Mit großen Lettern schreibt sich Microsoft gerne ‘Sicherheit, Sicherheit, Sicherheit’ auf die Fahne. Und genau über dieses Thema ist das Microsoft-Passport-Projekt gestolpert. Ebay hat den Entschluss, sich von Dotnet-Alterts und dem Microsoft-Passport zu verabschieden, nicht begründet. Dennoch liegt die Vermutung nahe, dass der Authentifizierungsdienst aus Redmond auch hier vor allem mit Sicherheits-Problemen und mangelndem Kundeninteresse zu kämpfen hatte. Konkurrenten wie die Liberty Alliance, RSA Security und Verisign sehen den Niedergang des ehrgeizigen Microsoft-Projektes natürlich mit Genugtuung.
Nachdem neben dem Personaldienstleister Monster.com jetzt auch der publikumswirksame Onlineauktionator bei Passport ausgestiegen ist, scheint der Dienst, der einst von Microsoft als die Revolutionierung der Authentifizierung im Netz gefeiert wurde, jetzt endgültig gescheitert. Öffentlich zugeben will Microsoft das aber nicht und versucht noch das Beste aus der Situation zu machen.
“Passport wird es noch lange Zeit geben. Wir verwenden es auf allen unseren Seiten und da hat sich auch nichts daran geändert”, erklärte Adam Sohn, Produktmanager für Passport bei Microsoft. Zudem würde der Dienst nach wie vor von Millionen MSN-Hotmail-Usern als Single-Sign-On verwendet und zu internen Authentifizierungen herangezogen. Auch externe Partner meldeten sich über Passport an, um zum Beispiel Support zu bekommen.
Tatsächlich hat sich Microsoft jetzt zu einem Statement durchgerungen und kündigte an, die Strategie bei Passport ganz offiziell ändern zu wollen. Der Authentifizierungsdienst solle nicht mehr länger an andere Unternehmen weitervermarktet werden, sondern nur noch in eigenen Geschäftsbereichen seinen Dienst tun. Vielleicht finden sich auch Teile der Technologie in einem Authentifizierungsservice in Longhorn wieder.
“In den letzten Jahren hat Microsoft bei der Arbeit mit Partnern und Kunden gelernt und den Focus des Dienstes vor allem auf Single-Sign-On-Lösung für MSN und andere Microsoft Online Services gerichtet. Natürlich wird der Dienst auch bei der Zusammenarbeit mit engen Partnern eingesetzt, “wenn es für beide Parteien sinnvoll ist”, heißt es in der Mitteilung von Microsoft. Mit Passport können User ihre Daten hinterlegen und sich anschließend bei verschiedenen teilnehmenden Onlinediensten anmelden. Der Name leitet sich von der Idee eines Ausweises ab, mit dem der Nutzer wie mit einem Reisepass alle Kontrollpunkte im Netz passieren kann. Dabei können Nutzer auch vertrauliche Daten, wie zum Beispiel Kreditkarteninformationen, hinterlegen. Ursprünglich war der Dienst als der zentrale Authentifizierungsdienst für alle Bereiche im Netz, die mit einem Passwort geschützt sind, von Microsoft angedacht. Natürlich witterte der Softwaregigant ein großes Geschäft bei dem Verkauf von Lizenzen an Dritte.
Ebays Entscheidung mag vielleicht noch eine Spätfolge der Warnung der Marktforscher von Gartner sein. Nachdem 2004 einige Sicherheitsprobleme bei Passport bekannt geworden sind, erklärten die Analysten, dass Microsoft offenbar den Service nicht ausreichend getestet hatte. “Das Sicherheitsleck wirft ernstzunehmende Zweifel an der Verlässlichkeit aller aktuellen Authentifizierungsdienste auf”, teilten die Analysten damals mit. Sie rieten Unternehmen davon ab, sich auf den Microsoft-Dienst zu verlassen. So standen 2003 zum Beispiel wegen eines Fehlers die Nutzerdaten von 200 Millionen weltweiten Usern, zum Teil samt Kreditkarteninformationen, mehr oder weniger ungeschützt offen.
Die stetig wachsende Aufmerksamkeit der Anwender und Unternehmen bei Sicherheitsthemen gibt vor allem Authentifizierungen mit zwei Faktoren Aufwind. Hier können RSA Security und Verisign mit Token-Lösungen genannt werden. RSA setzt dabei auf so genannte ‘Secure ID Hardware Tokens’, die einmalige Passwörter generieren. Diese werden beispielsweise bei AOL-Kunden eingesetzt. Verisign vertreibt hingegen einen USB-Token (Universal Serial Bus), der eine zweite Stufe der Authentifizierung ermöglicht. Hier ist ein Teil des Passwortes in Hardware gegossen und das Einloggen funktioniert nur mit angeschlossenen USB-Stick.
Ein derartig umfassender und auch sensibler Dienst wie Passport sollte in erster Linie auf einem sicheren Fundament stehen; die Probleme bei Passport haben dieses Fundament ausgehöhlt. Und zusätzlich sägte ein Streit mit der Europäischen Union über die Frage, wie viele Daten Microsoft denn nun erheben dürfte, an der Vertrauensbasis. Vielen Nutzern und Unternehmen war auch bei dem Gedanken, all die vertraulichen Daten auf einem Microsoft-Server hinterlegt zu wissen, nicht gerade wohl in ihrer Haut.
Aber auch andere Kräfte haben das Projekt ausgezehrt. “Der Markt lehnt einen proprietären, an Microsoft gebundenen Ansatz ab”, erklärte Gartner Analyst John Pescatore. “Wir beobachten, dass die Liberty Alliance sich weiter entwickelt und in einigen Bereichen Fuß fasst, während Passport im Großen und Ganzen unter dem Mantel von Microsoft läuft.” Und hier liegt auch der Wettbewerbsvorteil des Dienstes der Liberty Alliance. So können User-Daten ohne einen zentralen Broker sicher zwischen Providern ausgetauscht werden. Und dahinter steht nicht ein einzelnes Unternehmen, sondern eine Gruppe von 31 Unternehmen.
“Der Markt hat sehr deutlich klar gemacht, dass die Technologie für ein derartiges Projekt auf offenen Standards basieren muss, dafür kein zentrales Repository der persönlichen Daten nötig sein darf und das Ganze auf einem föderalem System basieren muss”, erklärt Simon Nicholson, Chairman einer Expertengruppe bei der Liberty Alliance.
Den Erfolg der Liberty-Alliance-Spezifikationen erklärt er unter anderem damit, dass die Authentifizierung mit bestehenden Technologien zu bewältigen ist und kein externes Unternehmen in den Transaktionsprozess mit eingebunden werden muss. “Unternehmen unterhalten Kundenbeziehungen, die einige Zeit gebraucht haben, um zu reifen. Schließlich wünschen diese Unternehmen keine andere Marke, die versucht, sich selbst zwischen das Unternehmen und dem Kunden zu platzieren”, so Nicholson weiter.
Scheinbar hat Redmond Passport auch am Markt vorbei geplant: “Microsoft hat damit ein Problem adressiert, das es so gar nicht gibt”, meint Pescatore. “Wenn ich auf Ebay bin, logge ich mich nicht anschließend gleich bei United Airlines ein, um online Flugtickets zu kaufen. Die Verbraucher haben einfach den Mehrwert nicht gesehen”, erklärt der Analyst, und Unternehmen würden so lange kein Geld investieren, solange nicht klar ist, wie sich dadurch der Umsatz steigern lasse. Zumal Lizenzen für Passport mit rund 10.000 Dollar jährlich und einem zeitaufwendigen Implementierungsprozess den Dienst für viele Betreiber von Webseiten unerschwinglich oder uninteressant machten.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.
Der deutsche Chipproduzent beliefert Xiaomi mit Siliziumkarbid-Leistungsmodulen (SiC), Mikrocontrollern und Gate-Treibern.
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.