eco-Vorstand plädiert, nationale Alleingänge zu vermeiden – Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen

[datensicherheit.de, 05.09.2022] Laut einer aktuellen Stellungnahme vom eco – Verband der Internetwirtschaft e.V. fordert eco-Vorstand Prof. Norbert Pohlmann: „Nationale Alleingänge vermeiden. Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern.“ Eine aktuelle eco-Studie zeigt demnach, dass vielen Menschen verfügbaren digitalen Behördendienste zu kompliziert und zu unsicher sind – Bürger wünschten sich von Behörden mehr Online-Services (60%), besseres Nutzungserlebnis (76%) und Gewährleistungen für die Sicherheit (77%).

Foto: eco e.V.

Prof. Norbert Pohlmann: Nutzerfreundlichkeit und offene Standards sollten im Mittelpunkt stehen, um Akzeptanz digitaler Identitäten und offenen Wettbewerb zu fördern!

eco sieht als wichtigen Grund für die Zurückhaltung das ausbaufähige Nutzungserlebnis

Ob zur digitalen Abgabe der Steuererklärung oder zur Online-Anmeldung eines Fahrzeugs: „Wer digitale Behördendienste nutzen möchte, muss sich online einloggen und identifizieren – beispielsweise auf Basis des eID-Verfahrens mit dem neuen elektronischen Personalausweis.“ Doch nur ein Drittel der Menschen in Deutschland nutze überhaupt solche digitalen Behördendienste, so ein Ergebnis der Studie „Security & digitale Identitäten in einer digitalisierten Welt“, von eco 2022 in Zusammenarbeit mit dem Analystenhaus techconsult erstellt.

Ein wichtiger Grund für die Zurückhaltung sei das ausbaufähige Nutzungserlebnis (User Experience), das viele Menschen (76%) mit behördlichen Online-Diensten verbinden würden. Insbesondere die mangelhafte Struktur und Auffindbarkeit der Online-Angebote halte viele zurück. „Mit einem ,funktioniert’ ist es nicht getan“, stellt Professor Pohlmann fest: „Die Menschen erwarten einen vergleichbaren Komfort und die einfache Bedienbarkeit, die sie aus ihren täglich genutzten kommerziellen Anwendungen gewöhnt sind – am Rechner genauso wie auf dem Smartphone.“

Vor allem für ältere Menschen stelle die Bedienbarkeit eine wichtige Anforderung dar. Während beispielsweise in der Altersklasse bis 49 Jahre etwas mehr als zwei Drittel die Bedienbarkeit als wichtigen Faktor erachteten, seien es bei Älteren um die 90 Prozent.

eco warnt: Viele Menschen bezweifeln Sicherheit der eigenen Daten

Ungeklärte Fragen hinsichtlich des Datenschutzes und der Datensicherheit spielten außerdem für 47 Prozent eine große Rolle, die gegen den Einsatz von sogenanntem E-Government-Diensten sprächen. Hierbei seien vor allem ältere Menschen tendenziell deutlich besorgter, als dies bei jüngeren der Fall sei. Für Unsicherheit sorge dabei der aktuelle Wildwuchs digitaler Identitäten: Ein Drittel der Bürger verwalte aktuell mehr als zehn verschiedene Benutzerkonten, um Internetdienste zu nutzen. Jeder Zehnte verfüge sogar über mehr als 20 Benutzerkonten.

Diese durch eine universelle Identität abzulösen, komme für die allermeisten (77%) erst bei Gewährleistung der Sicherheit dieser Identität infrage. „Hochsensible persönliche Daten preiszugeben, ist eine große Hürde für jeden Menschen“, unterstreicht Professor Pohlmann und führt aus: „Wenn diese beispielsweise durch Sicherheitslücken in die falschen Hände oder unberechtigt an die Öffentlichkeit gelangen, führt dies zu massiven Schäden und Vertrauensverlusten.“

Es sei grundsätzlich gut, dass die Bundesregierung das Thema digitale Identitäten in ihrer Digitalstrategie aufgreife und als Priorität benenne. Entsprechende Projekte müssten aber im Zusammenhang mit der geplanten EUid und der Evaluation der eIDAS-Verordnung in Brüssel gedacht werden, um nationale Alleingänge zu vermeiden. „Nutzerfreundlichkeit und offene Standards sollten dabei im Mittelpunkt stehen, um die Akzeptanz digitaler Identitäten und einen offenen Wettbewerb zu fördern“, betont Professor Pohlmann.

Abbildung: eco / techconsult

eco-Studie: Hürden für die Nutzung digitaler Identitäten

Laut eco grundsätzlich hohe Akzeptanz für digitale Behördendienste

Viele digitale Behördendienste würden die Menschen demnach gerne nutzen, wenn sie denn zur Verfügung stünden. Knapp 60 Prozent der Bürger seien mit der Anzahl der verfügbaren Dienste unzufrieden. Ganz oben auf der Wunschliste der Bürger seien die Ausstellung von Ausweisen und Pässen (53%), die An- oder Ummeldung des Wohnsitzes (53%) sowie Dienste zum Ausstellen von allgemeinen Dokumenten wie der Geburtsurkunde (50%) und die Kfz-Zulassung (50%). Aber auch nahezu alle anderen möglichen Dienste würden grundsätzlich hohe Akzeptanz genießen. Beispielsweise seien heute knapp ein Viertel der Bürger Briefwähler und forderten die Wahlunterlagen digital über das Portal ihrer Gemeinde an.

Die Öffentlichen Verwaltungen selbst böten primär Dienste zur Beantragung von staatlichen Leistungen gegenüber Unternehmen und Bürgern an (33%). Dahinter folgten Dienste für die Steuererklärung (25%) sowie die elektronische Ausstellung des Führerscheins (23%), die An- oder Ummeldung des Wohnsitzes (23%) die Anforderung von Wahlunterlagen (23%) und die Ausstellung allgemeiner Dokumente (23%).

Die Verfügbarkeit von Diensten solle in Zukunft noch stark ansteigen. So planten beispielsweise 27 Prozent der Kommunen, welche bisher noch keine digitalen Dienste für Bürger anböten, in Zukunft erste Angebote einzuführen. Hier eigneten sich insbesondere bereits in anderen Kommunen etablierte Dienste wie die Ausstellung von Ausweisen und Pässen oder die digitale An- oder Ummeldung des Wohnsitzes. Diese eco-Studie stehe vollständig zum Download zur Verfügung. Das Analystenhaus techconsult habe im Frühjahr 2022 zur Erstellung rund 300 Bürger, 170 Unternehmen und 40 Öffentliche Verwaltungen befragt.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Security & digitale Identitäten in einer digitalisierten Welt / Potenziale und Hürden bei der Nutzung digitaler Identitäten

[datensicherheit.de, 14.08.2018] Auf 3,33 Millionen Euro belaufen sich laut der Studie „Cost of a Data Breach 2018“ des Ponemon-Instituts die durchschnittlichen Kosten einer Datenpanne – Tendenz weiter steigend. Verlorene Geschäftschancen, Wiederherstellung aufgewendeter Arbeitsstunden und negative Auswirkungen auf die Reputation zählen zu den Kostentreibern. Verstöße gegen die Datensicherheit finden täglich statt, lassen sich zunehmend schlechter erkennen und somit schwerer verhindern. Mit jedem erbeuteten Datensatz verdienen Hacker bares Geld, zerstören unternehmerische Existenzen und bescheren der Weltwirtschaft empfindliche Einbußen: Bitkom beziffert allein die jährlichen Schäden der deutschen Wirtschaft auf 55 Milliarden Euro. IT-Sicherheitslücken und Datenschutzverletzungen betreffen alle Branchen, am stärksten jedoch die Energiewirtschaft, das Gesundheits- und Bankwesen sowie den öffentlichen Sektor. 81 % aller Verstöße haben laut dem 2017 Data Breach Investigation Report von Verizon ihre Ursache in laxem Umgang mit Passwörtern. Um sich vor Angriffen zu schützen und finanzielle Risiken zu senken, empfehlen die IT-Sicherheitsexperten von KeyIdentity die Multifaktor-Authentifizierung, kurz MFA.

Passwort keine Hürde

Im Zuge der Digitalisierung nimmt sowohl im privaten als auch im beruflichen Umfeld die Anzahl digitaler Identitäten massiv zu. Die Vielzahl dieser Accounts trägt dazu bei, dass Internetnutzer identische Passwörter mehrfach verwenden. Dies erhöht die Wahrscheinlichkeit, dass Hacker beispielsweise über ein Spielerforum Zugriff auf Logins am Arbeitsplatz erbeuten. Hinzu kommt die Forderung nach immer komplexeren Kennungen, ohne sie notieren zu dürfen. Später fällt das Erinnern oft schwer. 26 Passwörter brauchte ein Anwender schon im Jahr 2012 im Schnitt für seine Zwecke. Logisch, dass das gleiche Passwort oder der Einsatz mit kleinen Änderungen mehrfach Anwendung findet. Cyberkriminelle kennen die Muster und die Schwachstellen von Passwörtern. Sie sind leicht zu hacken, werden sogar im Team geteilt, lassen sich schwer merken, kommen bei mehreren Konten zum Einsatz, weisen eine geringe Entropie auf, sind somit vorhersagbar und halten Wörterbuchangriffen nicht stand.

Multiple Faktoren schützen Identitäten

Weil ein Login mit Nutzernamen und Passwort angesichts der informationstechnischen Expertise der Datendiebe schon lange keine Sicherheit mehr bietet, empfiehlt unter anderem das National Institute of Standards and Technology (NIST) Regierungsorganisationen und Bundesbehörden die viel sicherere Multifaktor-Authentifizierung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich für das Verfahren aus. MFA nutzt mindestens zwei voneinander unabhängige Komponenten, sogenannte Token, im Anmeldeverfahren. Ob Hardware-Token, beispielsweise persönlicher USB-Stick oder Fingerabdruck-Scanner, oder Push-Token, die zeitlich beschränkte Einmal-Codes via Mobiltelefon generieren – sie ergänzen die bisherigen Login-Daten und erschweren durch die kombinierte Nutzung den Identitätsdiebstahl erheblich. KeyIdentity geht mit seiner MFA-Lösung noch einen Schritt weiter, denn der Open-Source-Ansatz schließt Backdoors weitestgehend und reduziert Sicherheitslücken im Quelltext. Damit ermöglicht die Lösung eine einfache Auditierung und entspricht den Anforderungen von Institutionen mit höchsten Sicherheitsanforderungen. Die modulare Architektur und das skalierbare Design helfen IT-Security-Abteilungen, ihre MFA flexibel zu gestalten und zukunftssicher aufzustellen. Gerade Unternehmen, die auf mehrere Use-Cases wie die Absicherung von Mitarbeitern und Kunden angewiesen sind, setzen auf die Sicherheitslösung „Made in Germany“. Bestehende Authentifizierungsdienste integrieren die IT-Spezialisten aus Weiterstadt innerhalb kürzester Zeit, sodass sie für eine Implementierungsdauer von zwei Tagen bürgen. Dank einfacher Bedienbarkeit und überlegter Wahl der Token erreicht die KeyIdentity-Software schnell die Akzeptanz der Anwender.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2018
Digitale Wirtschaft: Identitätsbetrug vermeiden

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 08.03.2017
Mensch und IT: Vom Risiko- zum Sicherheitsfaktor

datensicherheit.de, 07.02.2017
Digitale Identitäten müssen bewusst geschützt werden

datensicherheit.de, 07.04.2014
Erneuter großangelegter Identitätdiebstahl: BSI informiert Betroffene

3D Security Reports decken immer wieder unentdeckte Botnetze auf

Von unserer Gastautorin Christine Schönig

[datensicherheit.de, 23.01.2014] Seit Dienstag, 21.01.2014,  warnt das BSI davor, dass Hacker sich Zugriff zu 16 Millionen digitalen Identitäten verschafft haben und rät Nutzern dazu ihre E-Mail-Adressen zu überprüfen. Wir sehen nicht nur die Gefahr, dass E-Mail-Accounts gehackt wurden und über diese Konten Spam-E-Mails verschickt wurden. In unseren 3D Security Reports decken wir immer wieder Botnetze auch in Unternehmen auf, die bislang nicht entdeckt wurden. Bis zu 63% der von uns im Rahmen des letzten Reports überprüften Organisationen weltweit hatten mehrere mit einem Bot infizierte Rechner. Aus diesem Grund raten wir dazu, nicht nur den Rechner von Malware zu bereinigen, die E-Mail-Adresse zu überprüfen und das Passwort zu ändern. Vielmehr sehen wir die Gefahr, dass Hacker sich Zugriff auf diese Datensätze mit Trojanern verschafft haben und das durch Drive-by-Download, Zero-Day-Attacks, Phishing und anderer Tools auch in Zukunft weiter tun werden.

Unternehmen mit sensiblen Daten sollten daher einen Multi-Layer-Security Ansatz fahren, um einen Multi-Layer-Angriff zu adressieren. Hierbei sollten die unterschiedlichen Software Blades miteinander kombiniert werden: ThreatEmulation, um Zero-Day-Attacken vorzubeugen, URL Filtering & Application Control ergänzen den Schutz gegen eine Drive-by-Download-Gefahr,  funktional ergänzend durch DLP und AntiBot, um den  Datenverlust und die unerlaubte Kommunikation aus dem Firmennetz einzuschränken. Generell sollten Unternehmen zusätzlich Data Loss Prevention-Lösungen zum Schutz von sensiblen Daten einsetzen und ihre Daten zuvor klassifizieren. Dieser kombinierte Sicherheits-Ansatz wird verhindern, dass sich in Zukunft unter den betroffenen E-Mail-Adressen auch die von Unternehmen befinden.

© Check Point

Christine Schönig

Die Autorin:

Christine Schönig ist seit 2009 Technical Managerin bei Check Point Software Technologies GmbH.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2014
Identitätsdiebstahl: BSI bietet Sicherheitstest für E-Mail-Adressen

datensicherheit.de, 10.12.2013
IT-Sicherheit für alle Unternehmensgrößen relevant