Gegen Diebstahl der Identität: Microsoft und die Privatsphäre

ZDNet: Was sehen Sie als größtes Problem in Hinblick auf Datenschutz? Ist es Phishing?

Cullen: Es ist wirklich schwer, da ein Problem herauszupicken… Vor einem Jahr gab es den Begriff Phishing noch gar nicht. Und bei Spyware ging es vor einem Jahr darum, herauszufinden, wo ein User hingeht, um dann passende Anzeigen auszuliefern. Jetzt geht es darum, ein Programm auf den PC zu bringen, das jeden Tastendruck aufzeichnet.

Nehmen Sie Spam. Wir blockieren jeden Tag 3,2 Milliarden Spam-Mails, Outlook und MSN zusammengenommen, aber immer noch sind 65 Prozent aller E-Mails weltweit Spam. Darum waren wir der Meinung, dass das Konstrukt Sender ID gut ist, und jetzt hat 25 Prozent der Mail, die bei MSN eingeht, eine Sender ID. Das bedeutet, dass wir uns auf 75 Prozent konzentrieren können, und nicht mit den ganzen 100 Prozent zu tun haben.

Zusammengenommen ermöglichen uns diese Dinge, den Trichter immer zu verengen, sodass wir uns wirklich auf die bösen Leute konzentrieren können.

ZDNet: Meinen Sie, dass das zum Beispiel in Großbritannien verbreitete Verfahren, sich bei jeder Kartenzahlung mit dem Chip zu identifizieren und eine PIN eingeben zu müssen, ein guter Weg ist?

Cullen: Den Anwender über Chipkarte und PIN zu identifizieren ist sehr gut, aber es bereitet einige Probleme im Betrieb. Was passiert zum Beispiel, wenn ich die Chipkarte verliere? Heißt das, dass ich keine Möglichkeit mehr habe, mich zu identifizieren? Ich denke, es gibt mehrere, unterschiedliche Lösungen.

In anderen Teilen der Welt untersucht man gerade die Authentifizierung mit zwei Elementen. In den USA und Kanada zum Beispiel läuft Internet-Banking meistens ohne Smartcards ab. Dort verwendet man nur Passwort und User-ID.

Es geht auch nicht nur darum, dass die Geldinstitute wissen, mit wem sie es zu tun haben. Bestätigen wir als Anwender ihnen, dass wir es mit einem Geldinstitut zu tun haben? Nach unserer Ansicht muss die Authentifizierung unbedingt beidseitig sein.

ZDNet:Gibt es eine bestimmte Authentifizierungsmethode, die Sie bevorzugen?

Cullen: Wir haben darüber wahnsinnig viel nachgedacht. Das System selbst muss mit verschiedenen unterschiedlichen Technologien zurechtkommen. Es muss interoperabel sein, nicht nur eine einzige Lösung zulassen. Wir glauben, dass das die Antwort auf die Frage ist. Deswegen haben wir in einem Team eine Reihe von Prinzipien ausgearbeitet. Sogar Leute aus der Open Source-Community haben dazu beigetragen. Und als Ergebnis werden alle unsere Lösungen diesen Standards genügen. Wir nennen sie die sieben Gesetze der Identität, the seven laws of identity. Sie sind im Lauf des letzten Jahres entstanden. Wir meinen, dass ein erfolgreiches Identity Management auf ihnen aufbauen muss.

Weil wir bei ihrer Erstellung geholfen haben, werden sie unsere Standards sein bei allen Lösungen zur Bestimmung der Identität, die wir für unsere Kunden herausbringen werden.