Open-ID IT-Giganten wollen den Web-Ausweis

Es ist eine Allianz über alle Grenzen hinweg: Google, Yahoo, Microsoft, VeriSign - gemeinsam wollen sie einen Internet-Ausweis schaffen, der es überflüssig macht, sich haufenweise Passwörter und Login-Namen zu merken. Kritiker warnen vor Sicherheits- und Datenschutzrisiken.

Von


Die geballte Macht dieser Allianz kann im Netz praktisch alles durchsetzen. Mit Google, Microsoft und Yahoo gehören seit gestern die wichtigsten Mitspieler im globalen Internet-Markt zum Aufsichtsrat der OpenID-Foundation. Die Organisation bemüht sich seit 2006 darum, den Nutzern das Surfen zu erleichtern, indem sie die Notwendigkeit abschafft, beim Besuch personalisierbarer Web-Angebote jedes Mal ein Passwort einzugeben. Das Ziel von OpenID ist: Überall, wo ein Login erforderlich ist, soll von nun an dasselbe Passwort gelten. Wer sich an einer Stelle einmal angemeldet hat, soll mit dem gleichen Schlüssel auch alle anderen Türen im Netz öffnen können. Für die Nutzer ist das sehr bequem, für Datenschützer und Strafverfolger sehr besorgniserregend.

OpenID-Foundation: Ein Web-Ausweis für alle Seiten?

OpenID-Foundation: Ein Web-Ausweis für alle Seiten?

Den Versuch, Passwort-Merkzettelchen und dauernde "Passwort vergessen"-Mails abzuschaffen, hat es schon einige Male gegeben. Bislang sind alle Versuche mehr oder minder jämmerlich gescheitert - beispielsweise Microsofts "Passport"-System, heute umbenannt in Windows Live ID. Als das System vorgestellt wurde, hagelte es Proteste und unverhohlene Häme. Warum, fragten Blogger und Tech-Kommentatoren, sollte man ausgerechnet dem stets misstrauisch beäugten Giganten Microsoft die eigene Online-Identität anvertrauen? Ob Microsoft jetzt schon ein Land sei, das Pässe ausgeben kann, fragten Kommentatoren damals ironisch. Passport sei nichts anderes als der erste Schritt zu einer gigantischen Kundendatenbank, in der jede noch so kleine Information über die Netz-Aktivitäten der Nutzer gesammelt werden solle. Als dann auch noch Sicherheitslecks auftraten, war der Ruf des Passport-Systems endgültig und dauerhaft ruiniert.

Der schlechte Ruf des Giganten Microsoft

Unter der Hardcore-Netzgemeinde hat Microsoft ohnehin schon immer einen schlechten Ruf. Open Source dagegen, also Software-Projekte mit offenem Quellcode, einen hervorragenden. Unter anderem darin besteht der Sexappeal von OpenID: Es ist ein Open-Source-Projekt, an dem viele verschiedene Gruppen und Einzelne parallel arbeiten, ähnlich wie der Firefox-Browser oder Linux. Sein Erfinder Brad Fitzpatrick hat über OpenID gesagt: "Das hier sollte keinem gehören. Niemand will damit Geld verdienen." Fitzpatrick implementierte OpenID bei seinem damaligen Arbeitgeber, dem Blog-Dienst LiveJournal, um das Kommentieren von Blogeinträgen zu erleichtern.

Inzwischen arbeitet er für Google, mit dem expliziten Auftrag, Netz-Zäune niederzureißen. Google, Yahoo und Microsoft unterstützten die OpenID-Foundation schon seit einiger Zeit - nun wollen sie offenbar selbst das Ruder in die Hand nehmen.

Das Prinzip "Ein Login, viele Sites" ist im Netz eigentlich längst gang und gäbe: Yahoos Geschäftsmodell basiert genau darauf - mit einem Login soll man E-Mails verschicken, seinen Flickr-Account mit Fotos bestücken oder Netz-Kleinanzeigen aufgeben können. 250 Millionen Menschen benutzen so eine Yahoo ID. Microsofts Zentralschlüssel heißt heute Windows Live ID. Und auch Google hat seit 2004 einen Haupteingang für alle Web-basierten Angebote, vom Googlemail-Konto über die personalisierte Suche bis hin zu Kalender- und Dokument-Funktionen. Nun könnten all diese hinter Mauern verschanzten Bereiche des Netzes miteinander verschmelzen. Das ist für die Nutzer bequemer - weckt aber auch ähnliche Ängste wie die, an denen schon Microsofts Passport-Experiment scheiterte.

Auf dem Weg zum neuen De-Facto-Standard

Das System funktioniert allerdings im Gegensatz zu dem von Microsoft dezentral. Das bedeutet: Jedes teilnehmende Unternehmen kann die Login-Informationen seiner Nutzer in OpenID-Logins umwandeln. Schon seit dem 17. Januar etwa kann man sich bei Yahoo zusätzlich zur Yahoo-ID noch eine OpenID besorgen. Die ist wiederum geeignet, um sich bei allen möglichen anderen Web-Seiten anzumelden - von der Blog-Suchmaschine Technorati bis hin zur Foto-Sharing-Seite Zooomr. Die Anzahl der Teilnehmer dürfte nun explodieren, da OpenID auf dem Weg zum de-facto-Standard im Netz ist.

Die URL der eigenen Profilseite bei Technorati eignet sich als Login-Ersatz bei Zooomr - und umgekehrt. Doch diese Wechselseitigkeit gilt nicht für alle Mitspieler. Bei Yahoo zum Beispiel kann man sich zwar aus der eigenen Yahoo ID eine OpenID basteln, und die auch zum Login an anderen Orten verwenden. OpenIDs aus anderer Quelle lässt Yahoo aber nicht als Schlüssel zu den eigenen Angeboten zu.

"Viele benutzen ohnehin überall dasselbe Passwort"

Eine einheitliche Web-Identität bringt Vorteile, aber auch eine Menge Risiken mit sich: Phishing zum Beispiel, das gezielte Klauen von Login-Informationen mit Hilfe gefälschter Web-Seiten, wird durch OpenID zunächst mal deutlich einfacher: Eine Web-Seite mit OpenID-Login-Fenster schickt den Nutzer beispielsweise nicht zur echten Yahoo-Seite, um sich dort anzumelden - sondern zu einer gefälschten Seite, die genauso aussieht. Nutzername und Passwort werden nun geklaut - mit gewaltigem Nebeneffekt. Denn nun kann der Phisher die OpenID des Opfers nutzen, um sich bei allen möglichen anderen Sites anzumelden.

Je mehr Seiten mit kommerziellen Aspekten mitmachen - man denke an eBay, Paypal oder gar Banken - desto größer wird das Risiko. "Banken werden dieses System kaum ohne eine zweite Sicherheitsstufe einführen", sagt Mike Davies vom OpenID-Unterstützer VeriSign. Gemeint sind Systeme wie TANs, die man vom Online-Banking kennt, Einweg-Passwörter gewissermaßen. Sie sollen sicherstellen, dass ein Nutzer wirklich der ist, der er zu sein vorgibt. VeriSign hat ein handfestes Interesse an dieser zweiten Schicht: Das Unternehmen verkauft solche Systeme. Das Phishing-Problem werde durch OpenID jedenfalls nicht größer, findet Davies: "Viele Leute benutzen ohnehin überall dasselbe Passwort und denselben Benutzernamen."

Besorgt sind manche auch über die Datenschutz-Implikationen. Wer Yahoo zu seinem OpenID-Provider erklärt, gibt dem Unternehmen damit auch das Recht, sich ausgiebig über das eigene Surfverhalten zu informieren. Da jedes Einloggen über die Yahoo-Seite abgewickelt wird, weiß Yahoo dann stets genau, was ein Nutzer im Netz so unternommen hat - sofern er oder sie sich über mit OpenID-Login versehene Seiten bewegt.

Wer also erwägt, sich jetzt schon einen zentralen Web-Pass zuzulegen, sollte darüber nachdenken, sich lieber einen Anbieter ohne direktes kommerzielles Interesse an eigenen Daten zu suchen - etwa MyOpenID, ClaimID oder VeriSign selbst. Profitieren wird von der ungewöhnlichen Allianz in jedem Fall Microsoft. Das Fachblog ReadWriteWeb prophezeite schon am vergangenen Sonntag, ein Problem der geplanten Übernahme von Yahoo ließe sich mit OpenID bequem lösen: "das Verschmelzen der gigantischen proprietären Systeme zur Nutzer-Authentifizierung" der beiden Riesen.

Mehr zum Thema


Forum - Der Webausweis - Absage an den Datenschutz?
insgesamt 28 Beiträge
Alle Kommentare öffnen
Seite 1
fakesteve 08.02.2008
1. Thx 1138
Ich denke die Entwicklung wird zwangsläufig auf eine solche Lösung hinauslaufen, und ich halte das auch für sinnvoll. Die Fälle an Identitätsdiebstahl nehmen so oder so stetig zu, da kann es dann auch nicht schaden wenn man sich in alle Foren, Blogs und Auktionsseiten mit derselben Kennung einloggt.
descartes101, 08.02.2008
2.
Zitat von sysopEine Web-Identität für alle? Brauchen wir einen Internet-Ausweis, der das Merken von Passwörtern überflüssig macht? Oder sind die Risiken zu groß?
Wird das dann direkt von der Film-/Musikindustrie gemanagt, inklusive Datenspeicherung und Vergabe der Identitätsnachweise, oder kriegen die die Daten immerhin noch durch die Behörden?
sülzer, 08.02.2008
3.
Zitat von sysopEine Web-Identität für alle? Brauchen wir einen Internet-Ausweis, der das Merken von Passwörtern überflüssig macht? Oder sind die Risiken zu groß?
Manchmal komme diese wahnwitzigen Ideen im Stundentakt. Was soll mit diesem Ausweis erreicht werden? Nur damit der User es etwas leichter hat? Nur dafür würden diese IT-Größen nicht so sehr kämpfen. Es geht mit Sicherheit um die Datenbank, die dafür eingerichtet werden müsste und den dadurch entstehenden Datenbestand von vielen, vielen Millionen Usern weltweit. Was sich damit alles anstellen lässt, sollte klar sein. Es geht um vieeeeel Geld und letztendlich auch um Macht.
Umberto, 08.02.2008
4.
Ich brauch' keinen Internet-Ausweis.
Wesker 08.02.2008
5.
Wer braucht das - ich brauchs nicht
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.