Das Smartphone als Identitätsnachweis

So funktioniert Mobile Connect

| Autor / Redakteur: Stefan Mutschler / Peter Schmitz

Benutzername und Passwort sind als Zugangsschutz beinahe so alt wie der Computer selbst und längst nicht mehr zeitgemäß. Mit Mobile Connect will die GSMA eine einfache Alternative schaffen.
Benutzername und Passwort sind als Zugangsschutz beinahe so alt wie der Computer selbst und längst nicht mehr zeitgemäß. Mit Mobile Connect will die GSMA eine einfache Alternative schaffen. (© anyaberkut - stock.adobe.com)

Die Anmeldung per Nutzername und Passwort gilt als umständlich und nicht mehr zeitgemäß. Mit Mobile Connect hat die weltgrößte Mobilfunkorganisation GSM Association (GSMA) eine Alternative entwickelt, die das Handy als Identitätsnachweis nutzt. In Deutschland haben bereits die großen Mobilfunkbetreiber angekündigt, das Verfahren im Laufe des Jahres einzuführen, aber wie funktioniert Mobile Connect und wie sicher ist es wirklich?

Die IT ist eine Geschichte von bahnbrechenden Entwicklungen. Davon unbeleckt blieb offenbar die Art und Weise, wie sich Nutzer bei einem IT-Dienst anmelden: Nutzername und Passwort gelten seit Anbeginn bis heute bei den meisten Diensten als Zugangsschlüssel der Wahl. Mit Mobile Connect verspricht die GSMA, das Zugangsverfahren nicht nur einfacher, sondern auch sicherer zu machen. Das Plus an Sicherheit ergebe sich aus der Tatsache, dass die Kenntnis einer bestimmten (Zugangs-)Information allein nicht mehr ausreicht, um sich Zugang zu verschaffen. Vielmehr ist es nun nötig, physisch im Besitz von etwas zu sein, eben dem Handy. Doch der Reihe nach.

So arbeitet Mobile Connect

So arbeitet Mobile Connect.
So arbeitet Mobile Connect. (Bild: GSMA)

Mobile Connect basiert auf OpenID Connect, einem weit verbreiteten Standard aus der Open Source-Welt. OpenID Connect wird verwendet, um einen Authentifizierungstoken zwischen dem Service-Provider und dem mobilen Netzbetreiber auszutauschen. Das mobile Gerät bildet dabei nur eine von mehreren Sicherheitskomponenten. Eine weitere (optionale) Komponente ist die Abfrage der PIN. Über den Service-Provider beziehungsweise Netzbetreiber als dritte Komponente lassen sich bei Bedarf auch Kontext-Informationen, die es beispielsweise erlauben, untypisches Verhalten als Angriff zu werten und weitere Sicherheitsfragen auszulösen, in den Prozess einbinden. Solche Kontextinformationen, über die der Mobilfunkbetreiber die Sicherheit des gesamten mobilen Ökosystems erhöhen kann, sind etwa:

  • Befindet sich das Gerät (dargestellt durch die SIM-Karte) an seinem gewohnten Standort?
  • Wurde die SIM häufig gewechselt (abnormales Verhalten)?
  • Wurde das Gerät häufig gewechselt (Fehlverhalten)?
  • Ist der Benutzer ein Vertragskunde (erhöht das Vertrauen)?
  • Seit wann ist der Nutzer Kunde des Mobilfunknetzes (stärkt das Vertrauen)?
  • Roaming des Geräts (dargestellt durch die SIM-Karte) im Moment?
Einfacher Login mit Mobilfunknummer

Mobile Connect von Deutsche Telekom, Telefónica und Vodafone

Einfacher Login mit Mobilfunknummer

16.02.18 - Für Mobilfunkkunden in Deutschland soll das digitale Leben künftig einfacher und sicherer werden. Deutsche Telekom, Telefónica Deutschland und Vodafone Deutschland wollen ihren Kunden eine einheitliche Lösung für die simple und geschützte Anmeldung bei Internet-Diensten auf Basis der Mobilfunknummer anbieten, ohne Eingabe von Username und Passwort. lesen

Mobile Connect aus der Sicht des Nutzers

In Deutschland haben bereits die großen Mobilfunkbetreiber Deutsche Telekom, Vodafone und Telefónica angekündigt, das Verfahren im Laufe des Jahres einzuführen. Dabei werden sie von Industrie- und Medienallianzen unterstützt, in welchen sich einschlägige Konzerne zusammengetan haben.

Wer Mobile Connect nutzen möchte, muss sich zunächst bei einem Mobile Connect Plattform Betreiber (zum Beispiel Verimi in Deutschland) registrieren. Bei diesem Schritt wird die Mobilfunknummer an eine bestimmte Identität gekoppelt. Wer möchte, kann auch noch weitere Informationen hinterlegen, beispielsweise eine Rechnungs- und eine Lieferadresse. Auch lassen sich hier je nach Sensibilität eines Dienstes unterschiedliche Sicherheitsstufen festlegen, um etwa das Online-Banking besonders zu schützen.

In der Praxis bildet Mobile Connect bei entsprechenden Diensten einfach eine zusätzliche Möglichkeit (neben Nutzername und Passwort) für die Anmeldung. Wer sich für "Mit Mobile Connect einloggen" entscheidet, erhält als Antwort ein Popup-Fenster für die Eingabe der Telefonnummer. An diese schickt Mobile Connect nun via SMS oder USSD (Unstructured Supplementary Service Data) einen Link. Je nach zuvor festgelegter Sicherheitsstufe muss der Link nur einfach durch Anklicken bestätigt, oder durch Eingabe einer PIN freigeschaltet werden. Alternativ zur PIN lassen sich auf dem Handy unterstützte biometrische Verfahren wie beispielsweise der Fingerabdruck oder die Augen-Iris als Freischaltmethode auswählen. Auf diese Weise realisiert Mobile Connect eine sichere Zwei-Faktor-Authentifizierung. Bei weniger sensiblen Anwendungen bietet sich die vereinfachte Form an, so dass die Eingabe einer PIN nicht erforderlich ist.

Die GSMA legt Wert auf die Feststellung, dass die Abfrage der Telefonnummer nicht durch den aufgerufenen Dienst (Web-Seite oder auch App) erfolgt, sondern durch das Mobile-Connect-API (Application Programming Interface) Exchange, welches mit der Telefonnummer den Netzwerkbetreiber des Nutzers ausfindig macht. Der Betreiber verschickt auch den Link, die Telefonnummer wird nicht mit der Web-Seite oder der App geteilt. Mobile Connect speichert laut GSMA keine sensiblen Daten (wie PIN, Token etc.) auf dem Mobiltelefon. Der Hash der PIN wird im SIM-Applet abgelegt und bei USSD wird der Hash der PIN auf den sicheren Servern der Mobilfunkbetreiber gespeichert. Keine der sicheren Anmeldeinformationen würden jemals mit dem Dienstanbieter geteilt, der stattdessen ein bestimmtes pseudonymes Token erhält. Nutzer müssten sich also keine Sorgen hinsichtlich ihrer Privatsphäre machen.

Zumindest in der Theorie bietet Mobile Connect eine gute Basis für moderne und vereinfachte Authentifizierung. Was genau davon in der täglichen Praxis ankommt, hängt nicht zuletzt aber von der Implementierung durch alle beteiligten Parteien ab. Wenn man davon ausgeht, dass es grundsätzlich deutlich einfacher ist, ein Passwort zu knacken als ein Mobiltelefon zu entwenden, bietet Mobile Connect in der Tat ein deutliches Sicherheitsplus. Der Verlust (oder Diebstahl) des Handys bleibt aber als klares Risiko - zumindest auf die nicht PIN-gesicherten Accounts und Apps hat der Finder oder Dieb sofortigen Zugriff. Ähnlich wie bei einer Kreditkarte bleibt in diesem Fall nur die möglichst frühzeitige Sperrung des Mobile Connect-Dienstes beim Plattformanbieter. Die Eingabe der Telefonnummer und PIN erinnert zwar stark an Benutzername/Passwort, aber immerhin muss man sich das nur einmal für alle beteiligten Dienste merken. Und die PIN kann sicher oft entfallen.

Laut GSMA ist Mobile Connect derzeit in gut 30 Ländern bereits im Einsatz. In Deutschland steht der Dienst noch in den Startlöchern. Konzerne wie Allianz, Axel Springer, Daimler, Deutsche Bank mit der Postbank und der Kartendienst Here haben in Form von Verimi eine branchenübergreifende Mobile Access-Allianz gegründet, ebenso wie RTL Deutschland, ProSiebenSat.1 Media sowie die United Internet AG mit Web.de und GMX in Form der Log-in-Allianz. Bleibt nur zu hoffen, dass nicht ein Wildwuchs von solchen Plattform-Allianzen entsteht, denn wenn der Nutzer erst herausfinden muss, welcher Allianz sein gewünschter Service angehört und er sich bei zig verschiedenen Plattformen registrieren muss, ist schnell wieder Schluss mit „Vereinfachung“.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45231513 / Security)