Das bedeutet allerdings auch das Eingeständnis, dass die Schutzmöglichkeiten des Passwort-Verfahrens sehr begrenzt sind. Wer mehr Sicherheit will, muss deshalb das Konzept des IT-Schutzes ändern. Und da bahne sich jetzt die Zeitenwende an, erklärt Sven Bugiel vom Saarbrücker Helmholtz-Zentrum für Informationssicherheit Cispa. Das Passwort soll durch einen Spezialchip ersetzt werden, der Geheimcode durch einen Gegenstand, mit dem sich ein Benutzer wie mit einem Ausweis bei Onlinediensten identifizieren muss. Informatiker nennen das ein Token. Und da Informatiker darüber hinaus gern mit Abkürzungen hantieren, wird die neue Idee für mehr Online-Sicherheit mit dem unaussprechlichen Namen „Fido2/Webauthn“ bezeichnet. Die Abkürzung Fido steht für „Fast Identity Online“, ein Zusammenschluss von Online-Unternehmen, „Webauthn“ ist eine Programmierschnittstelle für die Anmeldung bei Internetseiten, erklärt Sven Bugiel. Alles zusammen steht für einen neuen, offenen Internetstandard, der das Passwort überflüssig machen soll. Das Sicherheitsverfahren nutzt einen Spezialchip, mit dem sich der Onlinenutzer bei Netzwerkdiensten anmeldet. „Er funktioniert in etwa wie der Haustürschlüssel“, erklärt Sven Bugiel. Der Vergleich passt allerdings nicht ganz und gar. Denn dieser Onlineschlüssel öffnet viele Türen. Er ermöglicht den Zugang zu allen Diensten, bei denen sein Besitzer ihn registriert hat.

Ein Token nach dem Fido2-Standard gleicht auf den ersten Blick einem Speicherstick, der in einen beliebigen USB-Steckplatz gestöpselt werden kann. Es gibt ihn in mehreren Varianten mit unterschiedlichen Schutzfunktionen, darunter auch solche, die sich drahtlos verbinden, erklärt der Cispa-Informatiker. Auch sei diese Sicherheitstechnik bereits in sehr vielen aktuellen Smartphones ab Werk verbaut. „Die Industrie“, sagt Sven Bugiel, „macht mächtig Druck. Alle großen Internetunternehmen unterstützen diese Technik.“ Für sie liegt der Vorteil auf der Hand. Wenn zur Anmeldung bei einem Onlinedienst immer ein Token präsentiert werden muss, laufen heute übliche, massenhafte Internet-Attacken von Hacker-Netzwerken, die tausende Passwörter mit Phishing-Mails, über verseuchte Webseiten oder andere fiese Tricks abgreifen sollen, künftig ins Leere. „Das allgemeine IT-Risiko sinkt dramatisch“, sagt Sven Bugiel. Doch was hat speziell der Nutzer vom elektronischen Generalschlüssel? Dieser Frage sind die Cispa-Informatiker in Saarbrücken in einer Laborstudie mit 141 Teilnehmern nachgegangen. Die Reaktion der Tester sei überwiegend positiv gewesen, fasst Sven Bugiel zusammen. Sie mussten allerdings auch nicht in diese neue Technik investieren. Ein Sicherheitschip kostet derzeit in der günstigsten Variante 20 Euro.

Dass das neue Sicherheitsverfahren bei den Teilnehmern der Studie, die jeweils eine Stunde damit hantieren durften, insgesamt positiv aufgenommen wurde, habe an seinem zentralen Vorteil gelegen, erklärt Sven Bugiel. Es sei sehr viel bequemer als die alte Passwort-Lösung. Beim Fido2-Token gilt das Prinzip: Eines für alle. Dieser Chip kann den Zugang zu jedem beliebigen Onlinekonto öffnen, für das er registriert ist. Die Vielzahl unterschiedlicher Passwörter, die uns heute das Leben schwermacht, wäre bei der Einführung dieser Technik Vergangenheit.

Bei genauerer Betrachtung habe der Cispa-Test aber auch Schattenseiten der Technik offenbar werden lassen. Manche Probleme seien banal gewesen, erinnert sich Sven Bugiel. An öffentlich zugänglichen Computern zum Beispiel seien aus Sicherheitsgründen oft die Schnittstellen abgeschaltet, die der Sicherheitschip benötige, um mit den Webseiten zu kommunizieren, auf denen er sich anmelden soll. Dann funktioniert diese Technik nicht. Wer ein gutes Gedächtnis hat, hat sein Passwort immer im Kopf – wer sein Token verliert, kommt an seine Konten nicht mehr heran. Kopieren wie ein Haustürschlüssel lässt sich dieser Sicherheitschip nicht – die neue Technik wäre schließlich nichts wert, wenn Hacker per Copy&Paste Duplikate erzeugen könnten. „Wer seinen Sicherheitschip verliert, kann natürlich einen neuen kaufen und registrieren“, erklärt Sven Bugiel. „Aber das dauert natürlich seine Zeit.“

Wer sich „zur Sicherheit“ zwei verschiedene Token zulegen möchte – technisch wäre das ohne Weiteres möglich –, um beim Verlust des Hauptschlüssels auf die Reserve zugreifen zu können, der stößt auf ein neues Sicherheitsproblem. Wo verbirgt man seinen Zweitschlüssel vor bösen Buben? Wenn der zweite Schlüssel nicht durch ein biometrisches Verfahren oder eine PIN gesichert ist, könnte sich ein Dieb damit als legaler Eigentümer ausgeben.

Kopfzerbrechen dürfte die Technik auch Nutzern bereiten, die sich einen Onlinezugang teilen – ein beliebtes Verfahren bei Streamingdiensten. Im Prinzip sei es natürlich möglich, mehrere Token für ein Konto zu registrieren, räumt Sven Bugiel ein. Doch ob die Anbieter da mitspielen werden?

Sven Bugiel zieht nach der Cispa-Studie folgendes Fazit: „Die ultimative Lösung ist das noch nicht.“ Trotzdem seien alle heutigen Internetnutzer gut beraten, sich in Gedanken schon einmal auf die neue Technik einzustellen. Weil sie im Vergleich zum Passwort einen deutlichen Fortschritt in Sachen Sicherheit bedeute und die Onlineunternehmen darauf zu setzen scheinen, schätzt Bugiel die Wahrscheinlichkeit, dass der Sicherheitschip in den kommenden Jahren eingeführt wird, als sehr hoch ein – und „Kinderkrankheiten gibt es schließlich bei jeder neuen Technik.“