OpenID und Co.: Generalschlüssel fürs Internet
Berlin (dpa/tmn) - Internet-Nutzer brauchen ein gutes Gedächtnis. Für jeden Web-Dienst müssen sie sich Nutzernamen und Passwort merken. Systeme wie OpenID und Facebook Connect sollen Abhilfe schaffen - als Generalschlüssel fürs Internet.
Nur ein Passwort fürs ganze Internet - ein Traum. Die Realität sieht anders aus: Mit jedem Dienst, für den sich Netznutzer registrieren, wächst die Zahl ihrer digitalen Identitäten. Wer viel online unterwegs ist, braucht daher ein gutes Gedächtnis. Systeme wie OpenID, Facebook Connect und Google Friend Connect wollen das Anmeldechaos beenden: Sie sind eine Art Generalschlüssel fürs Netz. Doch die Standards haben Tücken.
Die Grundidee hinter allen Systemen: Nutzer müssen nicht mehr bei allen Online-Diensten ein eigenes Konto anlegen, sondern verwenden eine einzige Identität dafür - „Single Sign-On“ wird dieses Prinzip genannt. „Die Idee ist, seine eigene Identität mitzubringen“, sagt Axel Nennker, Direktoriums-Mitglied der OpenID Foundation und im Hauptberuf Mitarbeiter der Deutschen Telekom.
Das entlastet nicht nur das Gedächtnis, sondern dient auch der Sicherheit: Wer sich nur ein Passwort merken muss, kann dieses kompliziert und somit sicherer gestalten.
Es gibt eine Reihe von Initiativen, OpenID galt aber lange als Standard unter den Einmal-Anmeldesystemen. Technikriesen wie Google, Yahoo, Microsoft und Paypal unterstützen das 2005 entwickelte Protokoll, zudem viele kleinere Unternehmen. Die genaue Zahl der potenziellen Nutzer ist nicht bekannt, dürfte aber beachtlich sein.
Das System ist dezentral angelegt, Nutzer können bei etlichen Anbietern ein OpenID-Konto anlegen - beispielsweise Google und Yahoo, aber auch Spezialisten wie MyOpenID. Anmelden kann man sich damit auf Websites, die den Standard unterstützen - nach den aktuellsten vorliegenden Zahlen der OpenID Foundation aus dem Jahr 2009 sind das weltweit neun Millionen. Vor allem kleine Anbieter erlauben den Zutritt mit OpenID, während sich die meisten Großen darauf beschränken, Ausweise auszugeben.
Nutzer müssen nach dem Logo mit dem halbrunden grauen Pfeil Ausschau halten. Beim Anmelden werden sie aufgefordert, ihre „OpenID URL“ einzugeben. Am besten geben sie hier die Web-Adresse des Anbieters ein, bei dem sie das OpenID-Konto angelegt haben, zum Beispiel „yahoo.com“. Es öffnet sich ein Fenster, in das man wie gewohnt seine Anmeldedaten eingibt, in diesem Fall die fürs Yahoo-Konto. Der Server erzeugt eine Internet-Adresse (URL) und sendet sie an die Ausgangs-Website - die Anmeldung erfolgt dann automatisch.
Einige Websites fragen ein paar Basisdaten ab, zum Beispiel den Namen und die Mailadresse. Einige Foren erlauben auch eine anonyme Anmeldung. „Anbieter wie Google bestätigen nur: Hier meldet sich ein Open-ID-Nutzer“, erklärt Nennker.
Eine Identität für viele Websites: Das klingt gut. Doch der große Durchbruch steht noch aus. Das liegt zum einen daran, dass der Dienst relativ unbekannt ist. „Viele Nutzer wissen gar nicht, dass sie eine OpenID haben“, weiß Nennker. Google, Yahoo und Co weisen nur dezent auf die Möglichkeit hin - wenn überhaupt. Wer nicht sucht, der findet auch nicht.
Die OpenID-Stiftung will den Standard ohnehin überarbeiten. OpenID Connect soll für Entwickler einfacher einzubinden sein und auch den Nutzer Erleichterungen bringen - etwa das Login mit einer einfachen E-Mail-Adresse. Zudem ist geplant, das System auch auf andere technische Plattformen auszuweiten, etwa Mobilfunk-Apps.
Doch die Konkurrenz nimmt zu. Denn das System Facebook Connect nimmt mächtig Fahrt auf. „Jeder weiß, was Facebook ist. Und es ist viel einfacher zu verstehen, dass Facebook die eigene Identität verwaltet als irgendein vages, unbekanntes Ding namens OpenID“, schrieb das US-Magazin „Wired“ kürzlich.
Äußerlich ähneln sich Facebook Connect und OpenID: Mit einem Klick auf das Symbol geht ein neues Fenster auf, in dem man seine Daten eingibt. Doch das US-Unternehmen geht weiter. Anders als bei OpenID sehen Nutzer nach der Anmeldung - etwa in einem Diskussionsforum -, welche ihrer Kontakte aus dem Sozialen Netzwerk sich dort tummeln. Umgekehrt können Aktivitäten wie Kommentare in den Facebook-Ticker gespeist werden, so dass die eigenen Kontakte sie sehen. Dies sei ein Grund, warum viele Websites auf Connect setzen: „Sie bekommen ein Stück vom Nutzer-Kuchen.“
Ob Facebook Connect oder OpenID: Datenschützer raten zu einer Grundvorsicht. „Dienste, die wie Facebook Connect eine Single-Sign-On Lösung bereithalten, können durchaus Zeitersparnis für die Nutzer bedeuten. Erfolgreiche Angriffe auf das Nutzerkonto potenzieren jedoch die Gefahren des unmittelbaren Zugriffs und Missbrauchs auf alle Daten, die der Nutzer in den verschiedenen Diensten hinterlassen hat“, erklärt Johannes Caspar, Datenschutzbeauftragter von Hamburg und für Facebook zuständig. Durch das Ausspähen von Zugangsdaten seien Fälle des Identitätsdiebstahls nicht auszuschließen.