Security

Swisscom und andere killen das Passwort. Und das ist auch gut so!

Das Internet stellt sich ein bisschen wie unsere reale Welt dar, es gibt Plätze (soziale Netzwerke), in denen sich Menschen treffen und austauschen, es gibt Warenhäuser (z.B. siroop) und Bankfilialen (wie PostFinance eFinance) und jeder von ihnen bewegt sich praktisch tagtäglich in dieser digitalen Welt.

Mario Gurschler, Senior Product Manager
23. Februar 2022

Genauso wie in der realen Welt sind jedoch auch in ihrem digitalen Pendent zutrittsbeschränkte Bereiche wichtig. So wie wir unsere Haustüre zusperren, wenn wir nicht zuhause sind, sperren wir auch andere Benutzer von unseren privaten Accounts aus, um diese vor neugierigen fremden Augen und vor allem vor Missbrauch oder Diebstahl zu schützen. Der Schlüssel, mit dem wir bisher fast alles im digitalen Raum schützten, ist zugleich der schlechteste, den man wählen kann – eine Aneinanderkettung von im besten Fall mehr als 10 aber meist nur 6-8 Zeichen – dem Passwort. Derjenige, der es kennt, es errät oder dem es in die Hände fällt, hat Zugang zu unseren sensibelsten Bereichen unseres Lebens: Fotos von uns und unseren Kindern, unsere Adresse und Kreditkartennummer, unser Bankkonto und vieles mehr. Wir verlassen uns seit langer Zeit, eigentlich sogar seit es Computer und elektronische Netzwerke gibt, auf den vermeintlichen Schutz durch Passwörter, aber dieser Schutz ist eine Illusion. Und die Gefahr steigt.

Warum?

Also so richtig sicher waren Passwörter ja noch nie. Mit unzähligen Phishing-Mails, immer einfacheren und leichter zugänglichen Tools zum Knacken von Passwörtern und einer Vielzahl an bereits vorhanden „Passwort-Leaks“ steigt jedoch die Gefahr, selbst Opfer eines Hacks zu werden. Erschwerend kommt jedoch hinzu, dass immer mehr unserer digitalen Identität in der Cloud gespeichert ist und die Accounts oft miteinander verlinkt sind. So steigen nicht nur die Wahrscheinlichkeit, sondern es verschlimmern sich auch die Folgen und Auswirkungen eines solchen Hacks.

Die Lösung

Ist ein Rückzug aller unserer Daten auf private Festplatten und eine Löschung unserer Accounts tatsächlich die einzige Möglichkeit, uns effektiv zu schützen? Ja, aber es ist keine sehr praktikable und eine absolut realitätsferne Lösung. Aus diesem Grund setzen bekannte Portale und Cloudbetreiber wie Facebook, Apple oder WhatsApp, aber auch Swisscom auf die sogenannte 2-Faktor-Authentifizierung (2FA), bei der eine zusätzliche Sicherheitsebene verwendet wird.

Wie der Name schon sagt, benötigt man bei der 2-Faktor-Authentifizierung zwei von insgesamt drei möglichen Faktoren für einen erfolgreichen Login.

Die drei möglichen zulässigen Faktoren sind:

1. Besitz – etwas, das ich als Nutzer besitze wie beispielsweise eine Kreditkarte oder ein Mobiltelefon

2. Wissen – etwas, das nur ich als Nutzer weiss, wie zum Beispiel meinen Benutzernamen, mein Kennwort, meinen PIN oder ein Einmal-Passwort

3. Sein – etwas, das als körperliches Charakteristikum untrennbar zu mir gehört, wie beispielsweise mein Fingerabdruck, meine Iris oder der Klang meiner Stimme.

Das bedeutet, dass für einen erfolgreichen Login nicht nur das Passwort (Wissen) benötigt wird, sondern man gleichzeitig z.B. im Besitz eines Handys sein muss, auf dem man einen Login-Versuch bestätigen oder möglicherweise sogar eine per SMS versendete Einmal-PIN in den Webbrowser übertragen muss. Jemand müsste also nicht nur mein Passwort kennen, sondern gleichzeitig auch mein Handy stehlen. Durch diese einfache Massnahme steigt der Schutz unserer Daten immens, ohne dass man viel an Bequemlichkeit verliert.

Mobile ID, 2-Faktor Authentifizierung aus der Schweiz und für die Schweiz

Swisscom hat hierfür vor einigen Jahren Mobile ID entwickelt, das sich mittlerweile zu einem Schweizer Erfolgsmodell gemausert hat. Mobile ID wurde als Sicherheitsmerkmal auf SIM-Karten konzipiert und ist heute bei den meisten Schweizer Telekommunikationsanbietern verfügbar, so dass dem Grossteil der Schweizer Bevölkerung eine sichere 2-Faktor-Authentifizierung mittels Telefon und PIN auf Onlineportalen wie z.B. der PostFinance zur Verfügung steht. Strenggenommen handelt es sich beim PostFinance-Login sogar um eine besonders sichere Multi-Faktor-Authentifizierung. Ein eBanking-Kunde muss nicht nur seine persönlichen Login-Daten parat haben, sondern eben auch sein persönliches Mobilfunkgerät und den Mobile ID PIN. Ein Missbrauch wird so effektiv verhindert. Und weil ein mehr an Sicherheit leider nur zu oft auf Kosten der Bequemlichkeit geht, setzt man bei Mobile ID nicht auf Einmalpasswörter, die in den Webbrowser übertragen werden müssen, sondern auf eine sechsstellige PIN, welche nur der Nutzer kennt. Während des Anmeldeprozesses wird der Benutzer auf dem Handy gefragt, ob er sich einloggen möchte. Nach der Bestätigung gibt er seinen sechsstelligen PIN auf dem Handy ein. Der Webserver, der an das Mobile ID Backend angebunden ist, registriert den Anmeldeversuch und die gültige Authentifizierung und schaltet den Benutzer innerhalb weniger Sekunden frei. Der Benutzer kann sich so auf beliebigen, voneinander unabhängigen Webseiten mit der immer gleichen PIN einzuloggen – übrigens auch ins Swisscom Kundenportal.

Wie sieht die weitere Entwicklung aus?

Der flächendeckende und übergreifende Einzug von sicheren Authentisierungsmöglichkeiten im Web bietet optimale Voraussetzungen für digitale Geschäftsmodelle und die digitale Verwaltung. Diese setzen für notwendige rechtsverbindliche Willensbekundungen eine zweifelfreie Identifikation voraus, wobei hier die Authentisierung nur der erste, aber sehr wichtige Schritt ist. Zusätzlich ins Spiel kommen hier die digitale Unterschrift für die rechtsverbindliche Autorisierung und die digitale Identität, auch eID genannt. Die beiden letztgenannten Themen sind aktuell hochgehandelt in der Schweiz mit enormer Wichtigkeit für Staat und Gesellschaft. Ich möchte diesen Punkten deshalb gerne einen separaten Blogeintrag in der nahen Zukunft widmen.