Artikel-Serie “Sichere Iden­ti­täten sind erreichbar” — Teil 2

Digitale Iden­tität schützen: Passwort und elek­tro­ni­scher Per­so­nal­ausweis

Der Klau von E-Mail-Adressen, Pass­wörtern und PINs gehört heute zum Internet-Alltag. Laut Umfrage des Wirt­schafts­aus­kunfts­diensts Schufa ist bereits jeder fünfte Deutsche einmal Opfer eines Iden­ti­täts­dieb­stahls geworden, die finan­zi­ellen Schäden gehen in die Mil­lionen. Doch damit muss man sich nicht abfinden. Werden eine Reihe von ein­fachen Regeln befolgt und bewährte tech­nische Hilfs­mittel genutzt, lässt sich die digitale Iden­tität im Internet schützen. 

Ob beim Internet-Einkauf, auf Social-Media-Kanälen oder beim Online-Banking: Benut­zername und Passwort sind die häu­figsten Mittel zur Iden­titäts-Fest­stellung. Fällt ein Passwort in die fal­schen Hände, kann das schwer­wie­gende Folgen nach sich ziehen. So können Cyber-Kri­mi­nelle unter fal­scher Iden­tität Waren ein­kaufen, Online-Konten plündern oder Chats für ihre per­sön­lichen Zwecke miss­brauchen. Ange­sichts der Bedeutung des Pass­worts ist ein sorg­fäl­tiger Umgang damit unum­gänglich.

Sicheres Passwort – Gewusst wie 

Die meist genutzten Pass­wörter in Deutschland sind ‚123456’ und ‚hallo’, wie Wis­sen­schaftler des Hasso-Plattner-Instituts in einer aktu­ellen Unter­su­chung fest­stellten. Solche schwachen und unsi­cheren Pass­wörter sind für geübte Hacker kein Hin­dernis und einfach aus­ge­späht. Zudem ver­wenden viele Internet-Nutzer ein Passwort für mehrere Accounts. Ist erst mal ein Dienst kom­pro­mit­tiert, dann sind auch die anderen Accounts mit dem­selben Passwort in großer Gefahr.

Ein paar ein­fache Ver­hal­tens­regeln für starke und sichere Pass­wörter helfen hier weiter:

• Niemals das­selbe Passwort bei meh­reren Diensten ver­wenden.
• Starke Pass­wörter bestehen aus Buch­staben, Ziffern und Son­der­zeichen. Auch Groß-und Klein­schreibung sollte man ein­setzen.
• Die ange­messene Länge beträgt min­destens 8 Stellen. Generell gilt: Je länger ein Passwort ist, desto sicherer ist es.
• Es emp­fiehlt sich, die Pass­wörter regel­mäßig (zum Bei­spiel alle 6 Monate) zu ändern; auf jeden Fall aber, wenn der Ver­dacht besteht, dass das Passwort aus­ge­späht wurde.

Mit der Zeit kommt eine Vielzahl von Pass­wörtern für die unter­schied­lichsten Dienste zusammen und es kann sehr schnell unüber­sichtlich werden. Das Rechen­zentrum in Kon­stanz rät dann zu einer Gedächt­nis­stütze, die aus einem ein­fachen, indi­vi­duell aus-gesuchten Satz besteht. Zum Bei­spiel: Mein Opa (Heinrich) ist 79 Jahre alt geworden! Die ersten Buch­staben der Worte und die Son­der­zeichen ergeben dann das Passwort: MO(H)i79Jag!

Eine kom­for­table Alter­native sind so genannte Passwort-Manager, die sen­sible Daten wie Benut­zername und Passwort ver­schlüsselt in einer Datenbank auf der Fest­platte des Com­puters spei­chern. Nur nach Eingabe des Master-Kenn­worts geben die Software-Pro­gramme diese Infor­ma­tionen frei. Damit man die Über­sicht behält, lassen sich die Ein­träge nach Kate­gorien (wie Dienste, Bank­daten, Lizenz­schlüssel) sor­tiert ablegen. Und ist ein neues Passwort nötig, hilft der Passwort-Gene­rator. Für viele Passwort-Manager gibt es mitt­ler­weile spe­zielle Apps für Smart­phone und Tablets, die den Zugriff auf die Passwort-Datenbank auch von unterwegs erlauben.

Sichere und starke Pass­wörter sind die Grund­vor­aus­setzung für ‚Sichere Iden­ti­täten’. Geht es um sehr sen­sible und per­sön­liche Daten, bei­spiels­weise im Fall von Online-Banking, Bezahl-Ser­vices, Cloud-Spei­chern oder Social Media-Pro­filen, ist ein zusätz­licher Schutz ratsam.

Neuer Schwung für den elek­tro­ni­schen Per­so­nal­ausweis

Mil­lionen Deutsche besitzen bereits eine der sichersten elek­tro­ni­schen Iden­ti­täts­karten (eID-Karte) weltweit. So enthält der im Jahr 2010 ein­ge­führte Per­so­nal­ausweis und der elek­tro­nische Auf­ent­halts­titel (eAT) eine Online-Aus­weis­funktion (eID-Funktion): einen Chip mit den gleichen per­sön­lichen Daten, die auch auf der Karte zu sehen sind. In Ver­bindung mit einem spe­zi­ellen Lese­gerät können sich Aus­weis­in­haber gegenüber Behörden und Unter­nehmen ein­deutig und zwei­felsfrei iden­ti­fi­zieren. Dazu nutzt die Online-Aus­weis­funktion eine Zwei-Faktor-Authen­ti­fi­zierung mit den Fak­toren „Besitz“ (eID-Karte) und „Wissen“ (6-stellige PIN). Weil die Daten immer ver­schlüsselt über­tragen werden, besteht ein starker Schutz vor Daten­dieb­stahl.

Die Nutzung des elek­tro­ni­schen Iden­ti­täts­nach­weises bleibt nach Angaben der Bun­des­re­gierung jedoch hinter den Erwar­tungen zurück. Nur bei einem Drittel der rund 51 Mil­lionen aus­ge­ge­benen Aus­weise ist die eID-Funktion auch tat­sächlich frei­ge­schaltet.

Das wird sich in Zukunft ändern: Drei Ent­wick­lungen werden den Einsatz und die Ver­breitung der eID-Karten ent­scheidend fördern: Eine neue Geset­zes­in­itiative, die mobile Ver­wen­dungs­mög­lichkeit mit Smart­phone und Tablett sowie die euro­pa­weite Nutz­barkeit.

Anfang Dezember 2016 stellte die Bun­des­re­gierung einen Gesetz­entwurf zur „För­derung des elek­tro­ni­schen Iden­ti­täts­nach­weises vor.“ Wich­tigste Neuerung: Die eID-Funktion soll in Zukunft bei jedem Ausweis auto­ma­tisch und dau­erhaft ein­ge­schaltet sein. Bisher muss die Online-Aus­weis­funktion vom Aus­weis­in­haber extra akti­viert werden: Das ist beim Abholen des Aus­weises oder später möglich. Gleich­zeitig sieht der Entwurf vor, das Ver­fahren zu ver­ein­fachen, mit dem Unter­nehmen und Behörden eine Berech­tigung zum Aus­lesen der eID-Daten erhalten.

Zudem hat die Bun­des­re­publik Deutschland bei der Euro­päi­schen Kom­mission ein Ver­fahren zur Noti­fi­zierung gemäß eIDAS ein­ge­leitet, nach dessen Abschluss es für deutsche Bürger ab dem 29. Sep­tember 2018 möglich sein wird, die Online-Aus­weis­funktion auch in anderen Ländern des Euro­päi­schen Wirt­schafts­raums (EU sowie Nor­wegen, Island und Liech­ten­stein) ein­zu­setzen. Der recht­liche Rahmen dafür bietet die eIDAS-Ver­ordnung für die gegen­seitige Aner­kennung von elek­tro­ni­schen Iden­ti­fi­zie­rungs­mitteln und Ver­trau­ens­diensten in der EU. Ziel im Bereich der elek­tro­ni­schen Iden­ti­fi­zierung ist es, die grenz­über­schrei­tende Abwicklung von Ver­wal­tungs­dienst­leis­tungen auf euro­päi­scher Ebene erheblich zu ver­ein­fachen. Ein ent­spre­chendes Pilot­projekt wurde Ende Januar 2017 erfolg­reich abge­schlossen. So lässt sich die Online-Aus­weis­funktion des deut­schen Per­so­nal­aus­weises zum grenz­über­schrei­tenden Iden­ti­täts­nachweis bereits jetzt bei der nie­der­län­di­schen natio­nalen eID-Infra­struktur ein­zu­setzen.

Mobile Ausweis-Apps bringen den elek­tro­ni­schen Iden­ti­täts­nachweis in die mobile Welt. Die vom Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) zer­ti­fi­zierte Aus­weisApp2 von Gover­nikus ermög­licht es dem Anwender, mit geeig­neten Smart­phones und Tablets die Online-Aus­weis­funktion unter Ver­wendung der inte­grierten NFC-Schnitt­stelle (Near Field Com­mu­ni­cation) zu nutzen. Ein sepa­rater Kar­ten­leser ist dann nicht mehr nötig. Geplant ist, mit der mobilen Aus­weisApp2 und dem Smart­phone als Lese­gerät auch den Einsatz der Online-Aus­weis­funktion über einen sta­tio­nären PC zu ermög­lichen.

Fazit: Sichere Iden­ti­täten sind für den Internet-Nutzer schon heute erreichbar. Bereits die Ein­haltung ein­facher Ver­hal­tens­regeln erhöht den Schutz vor einem Miss­brauch der eigenen digi­talen Iden­tität erheblich. Wei­terhin ist das Potenzial des elek­tro­ni­schen Per­so­nal­aus­weises noch lange nicht aus­ge­schöpft. Die sich in der Praxis bewährte Online-Aus­weis­funktion wird zukünftig eine stärkere Rolle spielen und die Iden­tität von Mil­lionen deut­scher Bürger schützen. Lesen Sie im dritten Teil über die „Königs­dis­ziplin“ des elek­tro­ni­schen Iden­ti­täts­nach­weises, die kaum bekannt, doch für die sichere Internet-Kom­mu­ni­kation und ver­trau­ens­würdige Online-Trans­ak­tionen uner­lässlich ist.

********************************************************************

Der Beitrag ist Teil der SIDBB-Arti­kel­serie “Sichere Iden­ti­täten sind erreichbar” erschienen. Bisher erschienen: Teil 1 “Sichere Iden­tität als Schlüs­sel­element für Ver­trauen im Netz”.