2 Abos und 1 Abonnent
Artikel

Zeige mir dein Passwort und ich zeige dir, wer du bist

5r5h5qt1xn detail image 436711

Illustration: Valentin Gräpler

Dank Digitalisierung wird auch unsere Identität zu Nullen und Einsen. Das klingt nach Vereinfachung. Groteske Anforderungen an Passwörter und Verschlüsselungen lassen Nutzer*innen jedoch bisweilen verzweifeln. Wer sind wir im Netz und wie lässt sich unsere digitale Identität schützen? Von Julian von Bülow.

Illustration: Valentin Gräpler

Wie beweisen wir, dass wir sind, wer wir vorgeben zu sein? Was poetisch klingt, ist für uns eigentlich Alltag: unser Ausweis, mit dem, im besten Fall, passenden Gesicht dazu. Während in der analogen Welt eine Plastikkarte unsere Identität bestätigt, ist man im Internet jedoch auf andere Mittel angewiesen. Hier ist es deutlich schwieriger zu zeigen, wer man ist - und deutlich einfacher, sich als jemand anderes auszugeben.

Die Bundesdruckerei, die für die Anfertigung von Personalausweisen und Reisepässen zuständig ist, hat der FU eine Professur zur Erforschung elektronischer Identität gestiftet. Deren Inhaber, Marian Margraf, steht nun vor keiner geringeren Aufgabe, als das Internet und unsere digitale Identität ein Stück sicherer zu machen. Aber wie genau zeigen wir dem Netz eigentlich, wer wir sind?

„Digital gibt es mehrere Möglichkeiten, sich zu identifizieren", so Margraf. Man kann dazu auf verschiedene Identifikationsfaktoren wie Wissen, Besitz oder biometrische Faktoren zurückgreifen. Die wohl bekannteste Methode ist die Abfrage von Benutzername und Passwort. Wer sich in das Netz der FU einloggt, behauptet mit dem Anmeldenamen eine Identität und beweist sie anschließend mit dem Passwort. Abfragen wie diese, die nur auf dem Faktor Wissen beruhen, sind vergleichsweise leicht auszuhebeln, beispielsweise wenn jemand bei der Passworteingabe auf die Finger schaut.

Der Studierendenausweis hingegen ermöglicht Identifizierung durch Besitz, denn in der Karte ist eine Identifikationsnummer gespeichert, die dem*der Besitzer*in zugeordnet ist. Wer den Ausweis bei sich trägt, kann damit problemlos auf fremde Kosten kopieren oder in der Mensa essen - vorausgesetzt, das Personal prüft nicht das eventuell aufgedruckte Foto. Eine weitere Möglichkeit sind Fingerabdruck- oder Iris-Scanner, die auf Biometrie aufbauen und somit einmalige biologische Merkmale messen. Eine Kombination mehrerer Faktoren gewährleistet eine dementsprechend höhere Sicherheit. Aber natürlich gilt es Aufwand und Kosten zu bedenken: Die Bücherausleihe per Iris- und Fingerabdruckscan wäre schließlich eher unverhältnismäßig.

Doch selbst die sichersten Systeme sind nicht gegen Angriffe gefeit. Wer Identitätsmissbrauch begehen will, hat zwei Angriffspunkte: Entweder man liest die Daten mit, die der Authentifizierungsstelle zugesendet werden oder man greift in das sogenannte Enrollmentder Identitäten ein, also in die Übergabe der Identifikationsmittel. Eine neue Kontokarte wird schließlich postalisch zugesandt und kann von anderen Personen abgefangen werden, sodass dabei immer ein Risiko besteht.

Um Datendiebstahl oder -manipulation im Internet zuvorzukommen, werden Identifikationsdaten verschlüsselt übermittelt. Margrafs Arbeitsgruppe betreibt Kryptoanalyse, das heißt sie forscht an der Sicherheit von Kryptoalgorithmen, damit Passwörter und Fingerabdrücke im Netz fälschungs- und abhörsicher transportiert werden können. Dabei kommt es vor, dass das Team Sicherheitslücken bei kooperierenden Unternehmen oder in weltweit genutzter Technologie findet. „Dann gehen wir auf die Leute zu, lassen ihnen Zeit, das zu beheben und im Anschluss wird das veröffentlicht." Große Nachfrage nach Sicherheitslücken besteht bei Geheimdiensten, denn diese nutzen unveröffentlichte Softwarefehler für Spionage aus. Mit denen arbeite man aber nicht zusammen, so Margraf. „Wenn wir von Sicherheit reden, dann soll das heißen, dass etwas wirklich sicher ist und nicht für einige sicher und für andere unsicher."

Auch Nutzer*innen selbst können zur ihrer Sicherheit im Netz beitragen. Zwar bekräftigt der IT-Professor: „Die heute eingesetzten kryptografischen Verfahren können nicht von Geheimdiensten wie der NSA gebrochen werden. Da bin ich mir ziemlich sicher." Trotzdem appelliert er an die Nutzer*innen, ihr Bewusstsein für digitale Sicherheit zu schärfen: Internetseiten sollten über das verschlüsselte https-Protokoll abgerufen werden und auch den Inhalt von E-Mails sollten Nutzer*innen verschlüsseln, damit niemand mitlesen kann. Bei Letzterem sei die Benutzerfreundlichkeit aber noch ausbaufähig. „Wenn ich Sicherheitsmechanismen etablieren will, dann muss ich mich immer darum kümmern, dass das für die Nutzer*innen nicht zu kompliziert ist." Aus diesem Grund arbeiten der IT-Professor und seine Kolleg*innen am Institut für Informatik mit der Universität der Künste zusammen, um sich Anregungen für Design-Verbesserungen zu holen. Einerseits wollen Nutzer*innen einfach zu bedienende Produkte, andererseits sollen und wollen sie wahrnehmen, dass ihre Daten sicher verarbeitet werden.

Digitale Identität geht heute aber weit über die reine Identifizierung hinaus. Will man sich in das FU-Netz einloggen und sieht Felder für Anmeldename und Passwort ist klar, dass man sich hier zu identifizieren hat. Doch die zunehmend vollständige Digitalisierung aller Lebensbereiche erlaubt es, neben der Frage: „Ist das die Person, die sie vorgibt zu sein?" auch die Frage: „Was macht diese Person aus?", zu beantworten. Wann war eine Person online und wie lange? Welche Seiten hat sie besucht? Worauf hat sie geklickt? Und mit wem schreibt sie gerade? Aus diesen sogenannten Metadaten lassen sich Profile generieren, die womöglich mehr über unser Verhalten aussagen können als wir selbst. Unsere digitale Identität wird somit immer komplexer.

Als Bundeskanzlerin Angela Merkel im Juni 2013, auf dem Höhepunkt der NSA-Affäre, das Internet als Neuland bezeichnete, waren die Lacher laut und zahlreich. Doch Margraf stimmt dieser Einschätzung vorsichtig zu: „Vor Snowden hat kein Mensch über Metadaten diskutiert. Wir haben aber keine Ahnung, was man daraus in fünf bis zehn Jahres für Erkenntnisse ziehen kann. Da befinden wir uns in einem Umbruch, das können wir noch gar nicht alles abschätzen."

Wie wir uns in Zukunft digital ausweisen werden, steht also noch zwischen Nullen und Einsen. Eine einfache Plastikkarte wird nicht ausreichen, um unsere digitale Identität nachzuweisen - dafür ist sie zu komplex und die Betrugsmöglichkeiten zu zahlreich. Bis wir online also so einfach beweisen können, wer wir sind, wie in der analogen Welt, gilt: Merkt euch bloß eure Passwörter!

Zum Original