Eigentlich kann man Ali Baba als ersten (zumindest imaginären) Hacker des Altertums sehen: Er belauschte die vierzig Räuber und erbeutete das magische „Passwort“ für die Schatzhöhlen. Viel hat sich in der Zwischenzeit nicht geändert.
Die Problematik wird in der IT-Sicherheit als AAA-Thema bezeichnet: Authentisierung, Authentifizierung und Autorisierung (bzw. Accounting). Oft erlebt man, dass die Begriffe fälschlicherweise synonym genutzt werden. Tatsächlich handelt es sich hierbei um unterschiedliche Teilschritte eines Prozesses: Die Anwenderin bzw. der Anwender meldet sich im einfachsten Falle mit einer Benutzername- und Passwort-Kombination (sog. Credentials) beim System an (Authentisierung). Das System prüft, ob der Benutzername bekannt und das hierzu eingegebene Passwort korrekt ist (Authentifizierung). Wenn beides der Fall ist, prüft das System, welche Rolle die Benutzerin bzw. der Benutzer innehat und weist ihm entsprechend seiner Rolle bestimmte Rechte zu (Autorisierung).
Das Beispiel aus 1001 Nacht zeigt, dass Passwortmissbrauch ein gängiges Problem solch einfacher Zugangsmechanismen ist. Deshalb hat die IT die Multi-Faktor-Authentifizierung eingeführt. Die IT kennt drei Faktoren zur Authentifizierung von Personen:
- etwas kennen (z. B. ein Passwort oder eine PIN)
- etwas sein (also biometrische Merkmale wie Fingerabdruck, Retina- oder Venen-Muster)
- etwas besitzen (z. B. ein Zertifikat, eine Schlüsselkarte oder ein Token wie RSA oder FIDO2)
Die Multi-Faktor-Authentifizierung besteht im einfachsten Fall aus 2 Faktoren (kurz: 2FA). Meistens ist dies etwas wissen in Kombination mit einer der beiden anderen Faktoren. Bei mobilen Endgeräten z.B. spielt meist der biometrische Faktor die größere Rolle, wobei wir es hier mit einem unechten zweiten Faktor zu tun haben, da der Fingerabdruck oder die Gesichtserkennung meist stellvertretend zur Passwort-Eingabe genutzt wird und nicht zusätzlich dazu – sicherheitstechnisch ein Rückschritt.
Die Idee hinter 2FA ist simpel aber genial. Die Sicherheit wird deutlich erhöht, wenn der zweite Faktor über einen unabhängigen Kanal geliefert wird. Das Problem hierbei ist: Wirklich unabhängig ist der zweite Faktor nur dann, wenn er auch über ein zweites System zur Verfügung gestellt wird. Verlangt also ein Service auf dem Smartphone zusätzlich zu den Credentials zum Beispiel noch einen Fingerabdruck, ist dies wiederum eine unechte 2FA. Denn wurde das Smartphone von Hackern übernommen, kann jeder der beiden Faktoren abgefangen und missbraucht werden.
Eine ganz andere Möglichkeit des Identity- und Access-Managements bieten sogenannte Identity-Provider. Die Idee dahinter ist prinzipiell gut: Man authentifiziert sich per „Single-Sign-On“ nur noch bei einem Service. Bei allen anderen genutzten Services wird man durch diesen Identity-Provider eingeloggt. Beispielsweise nutzen wir im Internet bei manchen Shops die Möglichkeit des anonymen Einkaufens, wenn die Funktion „direkt zu PayPal“ angeboten wird.
Dave Eggers hat uns jedoch in seiner Dystopie „Der Circle“ eindrücklich vor Augen geführt, wo die Risiken eines solchen Systems liegen: Mit einem Monopol hätte solch ein Identity-Provider eine gigantische Machtfülle, die potenziell missbraucht werden kann. Was läge also näher, als in einem freien und demokratisch legitimierten Staat die Aufgabe der Verwaltung digitaler Identitäten als unabhängiger und unparteiischer Service-Provider hoheitlich auszuüben?