Schwache Passwörter machen es Hackern leicht, persönliche Daten zu erbeuten. Zwei Dienste versprechen mehr Sicherheit – zu Recht?
Stuttgart - Jeder von uns nutzt im Schnitt mehr als hundert verschiedene Dienste im Internet, die alle ein Passwort verlangen. Kein Wunder, dass es immer wieder aufsehenerregende Hacks gibt, die vor allem aufgrund schwacher Passwörter viele persönliche Daten erbeuten – wie aktuell der Datendiebstahl durch einen Schüler aus Mittelhessen, von dem vor allem Prominente und Politiker betroffen waren. Viele Nutzer sind dankbar, dass es immer häufiger die Möglichkeit gibt, sich mittels eines Facebook-Kontos oder eines Google-Accounts in andere Dienste einzuloggen: Das Konto wird so zu eine Art Generalschlüssel – und man muss sich nur noch ein Passwort merken.
Die Kehrseite ist, dass wiederum die US-Konzerne so relativ viel über die Nutzer erfahren: wo sie sich einloggen, wie lange sie sich dort aufhalten. Und häufig fließen auch weitere Daten zwischen diesen Anbietern hin und her. Den Machern von Google und Facebook kommt das gelegen, denn je besser sie den Nutzer kennen, umso erfolgreicher können sie zielgruppengenaue Werbung verkaufen. Die Privatsphäre wird aber eingeschränkt.
Der Knackpunkt ist die personalisierte Werbung
Aus diesem Dilemma wollen den deutschen Nutzern jetzt gleich zwei Dienste helfen: Verimi und Net-ID. Sie treten an, um Google und Facebook die Rolle als Generalschlüssel streitig zu machen, und bieten an, dass man sich über ihre Accounts in andere Angebote einloggen kann: Banken, Online-Shops, Carsharing, Fluggesellschaften. Der Haken bei beiden: Noch gibt es wenige verknüpfte Dienste. Net-ID geht es zudem auch darum, die Anbieter zu unterstützen. Ähnlich wie Google und Facebook wollen auch sie personalisierte Werbung anbieten, wie Sven Bornemann, Geschäftsführer der Net-ID Foundation, und Jan Oetjen, Vorstand von United Internet und Vorsitzender des Stiftungsrats von Net-ID, im Gespräch einräumen. Das muss nichts Schlechtes sein, denn die deutschen Unternehmen fürchten angesichts der wachsenden Zahl von Nutzern, die Cookies blockieren, um ihre Existenz. Mit den Cookies verschwindet die Chance, die Vorlieben der Kunden zu verfolgen. „Das ist die Kernproblematik der Industrie derzeit“, sagt Oetjen. „Personalisierte Produkte sind einer der kritischen Erfolgsfaktoren. Für die Industrie sind die Folgen verheerend.“ Doch wenn die Cookies nicht greifen, ist das Wissen um das Log-in der einzige Weg, etwas über den Nutzer zu erfahren.
Net-ID startet mit einem riesigen Nutzer-Potenzial
De facto ist Net-ID kein zusätzlicher Dienst, sondern mehr ein Zusammenschluss von Firmen mit bestehenden Kunden, die ihre eingeloggten Nutzer aneinander weitergeben. Hat ein Nutzer etwa bereits einen Account bei Web.de, GMX, der RTL-Mediengruppe, Pro Sieben Sat 1 oder 7pass, kann er den als Net-ID-Account einsetzen – und sein dortiges Log-in für die anderen Dienste nutzen. „Durch dieses Konstrukt haben wir vom Start weg schon 60 Prozent der deutschen Onliner“, sagt Bornemann. Mehr als 35 Millionen Accounts seien bereits Net-ID-fähig. Und damit sei Net-ID schon jetzt größer als Facebook mit seinen 25 Millionen deutschen Nutzern oder Google (20 Millionen). Auch wenn der Service von Net-ID für Nutzer auch seine Schattenseiten hat, da die Hauptmotivation der Anbieter ist, personalisierte Werbung auszuspielen, entstünde zumindest kein „zentrales Wissen“ wie bei den US-Konzernen, betont Bornemann. Die Nutzerdaten liegen beim jeweiligen Account-Anbieter. Eine Weitergabe gibt es nur, wenn der Nutzer explizit zustimmt.
Verimi verlangt von den Partnern eine Lizenzgebühr
Der Dienst Verimi (2017 gegründet und seit April 2018 am Start) hat es hier nicht ganz so einfach. Er hat zwar einen großen Gesellschafterkreis hinter sich wie Daimler, die Lufthansa, die Telekom, die Deutsche Bank und die Allianz, die sich jeweils mit mehreren Millionen beteiligen. Doch die Nutzer müssen sich erst einen neuen Account anlegen. „Uns geht es um die Datensouveränität“, sagt der Firmensprecher Tobias Enke: „Wir wollen Nutzern die Datenhoheit zurückgeben.“ Das Wissen sei schließlich bei deutschen Anbietern besser aufgehoben als bei den Monopolisten aus den USA. Zudem würden die Daten – anders als bei Net-ID – nicht ausgewertet, um Werbung zu personalisieren.
Verimi verlangt von den Partnerunternehmen, in die sich Nutzer mittels des neuen Dienstes einloggen, eine Lizenzgebühr sowie eine Gebühr für jedes Log-in, die Höhe ist abhängig vom Service: Eine verifizierte E-Mail-Adresse kostet ein paar Cent. Zwei bis drei Euro werden etwa für einen verifizierten Führerschein fällig, was unter anderem für einen Carsharing-Dienst interessant sein könnte. So sparen sich die beteiligten Firmen die aufwendige Überprüfung. Der Dienst von Verimi kostet sie nur einen Bruchteil dessen, was eine eigene Verifizierung kosten würde.
Erste Projekte zum kommunalen E-Government
Aber kann Verimi garantieren, dass die digitale Identität bei ihnen sicher aufgehoben ist? „Absolut“, sagt Enke, „für unser Geschäftsmodell ist die Sicherheit das Wichtigste. Die Daten liegen verschlüsselt und fragmentiert auf verschiedenen Clouds.“
Das sei auch die Grundlage für den „größten Traum“, wie Enke sagt: den Kommunen beim E-Government unter die Arme zu greifen. Dafür gibt es derzeit erste Projekte in Nordrhein-Westfalen und Thüringen sowie eine Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik. „Bürger sollen alle Services der Behörden digital nutzen können“, beschreibt der Verimi-Sprecher seine Zukunftsvorstellung. Dann bräuchte man sich nicht mehr im Bürgerbüro anstellen, um etwa einen neuen Reisepass zu beantragen. Um den kommunalen Großauftrag zu bekommen, wird Verimi absolute Vertrauenswürdigkeit im Datenschutz brauchen.