Mobile Connect: Deutsche Mobilfunkunternehmen starten gemeinsamen Anmeldedienst

Deutsche Telekom, Telefónica Deutschland und Vodafone Deutschland starten mit Mobile Connect einen Authentifizierungsdienst und treten damit in Konkurrenz zu amerikanischen Login-Diensten wie sie etwa Google und Facebook anbieten. Kunden benötigen für die Anmeldung nur noch ihr Smartphone und ihre Handynummer. Die Eingabe von Nutzername und Passwort fällt weg. Und die persönliche Handynummer wird zur eindeutigen digitalen Identität bei Internet-Einkäufen oder Anmeldungen in Online-Portalen. Mobile Connect könnte künftig auch digitale Behördengänge ermöglichen. Die branchenübergreifende Identitätsplattform Verimi ist der erste Partner von Mobile Connect. Bereits heute können sich Verimi-Nutzer nach vorhergehender Registrierung in das Verimi-Portal via Login mit Handynummer authentifizieren.

Ziel des Projekts sei es, das bisherige Anmeldeverfahren mit Nutzername und Passwort aufgrund seiner Schwächen zu überwinden. Viele Nutzer verwendeten dafür einfach zu erratene Passwörter wie beispielsweise ihren Vornamen, „qwertz“ oder „123456“, und wechselten die Passwörter viel zu selten. Das mache die Zugangsdaten zu einem einfachen und bevorzugten Ziel für Hacker.

Mobile Connect verzichtet beim Login auf Passwörter. Die Identifikation des Kunden erfolgt über das Handy. Nach Eingabe der Mobilfunknummer im Internet-Portal wird eine SMS an das Smartphone des Kunden geschickt. Über den in der Textnachricht integrierten Link bestätigt er auf seinem Smartphone den Erhalt. Dadurch erlaubt er dem Netzbetreiber die verschlüsselte Übermittlung einer „pseudonymisierten Kundenreferenznummer“ an den Portalbetreiber. So kann der Betreiber den Kunden immer wieder zuordnen und gewährt auch ohne Passwort Zugang zum Onlineshop. Muss ein Betreiber vorerst an dem passwortbasierten Login festhalten, kann die neue Lösung via Mobilfunk trotzdem die Sicherheit deutlich verbessern: Mobile Connect lässt sich als „zweiter Faktor“ (2FA) zusätzlich zum Passwort nutzen.

Strategische Bedeutung fürs Online-Geschäft

Nach Angabend er Mobilfunkprovider stellt Mobile Connect eine sichere Alternative zu den passwortbasierten Login-Verfahren auf Facebook, Google, Amazon und Co dar. Für Anbieter digitaler Inhalte sowie Portal- und Shop-Betreiber habe das erhebliche Vorteile, da das neue Login-Verfahren Kunden sicher in den Shop und schnell zum Kauf bringe.

Nach dem Start wollen die drei Netzbetreiber Mobile Connect zügig ausbauen. Weitere Authentifizierungsmethoden und neue Verfahren sollen mehr Bedienkomfort und -geschwindigkeit bringen. Kontinuierlich passen die Unternehmen das Angebot auch wachsenden Sicherheitsanforderungen an. Die Netzbetreiber führen derzeit intensive Gespräche mit deutschen und internationalen Dienste-Anbietern über den Einsatz der neuen Identitätslösung. Deutsche Telekom, Telefónica und Vodafone laden alle Mobilfunkmarken und virtuellen Netzbetreiber ohne eigenes Netz ein, den GSMA-Standard Mobile Connect ebenfalls zu unterstützen. Nach Angaben der GSMA haben 70 Netzbetreiber in fast 40 Ländern Mobile Connect bereits eingeführt.

Problemfall SMS

Als problematisch könnte sich die Authentifizierung über SMS erweisen. Immer wieder bemängeln Sicherheitsforscher das zugrundeliegenden Protokoll SS7. Anfang des Jahres wurde bekannt, dass die britische Metro Bank Opfer eines Angriffs geworden ist, mit dem Hacker die Zwei-Faktor-Authentifizierung mit SMS umgehen konnten. Die Cyberkriminellen nutzten dabei schon lange bekannte Schwächen in dem von Telekomanbietern eingesetzten Protokoll SS7 (Signaling System 7).

Hierzulande haben Banken das mTAN-Verfahren, bei dem eine TAN über SMS verschickt wurde, aus Sicherheitsgründen eingestellt. Auch das BSI weist auf die Gefahr von SMS hin.