Mobiltelefon wird zum Security-Token

Im Zeitalter von Hackern und Trojanern reichen Passwörter als Schutz von persönlichen Daten nicht mehr aus, besonders wenn es um hochsensible Informationen wie das eBank-Login geht. Die Finanzinstitute setzten darum schon länger auf die sogenannte Zwei-Faktor-Authentifikation, mit der nebst dem gewöhnlichen Passwort eine weitere Bestätigung der eigenen ID erbracht werden muss, sinnvollerweise durch eine Hardwarekomponente. Das Problem dabei: jedes Unternehmen hat sein eigenes System. Einige Banken liefern USB-Tokens, andere verschicken via «mTan» eine SMS. Das Prinzip ist überall gleich, die Systeme aber nicht kompatibel. Für den Endnutzer bedeutet dies unter Umständen, dass er zehn verschiedene Tokens auf Reisen dabei haben muss und sich auch für alle Anmeldungen die Passwörter merken muss. Die Swisscom will eine Schneise  in den Authentifizierungs-Dschungel schlagen und führt die «Mobile ID» für den B2C-Bereich ein, mit der das Mobiltelefon zum Security-Token wird.  Bereits im September lancierte der Telekommunikationskonzern die Mobile ID fr Unternehmen. Damit konnten Benutzer ihre Geschäftsanwendungen authentifizieren, nun erhalten auch Service-Provider die Möglichkeit, diese Sicherheitsmethode zu implementieren.

Die Idee ist simpel: Unternehmen bieten die «Mobile-ID» als Alternative zu ihrem gängigen Authentifizierungsmechanismus an, Kunden können wählen, welche Methode sie bevorzugen. Entscheiden sie sich für die mobile ID, müssen sie ihre Mobilnummer eingegeben, woraufhin auf dem Handy nach dem Pin für die «Mobile-ID» gefragt wird. Nach dieser Eingabe wird man automatisch auf das Portal des Unternehmens weitergeleitet und kann seinen Geschäften nachgehen.  Als Pilotpartner hat sich Swisscom die Postfinance ausgesucht, einen der grössten Player auf dem eBanking-Markt. Postfinance-CIO Enrico Lardelli erklärt, warum sein Unternehmen mitmacht: «Unser bekanntes 'gelbes Kästchen' ist für Kunden gut, die sich stationär authentifizieren wollen. Wer sich aber von unterwegs einloggen will, braucht eine Alternative.» Das Wort «Alternative» ist wichtig, denn den Dienst offeriert Swisscom nur den eigenen Kunden. Wer sich dafür registriert, erhält eine neue SIM-Karte zugestellt, auf welcher die technischen Voraussetzungen vorhanden sind, Software wird nicht benötigt. Auch für das Backend fallen keine Infrastruktur- oder Betriebsaufwände an und die Swisscom übernimmt den gesamten Support. Das bedeutet im Umkehrschluss aber auch, dass Orange- und Sunrise-Kunden ausgeschlossen sind, genauso wie alle, die kein Handy besitzen.   «Wenn wir dadurch neue Kunden gewinnen, sind wir natürlich nicht böse», sagt Adrian Humbel, Leiter IAM & Security, Geschäftsbereich Grossunternehmen, bei Swisscom. 

Doch vor allem kann Swisscom damit einiges Geld verdienen. Der Dienst ist zwar für den Endkunden gratis und der Service Provider muss nur einen Franken pro Monat und User zahlen (B2B: CHF 4.50 ? 7.50 pro User/Monat), aber weil Swisscom momentan 6,2 Millionen Mobilfunk-Kunden hat, kann sich dies rechnen. Zudem profitiert der Telco vom gleichen Endkunden unter Umständen mehrmals, jeder Dienst über den er sich via «Mobile ID» registriert, zahlt. Als jährliche Kosten fallen für den Service-Provider 1500 Franken an. Für die Swisscom ist es darum wichtig, dass sich viele  Unternehmen für den Dienst interessieren. An der Präsentation waren 120 potentielle Kunden anwesend und Lardelli rechnet damit, dass alleine bei Postfinance bis zu 20 000 Endbenutzer in einer ersten Phase mit «Mobile ID» authentifizieren wollen. Insgesamt hat die Bank 1,4 Millionen Kunden, 60 Prozent davon sind gemäss Lardelli Swisscom-Nutzer. Potential scheint also vorhanden.