Die MTRIX GmbH, führender Distributor und Spezialist für starke Authentifizierung, veranstaltete auf der diesjährigen it-sa in Kooperation mit dem Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine Panel-Diskussion zum Thema FIDO-Authentifizierung. Unter der Moderation von Malte Kahrs, CEO von MTRIX, diskutierten:
Dr. Norbert Pohlmann, TeleTrusT-Vorstand und Direktor des Instituts für Internet-Sicherheit an der Fachhochschule Gelsenkirchen
Jens Bender, BSI
Thomas Stoppe, Bundesdruckerei
Christian Reuter, Yubico
Mit dem Ziel, offene internationale Standards für eine sichere und benutzerfreundliche Authentifizierung zu entwickeln, startete die FIDO-Allianz 2013. Seitdem ist die Mitgliederzahl rasant gestiegen. Zu den Mitgliedern der Allianz zählen mittlerweile sehr viele große Player der gesamten Wertschöpfungskette: von Herstellern wie beispielsweise Yubico oder RSA, über Anwender wie PayPal oder Visa, Betriebssystem- und Browserherstellern wie Microsoft und Google bis zu Regierungsorganisationen wie NIST oder BSI.
In dieser Vielfalt der Mitglieder sieht das Panel eine große Chance. Eine Chance, die FIDO schon jetzt und vor allem in Zukunft bietet. Mit einem solchen offenen Standard, so Pohlmann, können Unternehmen mit Technologien aus Deutschland beispielsweise eine Authentifizierung bei Firmen wie Google oder PayPal realisieren.
Mit den FIDO-Standards, fügt Jens Bender vom BSI hinzu, wird Herstellerunabhängigkeit geschaffen sowie eine skalierbare Sicherheit, die es erlaubt, auch verschiedene Sicherheitsniveaus abzudecken. Die Allianz ist gerade dabei, diese Sicherheitsniveaus zu definieren. Nicht zuletzt deshalb engagiert sich das BSI bereits zum jetzigen Zeitpunkt. So soll sichergestellt sein, dass diese globalen Sicherheitsniveaus auch jenen in Deutschland bzw. der EU – beispielsweise im Rahmen der eIDAS-Verordnung – entsprechen.
Auch die Akzeptanz bei den Nutzern ist ein wesentlicher Faktor des Erfolges, so Stoppe. Das habe die Erfahrung mit der eID-Funktion des Personalweises gezeigt. „Die Technik kann noch so gut sein, sie kann noch so gut geschützt sein“, so Thomas Stoppe von der Bundesdruckerei, „wenn die Organisation um die Technik herum und die Anwendbarkeit für die Benutzer nicht gegeben ist, wird sie sich nicht durchsetzen.“
Yubico hat als einer der Gründerväter der FIDO-Allianz mit Google zusammen den FIDO-U2F-Standard entwickelt. Ziel war es laut Christian Reuter immer, starke Authentifizierung so einfach wie möglich zu machen, um auch wirklich jedem den Zugang zu dieser zu ermöglichen. „Wir wollen alle einen globalen offenen Standard generieren, der dann lokale Verifizierungsmöglichkeiten findet,“ so Reuter, „aber in der Anwendung für den User gleich bleibt – egal wo auf der Welt er sich befindet und was er damit machen möchte.“