Jeder, der diese Zeilen liest, hat vermutlich schon bittere Erfahrungen mit diversen Internet-Seiten gemacht. Nicht physisch ein Geschäft zu betreten, sondern rein virtuell einkaufen zu gehen, kann sehr riskant sein. Ob nun Daten gephisht werden, der eigene Computer mit Viren verseucht oder die reale Begegnung mit dem bisher virtuellen Partner schlicht eine ätzende sein wird – der Missbrauch persönlicher Daten treibt die ungeheuerlichsten Blüten.

 

Sagenhaft: Tag für Tag gehen weltweit ca. eine Million Menschen irgendwelchen Internetkriminellen auf den Leim. Der jährliche Schaden beläuft sich auf gut hunderte Mrd. €, und es wird immer mehr.  

In unserer zunehmend vernetzten Welt, sind Online-Interaktionen nicht wegdenkbarer Teil der ganz gewöhnlichen täglichen Routine. Abermilliarden Transaktionen, viele von ihnen sensibelsten Charakters, finden täglich statt. Für Unternehmer und Mitarbeiter von Organisationen, aber auch für das schlichte Wohlbefinden jedes privaten Nutzers ist das Gefühl, dass sich intime Daten wie die eigene Identität und Zugangscodes zu Internetplattformen in guten Händen befinden, ein absolutes Muss. Miteinander kommunizierende Einheiten sind also existentiell darauf angewiesen, dass der Provider oder Anbieter Verfahren anbietet, auf die man sich tausendprozentig verlassen kann.

 

Die elektronische „Natur“ von Internetaktionen macht physische Identifikationen wie z.B. durch Passdokumente unmöglich bzw. schließt diese aus Gründen der Diebstahlsicherheit aus.

Darüber hinaus muss sich der Nutzer aber auch sicher sein können, dass der Kommunikationspartner, z.B. auf einem Internetmarktplatz, wirklich derjenige ist, als der er sich ausgibt.

Natürlich ist Vertrauen in die Korrektheit der Eingaben ein wesentlicher Bestandteil aller Authentifizierungssysteme. Doch der Mensch ist unberechenbar und zuweilen gefährlich.

 

Systeme zur Authentifizierung von Personendaten sind deshalb unverzichtbare Voraussetzungen für die Sicherheit und Absicherung von Interaktionen im Internet. Ob es sich nun um die Anmeldung bei Facebook oder bei einer Partnersuch- und Findbörse, einen Geldtransfer oder eine Flugbuchung handelt: Hier kann guten Gewissens das Leninsche Bonmot „Vertrauen ist gut, Kontrolle ist besser“ bemüht werden. Ansonsten war’s mit Lenins Weisheit nicht weit her, bekanntlich ging sein System vor 30 Jahren in die Knie.

 

Um Internetaktionen abzusichern, wurden in den vergangenen Dekaden eine Reihe von Verfahren entwickelt, die mehr oder minder sicher waren. Viele waren es nur minder. Da kommt nun die Blockchaintechnologie daher: Von vielen wird sie geradezu als Allheilmittel für die Sicherheitsproblematik hochgehypt.

 

Zu Recht?

 

Für die Absicherung von Interaktionen im Internet gibt es heute zwei gängige Methoden, mit denen versucht wird, den unterschiedlichen Sicherheitsbedürfnissen und -Notwendigkeiten von 1. niederschwelligen Formaten wie Chatforen oder Partnersuchplattformen sowie 2. von z.B. Geldtransfers Rechnung zu tragen. Das erste Verfahren bedient sich eines sog. „Pre-Shared-Key“. Bei diesem Key, zu Deutsch „Schlüssel“, handelt es sich um einen symmetrischen, „unsignierten“ Code, der vor dem Zustandekommen der Verbindung ausgetauscht wird. Das Problem dabei – und bei Chatforen nicht allzu tragisch (es sei denn, der Partner kriegt heraus, dass man sich, allen Treueschwüren zum Trotz, noch ein Türchen offenhält) – ist, dass jeder, der Kenntnis von meinem Schlüsselcode erhält, sich dort anmelden und als Original ausgeben oder anderweitig Missbrauch betreiben kann.

 

Ein Horror für jeden Teilnehmer von Internetgeschäften vom Einkauf bei eBay über die Mietwagenbuchung bis zur Banküberweisung! Sensible Interaktionen dieser Art erfordern erheblich höhere Sicherheitsstandards, die dadurch erreicht werden, dass der Anbieter ein öffentliches Schloss zur Verfügung stellt, das von einer staatlich autorisierten Stelle oder vom Staat höchstelbst zertifiziert werden muss. Der User gibt nun einen von ihm ersonnenen Code ein, anschließend wird per kryptographischem Algorithmus ein spezieller Schlüssel berechnet, mit dem der User dann in den virtuellen Transaktionsraum gelangt.

 

Wie angedeutet, erfordern solche asymmetrischen Public Key-Verfahren den Einsatz von Zertifikaten (von lat. certus ‚sicher, bestimmt‘ und facere ‚machen‘), die von amtlichen (in Deutschland die Bundesnetzagentur) oder amtlich beglaubigten Zertifizierungsstellen (CA für Engl. „certificate authority“) herausgegeben und signiert werden. Als zusätzliche Sicherheitsschleusen können Verfallsdaten oder Einmalcodes wie TAN-Nummern verwendet werden.

 

Nun stellt man sich natürlich die Frage: „Hmmm, trotzdem ist es ja möglich, mich als jemand anders auszugeben als ich bin“.

Das ist wohl wahr, läuft allerdings spätestens dann ins Leere, wenn bei Bankgeschäften Personendaten abgefragt werden, die bei der Bank hinterlegt, also auf Gedeih und Verderb an die das Geschäft tätigende Person gebunden sind. Natürlich können auch Kreditkarten und Bankdaten in die falschen Hände geraten. In solchen Fällen greifen dann Versicherungen sowie die von den Banken selbst vorgenommenen Sicherheitsüberprüfungen.

 

Im Fall internationaler Transaktionen ist eine ganze Kette von Institutionen vonnöten, die selbst wiederum bestimmte Mindeststandards erfüllen müssen. Um im Ausland verwandte Authentifizierungssysteme zu erkennen, müssen die „Verpackungen“ der versandten Daten mathematisch so gestaltet werden, dass sie dazu in der Lage sind, den empfangenden oder zwischengeschalteten Server zu erkennen. Hierzu bedient man sich hierarchischer Algorithmen, die die Sicherheitskompatibilität des Empfängers scannen. Erfüllt der Empfänger bzw. die Zwischenstation nicht die notwendigen Standards, kann ein Kontakt und ergo eine Transaktion nicht zustande kommen. Umgekehrt wird genauso verfahren: Stimmen die Sicherheitsportfolios eines privaten Anbieters mit den Anforderungen eines Empfangsrelais nicht überein, wird der Anbieter im „Hoheitsgebiet“ des Zwischensenders keine Transaktionen tätigen können.

Die Zertifizierung und staatliche Überwachung von Login-Daten ist also notwendig und sinnvoll, erfordert aber eine enorm komplexe und aufwendige Infrastruktur.

 

Darüber hinaus lassen auch die zertifizierten Public-Key-Verfahren fähigen Hackern nach wie vor Türen geöffnet, über die Daten gephisht und Viren eingeschleust werden können. Was also dringend notwendig wäre, sind sicherere und transparentere, nach Möglichkeit auch dezentralisierte Authentifizierungssysteme.

 

Der Erfolg des Bitcoin und seiner Geschwister hat die Aufmerksamkeit der Sicherheitsprofis auf die Blockchaintechnologie gelenkt. Wie bei allen Verfahren, die auf die Authentifizierung von Identitäten abzielen, dreht sich auch die Blockchainmethode um die Lösung der Zugangs- und Schlüsselproblematik. Blockchains gelten als extrem sicher, weil sie über Hashs miteinander verkettet sind und enorme Netzwerkeffekte generieren.

 

Im Jahre 2013 gründeten Muneeb Ali und Ryan Shea in New York „Blockstack“: Eine dezentrale, globale Identitäts-Datenbank, abgesichert durch Blockchains.

Das Ziel: Endlich wegzukommen von den missbrauchsanfälligen zentralen Systemen, bei denen man nie genau wusste, was dort, in den Weiten des World Wide Web, mit der Identität geschähe.

Und Blockstack funktioniert, wächst und gedeiht.

 

Mit ihrer Idee erreichen es die Jungs und Mädels um Muneeb Ali und Ryan Shea nämlich, die Macht über die eigenen Daten und Identitäten wieder zurück in die Hände der User zu legen. Eine wundervolle, eine vor allem aus ethischen Gründen notwendige und nützliche Maßnahme. Und ein großartiger Beweis dafür, dass Intelligenz (und nicht Ignoranz) der Motor von Evolution ist. Man muss es nur anpacken und durchziehen.

 

Noch ein wichtiger Aufruf: Es geht nicht ohne dich. Und deshalb ist es sehr wichtig, dass du diesen Podcast mit deiner Bewertung bei iTunes unterstützt. Denn durch deine Bewertung rankt dieser Podcast bei iTunes entsprechend höher und schafft höhere Aufmerksamkeit, wodurch mehr Fragen an mich gestellt werden, mehr Interaktion stattfindet und dieser Podcast einen Dialog erfährt und damit lebendig gestaltet werden kann - nicht nur von mir, sondern von uns allen. Vielen Dank also jetzt schon für deine Bewertung bei iTunes.

 

Frisches Hörfutter direkt auf dein Smartphone

Du kannst nun umgehend auf dem Messenger deiner Wahl über neue Podcast-Episoden, Blogbeiträge, Newsletter und Aktionen auf dem Smartphone informiert werden und die Inhalte auch gleich abrufen. Zusätzlich kannst Du dem MARKENREBELL auch Anregungen, Fragen oder andere Feedbacks senden, die dieser dann auf dem kurzen Weg gerne beantwortet. Wie das funktioniert, erfährst du hier.

 

Klicke hier und wir versorgen dich kostenfrei einmal im Monat mit den wichtigsten Informationen in unserem Newsletter.

Wenn dir der Artikel gefallen hat, teile ihn bitte in deinen Netzwerken, dadurch unterstützt du uns enorm! Danke!!!