Für eine größere Sicherheit bei der Authentifizierung sollten mindestens zwei Schutzvorkehrungen miteinander kombiniert werden. Dazu gehören auch Codes, die sich nach einer kurzen Zeitspanne verändern. Die belgische Firma Vasco Data Security hat ein solches System entwickelt, bei dem ein kleines Taschengerät den Code in einem Zufallsverfahren erzeugt, sobald man sich mit einem Passwort bei dem Gerät angemeldet hat.

Vegleich

Der zeitabhängige Code wird dann auf der Web-Site eingegeben, wo die Daten mit einem nach dem gleichen Verfahren arbeitenden Zahlengenerator verglichen werden. Wenn jemand das Gerät stiehlt, hat er noch nicht das Passwort. Und wenn jemand das Passwort stiehlt, hat er noch nicht das Gerät.

Testweise

Ähnliche Schutzsysteme werden von der Kreditkartenfirma MasterCard in Deutschland, Großbritannien und Brasilien getestet. Hier muss die Kreditkarte mit dem Chip in ein spezielles Lesegerät geschoben werden. Nach Eingabe der PIN erzeugt das Gerät ein Passwort, das dann nur ein einziges Mal bei Online-Anbietern verwendet werden kann.

Vorsprung

Europa, vor allem Skandinavien, ist bei der Nutzung einer solchen Doppel-Authentifizierung schon weiter als die USA es sind. Dort werden zeitlich befristete Zugangscodes als Ergänzung zur PIN von Firmen wie RSA Security entwickelt und vor allem für den gesicherten Zugang zum Netzwerk des Arbeitgebers eingesetzt. Das Problem sei die richtige Balance zwischen Sicherheit und kundenfreundlicher Nutzung, sagt Doug Johnson vom Amerikanischen Bankenverband.

Keine Bank wolle den ersten Schritt tun, sagt Avivah Litan vom Marktforschungsunternehmen Gartner. "Sie wollen nicht, dass die Kunden zu anderen Banken gehen, weil das für sie zu kompliziert ist." Amerikanische Banken und E-Commerce-Anbieter konzentrieren sich daher darauf, dass ihre Kunden möglichst sichere Passwörter verwenden. Beim Online-Auktionshaus eBay etwa ist es nicht möglich, "ebay" oder "password" als Passwort zu verwenden.

Ausstattung

Ein anderer Grund für das Zögern sind zusätzliche Kosten etwa für die Ausstattung von Kunden mit Passwort-Generatoren. Der für die Produktentwicklung zuständige RSA-Security-Manager Jason Lewis stellt sich daher vor, dass mehrere Unternehmen einen gemeinsamen Passwort-Generator akzeptieren, deren Codes auf allen beteiligten Web-Sites gültig sind. Standards für ein einheitliches "Identity Management" strebt das Liberty Alliance Project an, ein Zusammenschluss mehrerer Computer- und Internet-Firmen.

Langfristig könnten aber auch die Kunden bereit sein, einen größeren Aufwand für die Sicherheit zu akzeptieren, wenn sie einen immer größeren Teil ihrer Freizeit im Netz verbringen. Der Sicherheitsmanager von eBay, Robert Chesnut, sagt dazu: "Je mehr Wertsachen man im Haus hat, desto besser ist der Türriegel, mit dem man es verschließt." (APA)