Mobile Connect

Ein Universalschlüssel für alle Dienste im Internet

Von Michael Spehr
 - 15:44

Es soll nur Gewinner geben, und zwar gleich dreifach: die Nutzer, die Anbieter von Internetdienstleistungen und der neue Mittelsmann, um den es hier geht. Das Szenario wird zuckersüß immer wieder aus Kundensicht beschrieben. Endlich komme eine neue Lösung, auf die alle gewartet hätten. Muss man sich bisher langwierig bei unterschiedlichen Diensten im Netz mit Name, E-Mail-Adresse und Kennwort registrieren, gebe es nun einen „neuen Standard der digitalen Authentifizierung“.

Es geht um Identitätsmanagement, ein Schlüssel für alle Schlösser: Mobile Connect heißt das Produkt, das von der GSM Association (GSMA), der Industrievereinigung der Mobilfunker, zum Mobilfunk-Weltkongress in Barcelona ins Leben gerufen wird. Die Idee besteht darin, dass sich Verbraucher über ihr Handy sicher bei Internetdiensten anmelden können. Ein einziges Mal vom Nutzer selbst angemeldet, übernimmt Mobile Connect alle weiteren Logins für andere Dienste.

Das Telefon soll also zum Universalschlüssel werden. Statt Dutzender von Login-Daten muss man nur sein Telefon parat haben, und schon ist man überall „drin“. Auch bei ganz neuen Diensten kann man sich mit einem einzigen, schnellen Login anmelden.

Die Tücke liegt im Detail

Mobile Connect wird in Deutschland von allen drei Netzbetreibern unterstützt, zunächst für den Einkauf in Online-Shops und der Anmeldung in Internet-Portalen. Das beginnt Mitte des Jahres, und später wollen die Mobilfunker sogar hoheitliche Aufgaben wahrnehmen, nämlich ein Login für Online-Behördengänge anbieten.

Doch die Tücke liegt wie immer im Detail. Niemand hat Mobile Connect standardisiert, es ist ein Vorstoß der Mobilfunker. Von hoheitlichen Aufgaben weiß der deutsche Gesetzgeber nichts. Die Idee, Identitätsprüfung und Authentifizierung einer zwischengeschalteten Instanz zu überlassen, ist sodann alles andere als neu.

Das Login mit dem eigenen Facebook-Account begegnet einem bereits an jeder Ecke des Internets. Von einer Web-Anwendung wechselt man beispielsweise zu Facebook, wo man sein Benutzer-Login vornimmt. Anschließend kommt die Frage, ob man der Web-Anwendung den Zugriff erlauben will. Damit ist die Authentifizierung abgeschlossen. Man wird zur ursprünglichen Anwendung zurückgeleitet und kann hier nun loslegen.

Facebook chiffriert Daten nicht

Genau so funktioniert der weniger verbreitete Login mit anderen Plattformen wie Google oder Twitter. Der Nutzer hat den Vorteil des erleichterten Einbuchens und der Anbieter die Gewissheit, dass seine Kunden reale Menschen sind, die sich bei Google, Twitter oder Facebook bereits legitimiert haben. Seit Jahren gelten diese Login-Verfahren als schick und sicher, sie laufen unter dem Oberbegriff O Auth, Open Standard for Authorization.

O Auth gibt es seit 2006, und es hat in seiner ursprünglichen Implementierung den Vorzug, dass Dritten gegenüber die Privatsphäre des Nutzers gewahrt bleibt. Daten des Nutzers werden – zum Beispiel an die Web-Anwendung – nur als Token übermittelt, als chiffrierte Zeichenkette, und Zugriffsrechte lassen sich jederzeit widerrufen.

Nur wird dieses O-Auth-Prinzip fortwährend von den Netzgiganten aufgebrochen. Bereits vor vier Jahren konnten wir nachweisen, dass Facebook einer Web-Anwendung die hinterlegte E-Mail-Adresse und andere Daten als Klartext zukommen lässt. Daraus ergibt sich, dass ein Widerruf der Autorisierung sinnlos ist, weil die Daten schon in dessen Hand sind.

Besser Pseudonym als Klarname

Dass Google, Facebook und Twitter als Identitätsmanager fortwährend mehr Daten über ihre Nutzer sammeln, lautet also die Kritik. Es geht nicht mehr um eine sichere Authentifizierung, sondern darum, dass Facebook noch besser weiß, was seine Mitglieder außerhalb von Facebook treiben. Die Datensammlung und -auswertung ist der große Gewinn für die Plattformen in der Mitte, viele Fachleute meinen sogar: ein Hauptgewinn. Mobile Connect spricht ganz offen davon, dass sie weltweit die größte Authentifizierungsplattform werden wollten, und dass ganz neue Einnahmemöglichkeiten für alle Beteiligten entstünden.

Wer sich auf einer Authentifizierungsplattform mitsamt Realnamen, tatsächlichem Geburtsdatum, Postanschrift, Bankverbindung und Handy-Nummer anmeldet, setzt sich der Gefahr aus, dass alle diese Datensätze weitergegeben werden. Auch wenn sie für die Nutzung einzelner Web-Angebote gar nicht erforderlich sind. Warum sollte der Bilderdienst, zu dem man seine Fotos hochlädt, die Handy- und Kreditkartennummer haben? Welchen Sinn hat es, dass eine Dating-Plattform den realen Namen, die Postanschrift und die Bankverbindung kennt? Es ist doch viel besser und sicherer, sich unter einem Pseudonym anzumelden. Muss ein Online-Shop die Kreditkartendaten bekommen, selbst wenn man vorsichtshalber auf Rechnung zahlen möchte?

Bequem oder naiv und gefährlich?

Daten, die herausgegeben wurden, sind unwiderruflich weg, und man bekommt sie auch nicht mehr zurück. Die Idee, das Handy zum Universalausweis zu machen, appelliert an die Bequemlichkeit. Aber man bezahlt wahrscheinlich damit, dass komplette Datensätze einen tiefen Einblick in die jeweiligen Lebensumstände erlauben und dass mit der Verknüpfung aller dieser Daten neue Erkenntnisse entstehen, die man nicht einmal ahnt. Werden die Bestände solcher Identitätsdienstleister von Hackern übernommen, sind die Folgen erheblich weitreichender als der Angriff auf einen einzelnen Web-Dienst mit weniger persönlichen Informationen.

Wenn Mobile Connect an den Start geht, wird es Open ID Connect verwenden, das auf O Auth basiert. In den Mobilfunknetzen und auf Websites soll Mobile Connect als weitere Login-Option neben Facebook und Google stehen. Man wird sehr genau fragen müssen, wie die Interaktion und der Datenaustausch zwischen den einzelnen Akteuren stattfindet und wie die Daten übertragen werden, ob chiffriert oder im Klartext. Spätestens bei Lieferadressen oder Bankverbindungen endet ohnehin der O-Auth-Schutz. Die Idee des „einfachen Einloggens“ hatte früher ihren Charme, mittlerweile erscheint sie als gefährliche Naivität.

In Deutschland soll Verimi ein erster großer Partner von Mobile Connect werden. Verimi ist eine Plattform mehrerer deutscher Konzerne, darunter Allianz, Axel Springer, Daimler, die Deutsche Bank mit der Postbank und der Kartendienst Here. Ein zweites Projekt, das ebenfalls noch in diesem Jahr an den Start gehen will, ist die „Log-in-Allianz“, getragen von RTL Deutschland, Pro Sieben Sat 1 Media und United Internet, zu der Web.de und GMX gehören. Nutzer sollen sich dann mit ein und demselben Login bei GMX, Zalando und TV Now anmelden können.

Quelle: F.A.Z.
Michael Spehr
Redakteur im Ressort „Technik und Motor“.
FacebookTwitterGoogle+
  Zur Startseite
Ähnliche ThemenFacebookTwitterDeutschlandDeutsche BankAxel SpringerWeb.de