Passport sammelte heimlich alle besuchten URLs seiner Kunden

Gestern hatte die Federal Trade Commission (FTC) das Authentifizierungssystem Passport von Microsoft (Börse Frankfurt: MSF) mit Auflagen belegt (ZDNet berichtete). Diese gelten laut US-Gesetz 20 Jahre lang. Dem Behördenchef Timothy Muris zufolge sammelt das System zu viele Daten, wird „irreführend“ beworben und ist unsicher. Die erteilten Auflagen betreffen sowohl Passport Single Sign-In (Passport) als auch Passport Express Purchase (Passport Wallet) und Kids Passport. Wie aber wirken sie sich konkret aus?

Zunächst muss der Konzern seine Statuten zum Schutz der Privatsphäre ändern. Künftig wird akkurat beschrieben, wie und welche Daten von Passport-Nutzern gesammelt werden, so der Microsoft-Anwalt Brad Smith in einer Erwiderung auf Muris. Die FTC erklärte, Microsoft sammle beispielsweise die URLs aller Sites, die ein Passport-Kunde besuche. Diese Aktivität wurde den Kunden bislang aber verheimlicht. Künftig darf Microsoft diese Angaben weiter sammeln, muss jedoch in seinen Statuten darauf hinweisen.

Fünf Jahre lang muss der Softwarekonzern dem FTC sowohl alle Werbematerialien als auch eine komplette Liste mit sämtlichen gespeicherten Daten vorlegen. Die FTC darf zudem jedes Dokument öffnen, das möglicherweise im Bezug auf Passport relevant sein könnte.

Microsoft engagiere sich künftig stärker als bisher für die Sicherheit der Daten, so Smith. Genau das hatte zuvor Muris öffentlich gefordert. Microsoft müsse „bis in einem Jahr ein Zertifikat einer qualifizierten und unabhängigen Behörde“ vorlegen, wonach der Schutzmechanismus tatsächlich greife. Zweimal im Jahr habe der Mechanismus auf seine Wirksamkeit hin überprüft zu werden. „Ich will betonen, dass wir kein tatsächliches Sicherheitsloch in Passport entdeckt haben“, so Muris. „Allerdings haben wir die Möglichkeit für einen Einbruch ausgemacht. Wir konnten eingreifen, bevor es zu einem Problem kam.“

In einem achtseitigen Schreiben legt der Konzern darüber hinaus dar, dass man auf jegliche „unfaire“ Geschäftspraktik bei der Verbreitung des Passport-Systems verzichten wolle.

Der Direktor des Electronic Privacy Information Center (EPIC), Marc Rotenberg, begrüßte sowohl die Auflagen als auch die Reaktion Microsofts: „Wir stehen am Anfang einer Überwachung der Online Services von Microsoft durch die FTC. Das ist ein bedeutender Fortschritt.“ EPIC hatte zusammen mit Junkbusters und zwölf anderen Privacy-Organisationen die Auflagen im vergangenen Jahr durch eine Klage angestoßen. „Wir sind zufrieden. Die FTC ging in mancher Hinsicht weiter, als wir zu hoffen gewagt hatten.“

Beim Passport-Service füllt der Benutzer einmal ein Formular mit seinen Daten aus und erhält dafür eine ID und Zugang zu verschiedenen Websites. So muss sich der Käufer nur ein einziges Passwort merken. Die Microsoft-Partner haben Zugriff auf die zentral hinterlegten Angaben des Kunden wie Name, Anschrift und Kreditkartennummer.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)