USB-Tokens sollen für eine Extraportion Sicherheit sorgen

Nicht nur Firmennetzwerke, auch Privatnutzer werden immer stärker von der steigenden Flut von Viren, Würmern, Spam- und Phishing-E-Mails bedroht. Die Verunsicherung ist in den vergangenen Monaten rapide gestiegen und damit auch das Bedürfnis nach mehr Sicherheit. Schon lange ist klar, dass Passwörter wie ‘Mausi’ oder ‘Peter’ so wirksam sind wie ein Strick um die Haustüre. Aktuelle Meldungen zeigen, dass die Branche reagiert und auch Privat-Usern mehr Sicherheit gönnt.
Die Pionierarbeit übernimmt AOL. Der Internet Service Provider (ISP) hat in den USA seinen neuen Passwort-Service ‘PassCode Premium’ gestartet. Dabei erhalten die Kunden ein kleines USB-Gerät (Universal Serial Bus), das alle 60 Sekunden eine neue sechsstellige Nummer generiert und anzeigt. Das Einloggen bei AOL ist dann nur noch möglich, wenn der Nutzer sowohl sein normales Passwort als auch die Nummer eingibt, die das Gerät gerade anzeigt. Da der Nummern-Generator klein genug ist, um an einen Schlüsselanhänger zu passen, kann das System flexibel eingesetzt werden.

Hauptziel sei es, die sensiblen Daten jener Mitglieder besser zu schützen, die ihre Accounts für Geldgeschäfte nutzen, heißt es von AOL. Die Geräte für diesen Dienst werden von RSA Security hergestellt. Das Unternehmen beherrscht mit seiner SecureID derzeit den Markt für Identity Management. Für die Anschaffung des Nummern-Generators müssen AOL-Kunden einmalig knapp 10 Dollar bezahlen. Je nach Nutzungsumfang kostet der Dienst dann eine Gebühr zwischen 2 und 5 Dollar pro Monat.

Parallel dazu wird Verisign im Laufe der Woche zwei neue Token-Produkte auf den Markt bringen. Das Unternehmen hat es vor allem auf Unternehmenskunden abgesehen, speziell auf Banken. In diesem hochsensiblen Umfeld sollen diese ‘USB-Tokens’ für einen sichereren Datenaustausch zwischen dem Unternehmen und ihren Partner und Kunden sorgen.

So verhandelt Verisign derzeit mit zwei Finanzdienstleistern, die ihre Partnerfirmen und finanzstarke Kunden mit den Tokens ausstatten wollen. In einem Pilotprojekt sollen auch Studenten mit dem Gerät arbeiten und dadurch Zugang zu sensiblen Universitäts-Webseiten erhalten. Wenn es darum geht, dass Unternehmen ihre eigenen Angestellten mit solchen Passwort-Generatoren ausstatten, will sich Verisign dagegen raushalten – dieser Markt ist fest in der Hand von RSA Security.

“Wir sehen, dass immer öfter Einzelpersonen im Mittelpunkt der Bedrohungen stehen, weil sie nicht so erfahren sind”, erklärt der ehemalige Sicherheitsspezialist im Weißen Haus, Howard Schmidt, die Bemühungen der Hersteller. “Durch wirksame Authentifizierung lässt sich dieses Problem recht einfach lösen.”

Der Trend zeigt, dass das herkömmliche Passwort als gängige Sicherheitsvorkehrung nach und nach verschwinden wird. Schließlich ist das System mehrere Jahrzehnte alt und gilt als eines der schwächsten Glieder in der Internet-Sicherheitskette. Hacker wissen das auch durchaus zu nutzen, wie die Zahlen der ‘US Federal Trade Commission’ beweisen. Demnach wurden in den USA im vergangenen Jahr 214.000 Fälle von Identitäts-Diebstahl angezeigt, den Opfern entstand ein Schaden von 200 Millionen Dollar.

Auch Marktforscher verzeichnen inzwischen in den Firmen eine gestiegene Nachfrage nach alternativen Sicherheitsmaßnahmen. Die Unternehmen hätten erkannt, dass mit oft verworrenen Passwort-Strategien nur Zeit verloren geht, die andererseits für den Schutz kritischer Anwendungen fehlt, so die Meta Group. Damit sich neue Methoden wie Tokens durchsetzen können, müssten allerdings die Preise fallen. Dafür sei es dringend nötig die Dominanz von RSA Security zu brechen.