Von einer Zukunft ohne Passwörter
„Auf dem Gebiet von Datensicherheit und Datenschutz gibt es beständig Weiterentwicklungen. Die Europäische Kommission hat erst kürzlich die Anerkennung des Schweizer Datenschutzgesetzes als gleichwertig zur DSGVO verlängert. Damit kann der Datenverkehr zwischen der Schweiz und EU-Ländern weiterhin frei bestehen bleiben und Bürger können sich sicher sein, dass die Übermittlung personenbezogener Daten angemessenen Datenschutzgesetzen unterliegt.
Trotz aller Bemühungen für mehr Cybersicherheit und stärkeren Schutz persönlicher Daten lauern im Netz aber immer noch altbekannte Gefahren. Passwörter sind eine der wichtigsten Schwachstellen, die Kriminelle nutzen, um an sensible Daten zu gelangen. Besonders Phishing und Social Engineering bleiben ernst zu nehmende Bedrohungen, da sie für Cyberkriminelle der einfachste Weg sind, um sich Zugriff auf Nutzerkonten zu verschaffen. Mit etwa 40 Prozent sind Datendiebstähle wie diese die häufigste Art der Cyberattacke. Das mag unter anderem daran liegen, dass weder Phishing noch Social Engineering nennenswerte IT-Kenntnisse erfordern und die Tore zur Cyberkriminalität damit fast jedem offenstehen.
Und obwohl Experten, seit es Log-Ins mit Nutzername und Passwort gibt, wieder und wieder darauf hinweisen, wie sichere Passwörter aussehen sollen, wie lang sie sein müssen, dass man sie regelmäßig wechseln und nicht mehrfach verwenden soll, läuft ihr Rat häufig ins Leere. Nach wie vor wählen viele Nutzer aus Bequemlichkeit simple Passwörter, die den Sicherheitsanforderungen nicht genügen. Damit sind das klassische Passwort-System und seine Defizite oftmals die Ursache für Cyber-Vorfälle.
Es ist an der Zeit für neue und innovative Ansätze zur Nutzerverifizierung im Internet. Konzepte, die sich nicht so leicht kompromittieren lassen und Nutzer sicher und einfach verwenden können, sind gefragt. Bereits seit 2013 setzt sich dafür die FIDO-Allianz ein und arbeitet auf eine Passwort-lose Zukunft hin. Die Alternative zu Nutzername und Passwort sehen sie in asymmetrischer Kryptografie, bei der Anwender ihrer Identität über einen privaten Schlüssel, der auf einem Gerät gespeichert ist, verifizieren. Dabei kann es sich etwa um einen USB-Stick handeln oder auch direkt um die Hardware eines Mobiltelefons. Bei der Authentifizierung muss der Schlüssel das Gerät nicht verlassen. Stattdessen wird eine sogenannte Challenge an das entsprechende Gerät gesendet, die nur mithilfe des privaten Schlüssels gelöst werden kann und so die Identität des Nutzers nachweist. Dieses Vorgehen macht die Methode besonders sicher.
Doch damit das auch so funktioniert, ist die initiale Identifikation des Nutzers entscheidend. Hierbei muss garantiert werden, dass sich hinter dem privaten Schlüssel tatsächlich die angegebene Person verbirgt. Dafür können BankIdent oder KI-unterstützte Videoidentifikation als sehr effiziente und benutzerfreundliche Methoden eingesetzt werden.
Zusätzlich bietet sich das weitgreifende Konzept der Self-Sovereign-Identity oder kurz SSI an. Damit können Nutzer in einem Wallet dezentral eine Art digitales Abbild ihrer Identität erschaffen und sich hierüber im digitalen Raum zweifelsfrei identifizieren. So müssen sie beispielsweise nicht bei jedem Online-Shop ein eigenes Benutzerkonto erstellen und können sogar den Bezahlvorgang über die digitale Identität abwickeln. Das erleichtert das Leben in einer digitalisierten Welt in vielerlei Hinsicht.
Es gibt damit keinen Grund, sich 2024 nicht endgültig von Passwörtern zu verabschieden.
Swisscom Trust Services ist der einzige europäische Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt. Als führender Anbieter von Vertrauensdiensten in Europa ermöglicht Swisscom Trust Services seinen Partnern und Endkunden, innovative Geschäftsmodelle umzusetzen, durch die Bereitstellung identitätsbasierter Services, die ohne Medienbruch komplett digital ablaufen können. Der Signing Service erlaubt Partnern und Endkunden eine unkomplizierte Erweiterung der eigenen Business-Lösungen um eine elektronische Signatur unter Berücksichtigung branchenspezifischer Anforderungen und Compliance-Vorschriften. Dadurch entstehen Möglichkeiten, Prozesse rechtskonform zu digitalisieren, die bisher noch auf Papier erledigt werden mussten. Dabei kann es um die Unterzeichnung verschiedener Verträge gehen (beispielsweise einen Arbeitsvertrag), den Abschluss einer Versicherung, Bankgeschäfte (Kontoeröffnung, Kreditantrag) oder das Abzeichnen von Protokollen gehen. Der Smart Registration Service ist die zentrale Komponente für Identifikation und Registrierung von Nutzern. Verschiedene Identifikationsmethoden (SRS Video, SRS Bank, SRS Direct oder SRS eID) werden in einem Service gebündelt und erlauben die einfache rechtskonforme Identifikation für elektronische Signaturen.
Die Swisscom Trust Services AG ist ein einhundertprozentiges Tochterunternehmen der Swisscom, dem führenden Telekommunikationsunternehmen der Schweiz.
Swisscom Trust Services AG
Konradstrasse 12
CH8005 Zürich
http://trustservices.swisscom.com/
