Web

 

Passport oder Liberty?

03.05.2002
Mit "Passport" hat Microsoft eine vielfach kritisierte technische Plattform zur Herstellung einer digitalen Identität geschaffen. Die von Sun initiierte Liberty Alliance will ein föderatives Single-Sign-on durchsetzen.

Mit "Passport" hat Microsoft eine vielfach kritisierte technische Plattform zur Herstellung einer digitalen Identität geschaffen. Die von Sun initiierte Liberty Alliance, an der auch Unternehmen wie AOL Time Warner und American Express mitarbeiten, will ein föderatives Single-Sign-on durchsetzen, basierend auf offenen Standards. Nun bewegen sich beide Lager aufeinander zu.

Internet-Nutzer müssen ein gutes Gedächtnis haben, um sich die vielen Benutzernamen und Passwörter zu merken, die sie auf den verschiedenen Websites verwenden. Zudem muss der Surfer bei jeder Neuanmeldung erneut persönliche Daten eintippen. Immer mehr Online-Angebote verlangen eine Registrierung, da die Betreiber den Besuchern personalisierte Seiten zur Verfügung stellen beziehungsweise den Zugriff auf bestimmte Inhalte und Dienste reglementieren wollen. Auch die Site-Betreiber haben ihre liebe Not mit Online-Registrierungen: Sie kommen nicht umhin, entsprechende Datenbanken und Verzeichnisse einzurichten und zu verwalten.

Universelle Eintrittskarte

Microsoft will aus dieser Situation ein Geschäft machen: Sowohl Surfer als auch Betreiber von Websites sollen den Online-Authentifizierungsdienst "Passport" nutzen. Dieser erlaubt dem Anwender ein bequemes Login auf verschiedenen Websites. Er erstellt hierzu einmal ein Online-Konto und kann so auf mit Passport-Logins ausgestattete Web-Angebote zugreifen; der Microsoft-Account dient ihm quasi als universelle Eintrittskarte. Site-Betreiber profitieren nach Meinung des Konzerns ebenfalls: Sie sind von der Bürde befreit, eine eigene Infrastruktur vorzuhalten. Zudem sollen sie darauf vertrauen können, dass Passport-Anwender vertrauenswürdige Zeitgenossen sind.

Da Detailinformationen über Internet-Nutzer Gold wert sind, setzt Microsoft alles daran, möglichst viele Passport-Konten einzurichten. Schließlich geben Surfer nicht nur ihre Daten preis, sondern liefern Marketing-Experten auch wichtige Hinweise über ihre Vorlieben, wenn sie mit ihrem Login-Konto verschiedene Websites ansteuern, dort einkaufen oder Informationen abrufen. Neukunden des von Microsoft betriebenen E-Mail-Dienstes "Hotmail", des registrierungspflichtigen Teils des MSN-Portals sowie der Entwickler-Site MSDN können sich nur noch über Passport einloggen. Darüber hinaus nutzt das Unternehmen seine Desktop-Dominanz, um dem Authentifizierungsdienst zu mehr Verbreitung zu verhelfen: Geradezu penetrant fordert das Betriebssystem Windows XP den Anwender auf, doch bitte dem Login-Service beizutreten.

Ursprünglich wollte der Konzern sein Single-Sign-on-System als eine Art Internet-Standard durchsetzen, wobei sämtliche Kundendaten in einer zentralen Datenbank beim Konzern liegen sollten. Doch Datenschützer liefen gegen den zentralistischen Ansatz der Gates-Company Sturm. Sie fürchteten um den Schutz der Privatsphäre von Surfern, wenn sämtliche Informationen beim Softwarehaus lagern. Zudem sorgten technische Pannen für Unmut bei den Anwendern.

Microsoft änderte schließlich seine Strategie. Konsumenten müssen nur noch einen Teil der personenbezogenen Daten eingeben, weitere Angaben erfolgen fakultativ. Zudem lagern nicht mehr alle Daten beim Softwarehaus. Auch Drittfirmen sollen in der Lage sein, eigene Passport-Datenbanken zu betreiben. In die Rolle eines "Passport Providers" könnten beispielsweise große Telekommunikationsgesellschaften oder Banken schlüpfen. Von ihnen erhält der Surfer seinen Online-Ausweis und nutzt diesen auf Passport-fähigen Internet-Sites. Damit Unternehmen Passport verwenden, stellt Microsoft entsprechende Funktionen in eigenen Produkten, etwa dem "Commerce Server" oder "Visual Studio .NET", der Entwicklergemeinde zur Verfügung. Auf diese Weise sind die Firmen in der Lage, E-Commerce-Anwendungen nebst Authentifizierungsfunktionen zu schreiben.

Durch diese konzeptionelle Öffnung nähert sich Microsoft dem Konzept des Liberty Alliance Project an. Dieses Industriekonsortium galt bis dato als Gegenbewegung zu Passport, nicht zuletzt, weil hier Microsofts Erzrivale Sun die Fäden zieht. Allerdings sieht sich die Liberty Alliance nicht als Widerpart zu Microsofts Passport: "Liberty" (Freiheit) beziehe sich nicht auf "Freiheit von Microsoft", sondern auf die freie Entscheidung des Konsumenten, was mit seinen Kundendaten geschehen darf, erläutert Eric Dean, Chairman des Liberty Alliance Management Board und gleichzeitig Chief Information Officer bei United Airlines. Ziel von Liberty ist es, eine föderative Single-Sign-on-Lösung ohne zentrale Instanz zu spezifizieren. Von "federated Authentification" spricht mittlerweile auch die Marketing-Abteilung von Microsoft. Bei dem Liberty-Ansatz verbleiben die Kundendaten in den Systemen des jeweiligen Website-Betreibers, bei dem der Surfer ein Login-Konto eingerichtet hat. Der

Konsument erhält beispielsweise von seiner Bank eine Netzidentität zugeteilt. Auf Grundlage dieser Geschäftsbeziehung kann er bei Kooperationspartnern des Geldhauses Dienste in Anspruch nehmen oder Produkte kaufen, wobei die erforderliche Authentifizierung beziehungsweise der Informationsaustausch automatisch erfolgen. Dabei kann der Kunde entscheiden, ob Daten weitergegeben und an anderer Stelle verwendet werden dürfen. Von der Art der Anwendung hängt es ab, wie die Authentifizierung technisch erfolgt, erläutert Tim Pickard, European Strategic Marketing Director beim Sicherheitsspezialisten RSA Security, der ebenfalls Mitglied der Liberty Alliance ist. Für ein Login auf einem Content-Portal genüge ein Passwort, wohingegen bei Banktransaktionen digitale Zertifikate oder Tokens zum Einsatz kämen.

Vom Liberty-Modell sind offenbar viele Unternehmen begeistert. Derzeit zählt die Organisation 38 Mitglieder, darunter sind namhafte Firmen wie Mastercard, American Express, General Motors, Hewlett-Packard, Citigroup, France Télécom, Vodafone und Sony. Sie repräsentiere Milliarden von Konsumenten, betont die Allianz gern, um die Bedeutung des Vorhabens zu unterstreichen. Die Mitgliedsunternehmen erhoffen sich von ihrer Teilnahme geschäftliche Vorteile. Mit einem föderativen Login-System könnten beispielsweise eine Fluggesellschaft, eine Autovermietung sowie eine Hotelkette ihre Registrierungssysteme koppeln: Die Airline verkauft ihren Fluggästen ein Ticket und ermuntert sie dazu, auch gleich einen Wagen oder ein Zimmer über die angeschlossenen Partnerfirmen zu mieten. Die beteiligten Unternehmen würden hierzu die Daten des Fluggastes mit seiner Genehmigung untereinander austauschen. Die beteiligten Organisationen bilden ein Vertrauensnetzwerk ("Trusted

Network"). Zwar erleichtert dies Surfern die Reiseplanung, doch vor allem profitieren Online-Anbieter durch das Cross-Selling verschiedener Waren und Dienstleistungen.

Spezifikation steht noch aus

Bisher hat die Liberty Alliance allerdings außer Absichtserklärungen nicht viel veröffentlicht. Die Branche wartet noch immer auf die technische Spezifikation, die nach mehrmaliger Verschiebung nun Mitte dieses Jahres fertig sein soll.

Im September vergangenen Jahres ließ Microsoft durchsickern, unter bestimmten Umständen der Allianz beizutreten, da man ja ähnliche Ziele verfolge. Wie ernst dies gemeint ist, bleibt jedoch abzuwarten, denn der Softwareriese reibt sich an den Geschäftsbedingungen der Organisation, die besagen, dass geistiges Eigentum der beteiligten Firmen in Sachen Single-Sign-on allen Mitgliedern zur Verfügung gestellt werden muss.

Mit diesem Passus hat AOL Time Warner offenbar weniger Probleme. Der Medienkonzern betreibt mit "Screenname" einen mit Passport konkurrierenden Single-Sign-on-Service und trat im Februar dieses Jahres der Liberty Alliance bei. Jedes AOL- und Compuserve-Mitglied, jeder registrierte Anwender auf dem Netscape-Portal sowie jeder AOL-Instant-Messaging-(AIM-) Nutzer erhält automatisch einen solchen Screenname, der ihm beispielsweise einen Browser-Zugriff auf E-Mails und Online-Kalender eröffnet.

AOLs Passport-Alternative

Der Dienst steht darüber hinaus jedem Surfer offen, der sich direkt über die Site my.screenname.aol.com einen solchen Account einrichtet. Mit dieser Identität können Anwender auf Websites des Konzerns sowie auf Angebote von Kooperationspartnern zugreifen, ohne sich erneut dort registrieren zu müssen. Laut Firmenangaben nutzen derzeit etwa 175 Millionen Anwender den Screenname-Dienst. AOL Time Warner arbeitet darüber hinaus an einem neuen Single-Sign-on-System namens "Magic Carpet", doch Details gab das Unternehmen bisher nicht bekannt. Unklar ist auch, wie das Unternehmen seine eigenen Dienste in Liberty Alliance einbringen wird.

Andere Internet-Unternehmen lehnen fremde Single-Sign-on-Dienste ab. So gibt es bei Amazon. com, Yahoo oder auch T-Online keine Pläne, Passport oder Liberty Alliance zu unterstützen oder deren Technik zu nutzen. Das Online-Auktionshaus Ebay dagegen tanzt gleich auf beiden Hochzeiten: Die Firma trat dem Liberty-Club bei und integrierte zudem Passport in ihre Websites. So können sich Online-Versteigerer über den Microsoft-Service anmelden und werden per "Alert"-Funktion des "MSN Messenger" über das Ende von Auktionen informiert.

Welcher Web-basierende Authentifizierungsdienst sich durchsetzen wird, könnte sich schon in diesem Jahr entscheiden. Die US-Regierung evaluiert neben anderen Verfahren auch Microsofts Passport-System für ein sicheres Login auf staatliche Websites. Ab Ende September sollen amerikanische Firmen über öffentliche Web-Seiten ihre Steuererklärung einreichen und Bürger sich über die sozialen Sicherungssysteme der USA informieren können.

Die Liberty Alliance hingegen könnte einen Schub durch ihre breite Mitgliederbasis und ihre Offenheit erhalten. Die Technik soll auch in den Unternehmen zum Einsatz kommen, wo sich Anwender im Intranet oder Extranet anmelden können. Lieferanten, Mitarbeiter, Handelspartner und Kunden bekämen so eine einheitliche Netzidentität. (fn)

Single-Sign-on

Der Begriff Single-Sign-on kommt aus der Unternehmens-DV. Die Idee dabei ist, Nutzern über eine einzige Netzidentität den Zugriff auf mehrere Anwendungen innerhalb einer Organisation zu erlauben. Hersteller wie Netegrity, Novell, Computer Associates und IBM/Tivoli bieten entsprechende Lösungen an. Immer mehr Firmen gestatten Kunden und Geschäftspartnern den Zugriff auf IT-Systeme über Web-Portale und binden hierzu ebenfalls Single-Sign-on-Systeme ein. Der Portalanwender wird beim Login identifiziert und erhält so Zugang zu den für ihn freigeschalteten Anwendungen.

Die Bemühungen der Liberty Alliance sowie Passport von Microsoft hingegen wenden sich an Internet-Konsumenten, damit sich diese auf verschiedenen Websites einloggen können, ohne für jedes Angebot eine spezielle Benutzerkennung eingeben zu müssen.

Während das Online-Auktionshaus Ebay Passport bereits in die eigenen Sites integriert hat und auch der Liberty Alliance beigetreten ist, zeigt Amazon.com kein Interesse an diesen Ansätzen. Der E-Commerce-Primus will seine Kundenprofile offenbar nicht mit anderen Unternehmen teilen. Ablehnend äußerten sich auf Anfrage auch Yahoo und T-Online.