Categories: Sicherheit

Mobile Connect: Deutsche Mobilfunkunternehmen starten gemeinsamen Anmeldedienst

Deutsche Telekom, Telefónica Deutschland und Vodafone Deutschland starten mit Mobile Connect einen Authentifizierungsdienst und treten damit in Konkurrenz zu amerikanischen Login-Diensten wie sie etwa Google und Facebook anbieten. Kunden benötigen für die Anmeldung nur noch ihr Smartphone und ihre Handynummer. Die Eingabe von Nutzername und Passwort fällt weg. Und die persönliche Handynummer wird zur eindeutigen digitalen Identität bei Internet-Einkäufen oder Anmeldungen in Online-Portalen. Mobile Connect könnte künftig auch digitale Behördengänge ermöglichen. Die branchenübergreifende Identitätsplattform Verimi ist der erste Partner von Mobile Connect. Bereits heute können sich Verimi-Nutzer nach vorhergehender Registrierung in das Verimi-Portal via Login mit Handynummer authentifizieren.

Ziel des Projekts sei es, das bisherige Anmeldeverfahren mit Nutzername und Passwort aufgrund seiner Schwächen zu überwinden. Viele Nutzer verwendeten dafür einfach zu erratene Passwörter wie beispielsweise ihren Vornamen, „qwertz“ oder „123456“, und wechselten die Passwörter viel zu selten. Das mache die Zugangsdaten zu einem einfachen und bevorzugten Ziel für Hacker.

Mobile Connect verzichtet beim Login auf Passwörter. Die Identifikation des Kunden erfolgt über das Handy. Nach Eingabe der Mobilfunknummer im Internet-Portal wird eine SMS an das Smartphone des Kunden geschickt. Über den in der Textnachricht integrierten Link bestätigt er auf seinem Smartphone den Erhalt. Dadurch erlaubt er dem Netzbetreiber die verschlüsselte Übermittlung einer „pseudonymisierten Kundenreferenznummer“ an den Portalbetreiber. So kann der Betreiber den Kunden immer wieder zuordnen und gewährt auch ohne Passwort Zugang zum Onlineshop. Muss ein Betreiber vorerst an dem passwortbasierten Login festhalten, kann die neue Lösung via Mobilfunk trotzdem die Sicherheit deutlich verbessern: Mobile Connect lässt sich als „zweiter Faktor“ (2FA) zusätzlich zum Passwort nutzen.

Strategische Bedeutung fürs Online-Geschäft

Nach Angabend er Mobilfunkprovider stellt Mobile Connect eine sichere Alternative zu den passwortbasierten Login-Verfahren auf Facebook, Google, Amazon und Co dar. Für Anbieter digitaler Inhalte sowie Portal- und Shop-Betreiber habe das erhebliche Vorteile, da das neue Login-Verfahren Kunden sicher in den Shop und schnell zum Kauf bringe.

Nach dem Start wollen die drei Netzbetreiber Mobile Connect zügig ausbauen. Weitere Authentifizierungsmethoden und neue Verfahren sollen mehr Bedienkomfort und -geschwindigkeit bringen. Kontinuierlich passen die Unternehmen das Angebot auch wachsenden Sicherheitsanforderungen an. Die Netzbetreiber führen derzeit intensive Gespräche mit deutschen und internationalen Dienste-Anbietern über den Einsatz der neuen Identitätslösung. Deutsche Telekom, Telefónica und Vodafone laden alle Mobilfunkmarken und virtuellen Netzbetreiber ohne eigenes Netz ein, den GSMA-Standard Mobile Connect ebenfalls zu unterstützen. Nach Angaben der GSMA haben 70 Netzbetreiber in fast 40 Ländern Mobile Connect bereits eingeführt.

Problemfall SMS

Als problematisch könnte sich die Authentifizierung über SMS erweisen. Immer wieder bemängeln Sicherheitsforscher das zugrundeliegenden Protokoll SS7. Anfang des Jahres wurde bekannt, dass die britische Metro Bank Opfer eines Angriffs geworden ist, mit dem Hacker die Zwei-Faktor-Authentifizierung mit SMS umgehen konnten. Die Cyberkriminellen nutzten dabei schon lange bekannte Schwächen in dem von Telekomanbietern eingesetzten Protokoll SS7 (Signaling System 7).

Hierzulande haben Banken das mTAN-Verfahren, bei dem eine TAN über SMS verschickt wurde, aus Sicherheitsgründen eingestellt. Auch das BSI weist auf die Gefahr von SMS hin.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago