Mit einer registrierten E-Mail-Adresse kannst du deinen Fortschritt speichern.
Für die Ausstellung von Zertifikaten benötigen wir zusätzlich deinen Namen und dein Geburtsdatum.
Ein Projekt von
Die Allianz für Fast IDentity Online (kurz: FIDO) setzt sich dafür ein, herkömmliche Passwörter abzuschaffen. Mit einem innovativen Konzept soll das Anmelden bei Online-Diensten nicht nur sicherer, sondern auch komfortabler für Nutzer:innen werden.
FIDO nutzt grob gesagt eine Kombination aus zwei verschiedenen Schlüsseln: Jede:r Nutzer:in erhält einen Private Key, eine sogenannte FIDO-Identität, um sich bei Anwendungen anzumelden. Alle Online-Dienste bekommen einen Public Key. Wenn beide Schlüssel zusammenpassen, erhalten Nutzer:innen Zugang zur Anwendung.
Für eine praktische Anmeldung soll der Private Key der Nutzer:innen in der Cloud hinterlegt werden, um die FIDO-Methode schließlich auf allen Geräten zu nutzen.
FIDO selbst macht allerdings keine Vorgaben dazu, wie die Cloud-Anbieter mit den Nutzer:innendaten umgehen müssen.
Das führt zu der Frage: Können die großen Cloud-Anbieter wie Apple, Google und Microsoft die Daten des Private Key mitlesen?
Apple hatte diese Frage bereits im Juni für seine Nutzer:innen mit „Nein“ beantwortet und angekündigt, dass die persönlichen FIDO-Daten in der Apple Cloud (iCloud) eine Ende-zu-Ende-Verschlüsselung erhalten. Das bedeutet: Die FIDO-Identität wird in der iCloud gesichert, sie ist aber nur für die Anwender:innen im Klartext einsehbar – nicht für Apple-Mitarbeitende.
Apple-Nutzer:innen sind dieses Vorgehen bereits seit einiger Zeit gewohnt. In der iCloud werden die persönlichen Daten Ende-zu-Ende verschlüsselt. Das gilt beispielsweise seit Herbst 2021 für sämtliche Browserdaten von Safari, die mit iCloud synchronisiert sind.
Auf Nachfrage von heise Security hat sich nun auch Google zu der Ende-zu-Ende-Verschlüsselung bekannt. Demnach werde es beim FIDO-Standard einen ähnlichen Umgang mit den Nutzer:innendaten wie bei Apple geben.
Dies kommt durchaus überraschend, schließlich werden etwa Browser-Passwörter der Nutzer:innen in Chrome bislang nicht Ende-zu-Ende verschlüsselt. Allerdings passt es zu den jüngeren Bestrebungen des Internetkonzerns, der Mitte 2021 die Ende-zu-Ende-Verschlüsselung für die Anwendung Messages eingeführt hatte.
Ende-zu-Ende-Verschlüsselung (englisch „end-to-end encryption“, kurz: E2EE) bedeutet, dass nur Endnutzer:innen verschlüsselte Daten, wie zum Beispiel Nachrichten oder Passwörter, einsehen können. Anbieter des Services, z.B. Cloud-Speicher oder Chat-Programme, haben also keinerlei Einblick in den Klartext der Inhalte.
Das angekündigte Vorgehen von Apple und Google würde in der Praxis mehr Sicherheit und Datenschutz für Verbraucher:innen bedeuten.
Dass zwei Technologie-Riesen derzeit in diese Richtung vorpreschen, macht es wahrscheinlicher, dass mit Microsoft auch der dritte große Cloud-Anbieter E2EE einführen wird. Damit wäre die Ende-zu-Ende-Verschlüsselung beim FIDO-Verfahren für die meisten Nutzer:innen gegeben.
Andere Dienste und Anwendungen könnten in der Folge weiter unter Druck geraten und die Ende-zu-Ende-Verschlüsselung beispielsweise bei Chat-Apps standardmäßig einführen. Die Kommunikation bei Facebook Messenger und Instagram ist beispielsweise noch nicht Ende-zu-Ende verschlüsselt.
Dies habe laut der Chefin der Sicherheitsabteilung von Meta, Antigone Davis, damit zu tun, dass Strafverfolgungsbehörden fordern, auf Nachrichten zugreifen zu können. Die EU verlangt in einem Gesetzesvorschlag aktuell etwa die Einsicht in Chatverläufe, um Straftaten vorzubeugen.
Mit E2EE behalten Nutzer:innen gewissermaßen die Hoheit über ihre Daten. Allerdings merken Kritiker:innen an, dass Online-Anbieter zwar nicht die Inhalte einsehen, aber mithilfe der Metadaten trotzdem weiterhin nachvollziehen können, wann sich eine Person für welchen Dienst angemeldet hat oder wann sie mit welcher Person interagiert hat.
Der FIDO-Standard soll bei Apple, Google und Microsoft nun innerhalb der nächsten 18 Monate schrittweise eingeführt werden.
Gefahrenschutz
13.05.2022 13:14 Uhr
Ob beim Online-Banking, bei Social-Media-Accounts oder bei der Anmeldung am Laptop – Passwörter sind in unserem digitalen Alltag omnipräsent. Zu […]
Geräte & Tools
30.04.2024 8:00 Uhr
Vom Online-Shop bis zum sozialen Netzwerk: Ein gutes Passwort ist oft die erste Bastion gegen unrechtmäßigen Zugriff auf unsere verschiedenen […]
Internet
20.04.2022 11:51 Uhr
Wer heute große Dateisammlungen sicher speichern will, viel Rechenleistung braucht oder einfach Musik und Videos streamen will, setzt auf die […]
Was halten Sie vom Digitalführerschein?
Sagen Sie uns Ihre Meinung und helfen Sie unsden Digitalführerschein noch besser zu machen.
Zur Kurzumfrage