben: Passwörter alleine sind nicht mehr ausreichend. Robert zufolge gibt es aber noch einige Hürden auf dem Weg zu einer weitverbreiteten Adaption qualifizierter Zertifikate zu meistern. „Die Nutzerakzeptanz ist aktuell eine der größten Herausforderungen. Die Menschen sind an das System Nutzername – Passwort gewöhnt: Ich habe dieses Passwort, das ich erstellt habe und das nur ich kenne. Das heißt, nur ich kann mich einloggen, richtig? Im Vergleich dazu erscheinen Zertifikate und öffentlich-private Key Crypto wie Zauberei. Auch dann, wenn alle IT-Experten bestätigen, dass diese Lösung weitaus sicherer ist“, sagt Robert. Auch technische Herausforderungen sollten hier nicht übersehen werden. Vor allem deshalb nicht, weil die Implementierung zertifikatsbasierter Authentifizierung Ressourcen erfordert, die viele kleine Unternehmen einfach noch nicht haben. Das wird daraus deutlich, dass wir immer noch sehen, wie diese mit der richtigen Einrichtung der Multifaktoren-Authentifizierung kämpfen.
Ein weiteres Element des Nutzers-Widerstandes ist die Debatte um Anonymität. Da qualifizierte Zertifikate echte Identitäten repräsentieren, sind diese Sorgen berechtigt. Aber Robert weist darauf hin, dass das Teilen privater Informationen ein Schlüsselelement in 99 % aller Transaktionen ist – die übrigens in beide Richtungen laufen. „Ich sage nicht, dass die Menschen die Anonymität überbewerten – aber das ist sehr wichtig. In einer Geschäftstransaktion müssen sich beide Seiten kennen. Selbst, wenn du joe123 bist und bei einem Webshop kaufst, muss dieser wissen, an wen er liefern und wem er etwas in Rechnung stellen soll. Qualifizierte Zertifikate unterstützen einen sicheren Informationsaustausch. Das Level der Datensicherheit, das Passwörter nicht mehr gewährleisten können, ist hier das Tüpfelchen auf dem i“, merkt unser CTO und Sicherheitsexperte abschließend an.
Mehr Infos: