Es gibt mehrere Gründe:
- es ist unglaublich viel Technik, die einfach funktionieren muß. Meistens Mobilfunk, Mobiltelefon, Authenticator-App, Mobilnetz etc. Gerade in Krisenzeiten oder wenn es eilig ist, muß das nicht immer gegeben sein.
- es ist ein Exklusionsmechanismus. Viele meiner älteren Kunden haben sehr große Schwierigkeiten, überhaupt das Konzept zu verstehen.
- wenn man einen Dienst längere Zeit nicht nutzt, weiß man oft nicht mehr, was als „2FA“ definiert wurde – oder die „App“ ist nicht mehr aktuell oder geht gar nicht mehr mit der (veralteten) Software des Mobiltelefons
- viele der IT-Entwickler sind in der ersten Lebenshälfte, haben oft wenig Lebenserfahrung, haben oft keine Kinder, haben oft kein Leben „außerhalb“ der IT. Das heißt, sie sitzen ständig vor dem Rechner und für sie ist es kein Problem, ihr Mobiltelefon aktuell zu halten, die Apps aktuell zu halten etc. – genau dies trifft aber auf viele andere nicht zu. In meinen Augen lügen sich große Teile der Gesellschaft in die Tasche. Wenn man z.B. beim MVV, dem Münchner Verkehrsverbund, nur noch über die „App“ eine Fahrkarte kaufen kann, wie funktioniert das dann bei Kindern? Es ist für mich komplett unverständlich, wie diese neue Technik so massiv bisherige Techniken verdrängen konnte. Als Soziologe sage ich, es wurde zu wenig Technikfolgenabschätzung betrieben. Als Politiker sage ich, man kann große Teile der Gesellschaft nicht einfach ausschließen oder erzwingen, daß die benachteiligen Teile evasive Maßnahmen ergreifen. Als Programmierer sage ich, ich kenne zu viele schlechte Programmierer, oft funktioniert es einfach nicht und die Schuld wird dem Kunden zugeordnet. Wenn ich nicht selbst schon Apps programmiert hätte, würde ich anders auftreten. So aber sage ich zur Bank oder zur Deutschen Bahn: „Ich habe die Problematik zu 100 % analysiert, die Schuld ist zu 100 % bei Ihrer App“. Dann kommt erst noch Gegenrede und einige Tage später ein Update und dann geht es auf einmal wieder – ohne, daß ich etwas geändert hätte.
- Ich hatte schon Aufträge, wo der „zweite Faktor“ verlorengegangen ist: Defektes Telefon, verlorenes Telefon, verstorbener Kunde – und das Mobiltelefon wurde abgeschaltet; Bankkonto „ins Minus gelaufen“ und das Mobiltelefon wurde gekündigt – und ich hatte regelmäßig keine Chance, die Nummer wieder zu reaktivieren.
Das ist alles nie richtig durchdacht worden meiner Meinung nach.
Aus einer IT-Sicherheitsperspektive hätte ich das nie genehmigt.
Das ursprüngliche Problem ist klar: Zugangsdaten gerieten in falsche Hände. Zu viele Benutzer sind überfordert, „sichere“ Paßwörter zu verwalten.
Was hätte man noch machen können?
- Verzögerungen bei Login-Programmierung, z.B. ein oder zwei Sekunden – für den Menschen kaum zu bemerken, aber für das automatisierte Prüfen von Logins eine große Hürde
- GeoIP-Prüfungen – wenn ein Kunde sich immer von München aus eingewählt hat, warum dann auf einmal aus Madrid?
- Regelmäßige Prüfung der Anmelde-Muster nach Auffälligkeiten
„Fefe“ hätte vielleicht gefragt, was machen die beim BSI eigentlich beruflich?
Jetzt wurde ich gebeten, bei der IHK-Wahl teilnunehmen. Die „Sicherheitsbestimmungen“ muß ich bestätigen. Ich werde auf eine Seite vom BSI geleitet. Alleine für den Browser: 17 Seiten. Das liest doch niemand durch! Das sind doch alles juristische Fiktionen.
Was hätte man statt dessen machen sollen?
- bei jedem Dienst sollte angeben werden: „Sie haben sich das letzte Mal am ? um ? von der IP-Adresse ? eingewählt“
- kein erzwungener Paßwortwechsel mehr – das führt nur dazu, daß die Kunden die Orientierung verlieren, welches Paßwort eigentlich gilt
- Zurücksetzen über „E-Mail“ oder „Einloggen über E-Mail“ sollte immer möglich sein.
- Alternativ: Einloggen über „SMS“.
Aus einer volkswirtschaftlichen Perspektive sage ich: Die „2FA“ ist zu teuer, was da Zeit vergeudet wird, Irrsinn.