Zwischen Datenschutz und Kundenerlebnis

Die prekäre Zukunft der digitalen Identität

von - 16.03.2021
Datenschutz
Foto: TierneyMJ / shutterstock.com
Eine sichere, komfortable und datensparsame Authentifizierung ist gar nicht so leicht zu gewährleisten. Hinzu kommt der sorglose Umgang mit Daten vieler Nutzer.
Heute sind es 10 Milliarden, 231 Millionen 766 Tausend und 288. Wenn Sie diesen Artikel lesen, wird die Zahl schon wieder deutlich gestiegen sein. Die Rede ist ausnahmsweise nicht von Corona-Infektionen, Impfdosen oder Pandemie-bedingten Wirtschaftsschäden. Es geht auch nicht um die Zahl der Klagen, die Donald Trump gegen das Ergebnis der US-Präsidentschaftswahlen angestrengt hat. Nein, es handelt sich um die Masse gestohlener und kompromittierter digitaler Identitäten, zusammengetragen und veröffentlicht auf der Webseite Have I Been Pwned . Jeder kann dort prüfen, ob seine E-Mail-Adressen oder Passwörter betroffen sind. Wer hier nicht fündig wird, hat wahrscheinlich die vergangenen zehn Jahre ohne Internet verbracht.
„Identitätsdiebstahl ist ein großes Problem“, sagt Eugenio Pace, CEO von Auth0, einem Spezialisten für das Identitätsmanagement, „und es wird immer schlimmer.“ Die Authentifizierung mit Nutzername und Passwort sei so alt wie die Computernutzung selbst, so Pace weiter. „Schon vor 50 Jahren musste man sich mit diesen Credentials anmelden, wenn man einen Rechner nutzen wollte.“ Heute sei der gesamte Alltag von digitalen Identitäten durchdrungen. „Es gibt kaum einen Aspekt unseres Lebens, der nicht mit einem Computer in Berührung kommt - und alle wollen wissen, wer ich bin und welche Rechte ich habe.“ Hinzu kommen zunehmend raffinierte Angriffsmethoden: „Es fällt immer schwerer, Anwender zuverlässig zu identifizieren und legitime von illegitimen Zugriffen zu unterscheiden.“
Die Folge dieser Entwicklung ist ein weitverbreitetes Misstrauen. Ein Drittel der Deutschen vertraut weder staatlichen noch privaten Plattformen, wenn es um den verantwortungsvollen Umgang mit Identitätsdaten geht. Dies ergab eine repräsentative Umfrage des Marktforschungsinstituts Civey, das der eco - Verband der Internetwirtschaft anlässlich des „Monats der digitalen Identitäten“ im Juni 2020 in Auftrag gegeben hatte.
Das Misstrauen ist für die Deutschen allerdings kein Grund, sorgsam mit ihren Daten umzugehen. Obwohl 97 Prozent der Umfrageteilnehmer sozialen Medien misstrauen, zählt allein Facebook über 30 Millionen aktive Nutzer in Deutschland. Genau so widersprüchlich sieht es bei den Schutzmaßnahmen aus, die Deutsche gegen Missbrauch und Diebstahl ihrer Identitäten einsetzen. Nur ein Drittel nutzt eine Zweifaktor-Authentifizierung, 14 Prozent ergreifen gar keine Maßnahmen. „Wir brauchen ein höheres Bewusstsein für die Sicherheit der eigenen Identität im Internet“, fordert Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices und Sicherheitsexperte des eco, mit Blick auf die Umfrageergebnisse. 

Datenschleuder Social Login

Eine wesentliche Ursache des Problems ist die Vielzahl von Accounts, die jeder Internetnutzer verwalten und absichern muss. Der durchschnittliche Deutsche hat Presseberichten zufolge 78 Online-Konten, in Großbritannien und den USA sollen es sogar deutlich über 100 sein. Kein Wunder also, dass Nutzer Passwörter bevorzugen, die kurz und einfach zu merken sind, und diese mehrfach verwenden. Laut dem „State of the Phish“-Report des Security-Dienstleisters Proofpoint nutzen 16 Prozent der Anwender nur ein bis zwei Passwörter für alle ihre Accounts, weitere 29 Prozent wechseln immerhin zwischen fünf und zehn Kennwörter durch. Weltweit nutzen 23 Prozent einen Passwort-Manager für die Verwaltung der Kennwörter, in Deutschland sind es nur 17 Prozent.
Zahlreiche Initiativen wurden gegründet, um Abhilfe für das Passwort-Chaos zu schaffen, doch keine davon konnte bisher eine kritische Masse erreichen. Am weitesten verbreitet sind noch die Social-Login-Angebote von Facebook, Twitter, Google oder Apple. Sie erlauben es, die Identitäten auf den jeweiligen Plattformen auch für das Login auf anderen Seiten zu nutzen. Der Preis dafür ist allerdings hoch, denn die sogenannten Social Logins gefährden Privatsphäre und Sicherheit. Wer sich beispielsweise mit seinem Facebook-Login auf Drittseiten registriert, gibt den Anbietern Zugriff auf sein Facebook-Profil. In viele Webseiten sind zudem Skripte von Drittanbietern eingebettet, die ebenfalls mitlesen können. Hinzu kommt die flächendeckende Überwachung durch US-Behörden. Gemäß Section 702 des Foreign Intelligence Surveillance Act (FISA) sind US-amerikanische Telekommunikations- und Internetfirmen verpflichtet, Daten von Nicht-US-Bürgern den amerikanischen Geheimdiensten zur Verfügung zu stellen.
Medienberichten zufolge sind die Konzerne Apple, Facebook, Google und Microsoft an dem Massenüberwachungsprogramm PRISM beteiligt, das 2013 von Edward Snowden aufgedeckt wurde. Sie werden deshalb auch als „PRISM Provider“ bezeichnet. Hinzu kommen gesetzliche Regelungen wie der CLOUD Act, die es auch US-Ermittlungsbehörden erlauben, auf Daten von Nicht-US-Bürgern zuzugreifen, selbst wenn diese außerhalb der USA gespeichert werden. Es ist damit ganz offensichtlich, dass in den USA kein der Europäischen Union vergleichbares Schutzniveau für Daten herrscht. Das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 hat dies bestätigt und das Privacy-Shield-Abkommen mit den USA folgerichtig für ungültig erklärt. „Der Verlust des Privacy Shields durch Schrems II hat noch einmal Licht auf diese Problematik geworfen“, sagt Detlef Hühnlein, Geschäftsführer beim Sicherheitsspezialisten ecsec. Auch Cornelia Schildt, Projektmanagerin IT-Sicherheit im eco-Verband, betrachtet die Marktbeherrschung der US-Konzerne bei der Login-Verwaltung mit Sorge: „Identitätsdienste haben eine große Macht. Sie entscheiden letztendlich, wer was darf und wer nicht.“
In Europa werden deshalb immer mehr Stimmen laut, die mehr Eigenständigkeit und Unabhängigkeit von den US-Giganten fordern. „Solange die Dominanz der US-amerikanischen Anbieter in zentralen Bereichen des Internets anhält, können Deutschland und Europa nicht wirklich digital souverän sein“, erklärt Oliver Dehning, Gründer der Hornet­security GmbH und Leiter der Kompetenzgruppe IT-Sicherheit bei eco.
Initiativen wie Gaia-X sollen beispielsweise im Cloud-Bereich ein Gegengewicht zu AWS, Microsoft Azure und Goo­gle schaffen. Auch bei der Identitätsverwaltung gibt es Bestrebungen, die US-Hegemonie zu brechen. Mit der „eIDAS-Verordnung“ (Verordnung (EU) Nr. 910/2014), die seit Juli 2016 vollständig anwendbar ist, hat die Europäische Union dafür die Voraussetzungen geschaffen. Sie will unter anderem eine Interoperabilität zwischen den Authentifizierungssystemen der Mitgliedsländer bieten und es so Bürgern erleichtern, unionsweit Verwaltungsdienstleistungen in Anspruch zu nehmen.
Verwandte Themen