Die Allianz für Fast IDentity Online (kurz: FIDO) setzt sich dafür ein, herkömmliche Passwörter abzuschaffen. Mit einem innovativen Konzept soll das Anmelden bei Online-Diensten nicht nur sicherer, sondern auch komfortabler für Nutzer:innen werden.

Wie funktioniert FIDO?

FIDO nutzt grob gesagt eine Kombination aus zwei verschiedenen Schlüsseln: Jede:r Nutzer:in erhält einen Private Key, eine sogenannte FIDO-Identität, um sich bei Anwendungen anzumelden. Alle Online-Dienste bekommen einen Public Key. Wenn beide Schlüssel zusammenpassen, erhalten Nutzer:innen Zugang zur Anwendung.

Für eine praktische Anmeldung soll der Private Key der Nutzer:innen in der Cloud hinterlegt werden, um die FIDO-Methode schließlich auf allen Geräten zu nutzen.

 

FIDO selbst macht allerdings keine Vorgaben dazu, wie die Cloud-Anbieter mit den Nutzer:innendaten umgehen müssen.

 

Das führt zu der Frage: Können die großen Cloud-Anbieter wie Apple, Google und Microsoft die Daten des Private Key mitlesen?

Ende-zu-Ende-Verschlüsselung bei FIDO: Apple legt vor …

Apple hatte diese Frage bereits im Juni für seine Nutzer:innen mit „Nein“ beantwortet und angekündigt, dass die persönlichen FIDO-Daten in der Apple Cloud (iCloud) eine Ende-zu-Ende-Verschlüsselung erhalten. Das bedeutet: Die FIDO-Identität wird in der iCloud gesichert, sie ist aber nur für die Anwender:innen im Klartext einsehbar – nicht für Apple-Mitarbeitende.

Apple-Nutzer:innen sind dieses Vorgehen bereits seit einiger Zeit gewohnt. In der iCloud werden die persönlichen Daten Ende-zu-Ende verschlüsselt. Das gilt beispielsweise seit Herbst 2021 für sämtliche Browserdaten von Safari, die mit iCloud synchronisiert sind.

… Google zieht nach

Auf Nachfrage von heise Security hat sich nun auch Google zu der Ende-zu-Ende-Verschlüsselung bekannt. Demnach werde es beim FIDO-Standard einen ähnlichen Umgang mit den Nutzer:innendaten wie bei Apple geben.

Dies kommt durchaus überraschend, schließlich werden etwa Browser-Passwörter der Nutzer:innen in Chrome bislang nicht Ende-zu-Ende verschlüsselt. Allerdings passt es zu den jüngeren Bestrebungen des Internetkonzerns, der Mitte 2021 die Ende-zu-Ende-Verschlüsselung für die Anwendung Messages eingeführt hatte.

Ende-zu-Ende-Verschlüsselung als neuer Standard?

Was ist eine Ende-zu-Ende-Verschlüsselung?

Ende-zu-Ende-Verschlüsselung (englisch „end-to-end encryption“, kurz: E2EE) bedeutet, dass nur Endnutzer:innen verschlüsselte Daten, wie zum Beispiel Nachrichten oder Passwörter, einsehen können. Anbieter des Services, z.B. Cloud-Speicher oder Chat-Programme, haben also keinerlei Einblick in den Klartext der Inhalte.

Das angekündigte Vorgehen von Apple und Google würde in der Praxis mehr Sicherheit und Datenschutz für Verbraucher:innen bedeuten.

 

Dass zwei Technologie-Riesen derzeit in diese Richtung vorpreschen, macht es wahrscheinlicher, dass mit Microsoft auch der dritte große Cloud-Anbieter E2EE einführen wird. Damit wäre die Ende-zu-Ende-Verschlüsselung beim FIDO-Verfahren für die meisten Nutzer:innen gegeben.

 

Andere Dienste und Anwendungen könnten in der Folge weiter unter Druck geraten und die Ende-zu-Ende-Verschlüsselung beispielsweise bei Chat-Apps standardmäßig einführen. Die Kommunikation bei Facebook Messenger und Instagram ist beispielsweise noch nicht Ende-zu-Ende verschlüsselt.

 

Dies habe laut der Chefin der Sicherheitsabteilung von Meta, Antigone Davis, damit zu tun, dass Strafverfolgungsbehörden fordern, auf Nachrichten zugreifen zu können. Die EU verlangt in einem Gesetzesvorschlag aktuell etwa die Einsicht in Chatverläufe, um Straftaten vorzubeugen.

 

Mit E2EE behalten Nutzer:innen gewissermaßen die Hoheit über ihre Daten. Allerdings merken Kritiker:innen an, dass Online-Anbieter zwar nicht die Inhalte einsehen, aber mithilfe der Metadaten trotzdem weiterhin nachvollziehen können, wann sich eine Person für welchen Dienst angemeldet hat oder wann sie mit welcher Person interagiert hat.

 

Der FIDO-Standard soll bei Apple, Google und Microsoft nun innerhalb der nächsten 18 Monate schrittweise eingeführt werden.

Mit dem DsiN-Digitalführerschein (DiFü) erfahren, wie man seine Accounts mit sicheren Zugangsdaten schützt.