Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.09.2001 - 

Verbände kritisieren Authentifizierungsdienst Passport

Microsoft im Visier der Verbraucherschützer

MÜNCHEN (CW) - Die Kritik an Microsofts Geschäftsgebaren reißt nicht ab. Über den in Windows XP fest verankerten Authentifizierungsdienst Passport könnte der Konzern die Schnittstelle zwischen Kunden und Anbietern im Web kontrollieren, befürchten Verbraucherverbände und Kartelljuristen. Der Schutz persönlicher Daten sei nicht ausreichend gewährleistet.

Die Gates-Company hat eine Vision: Eine gigantische Datenbank speichert persönliche Informationen von Online-Kunden. Anwender weisen sich vor dem Shoppen im Netz oder der Nutzung diverser Web-Dienste jedesmal über den Authentifizierungsdienst Passport aus. Dieser speichert persönliche Kundendaten auf zentralen Microsoft-Servern. Anwender seien damit nicht mehr gezwungen, die Informationen bei jeder Anmeldung neu einzugeben, so die Argumentation.

Sicherheitsrisiko kaum zu kalkulierenDatenschützer, Verbraucherverbände und auch einige Kartellrechtsexperten kritisieren diese Pläne heftig. Zum einen könne sich der Konzern über den in Windows XP fest verankerten Passport-Dienst (siehe auch Seite 16) als (über)mächtiger Mittler zwischen Anbietern im Internet und ihren Kunden positionieren. Zum anderen stellten die auf Microsoft-Servern vorgehaltenen Informationen - darunter so sensible Daten wie Passwörter oder Kreditkartennummern - ein kaum zu kalkulierendes Sicherheitsrisiko dar. Würden die Passport-Server gehackt, wären die Folgen ein Desaster von nicht abzuschätzendem Ausmaß.

Eine Gruppe aus mehreren Verbraucher- und Datenschutzorganisationen, darunter das Electronic Privacy Information Center (Epic) sowie die Datenschutzorganisationen Electronic Frontier Foundation und Junkbuster, hatte bereits Ende Juli bei der US-Kartellbehörde Federal Trade Commission (FTC) Beschwerde eingereicht. Sie forderte Ermittlungen, ob Microsoft mit dem Sammeln persönlicher Daten via Passport "unfaire und irreführende Geschäftspraktiken" verfolge und so gegen Wettbewerbsgesetze verstoße. Zu prüfen sei, ob Microsoft auf illegale Weise versuche, Kundenprofile zu erstellen, um die Aktivitäten von Millionen Internet-Nutzern nachzuvollziehen. Diese Eingabe wurde nun ausgeweitet: Unter anderem fragen die Verbände, ob und wie der Hersteller die Sicherheit persönlicher Kundendaten garantieren könne.

Die zentrale Passport-Datenbank stelle keine Bedrohung dar, versuchen Microsoft-Manager auf allen Ebenen die Bedenken zu zerstreuen. Jedem großen Partner stehe es frei, nahezu alle Daten selbst vorzuhalten. Passport diene dabei lediglich als Schlüssel zur Datenbasis. Microsoft-Server würden ohnehin nur einen sehr geringen Teil der Kundeninformationen eines Partners speichern. Auf einer Analystenkonferenz in San Francisco nahm auch Unternehmenschef Steve Ballmer Stellung: "Der Kunde kann wählen, wie seine Daten verwendet werden", erklärte der CEO. Auch Unternehmen, die mit Microsoft eine Partnerschaft eingehen und künftig .Net-Services nutzen, müssten sich keine Sorgen machen: "Sie besitzen ihre eigenen Daten und ihre eigenen Kunden."

Im Vorfeld des Windows-XP-Launchs hat Microsoft dennoch Zugeständnisse gemacht: Um ein Passport-Konto zu eröffnen, soll es entgegen den ursprünglichen Plänen nun genügen, wenn der Benutzer eine E-Mail-Adresse und ein Passwort eingibt. Außerdem werde Passport den aufkommenden Standard P3P (Platform for Privacy Preferences) unterstützen, der Surfern die Kontrolle über ihre Daten ermöglichen soll.

Den Kritikern gehen diese Maßnahmen aber nicht weit genug, denn Passport ist auch ein Kernbestandteil von Microsofts Dotnet-Strategie. Sie umfasst eine Web-basierende Services-Infrastruktur (Hailstorm Services), die eng mit anderen Produkten wie Windows oder Office integriert ist. Anwender könnten damit auf geplante Dienste wie beispielsweise Mycalender (Terminkalender) oder Myadressbook (Adressbuch) im Netz zugreifen.

Im kommenden Jahr will Microsoft Basiskomponenten für Hailstorm liefern, die Entwickler in ihre eigenen Web-Applikationen einbauen können. Für später plant der Konzern jedoch auch eigene "Premium Services" (Codename "Harmony"), die Anwender gegen eine monatliche Gebühr abonnieren und via MSN, Office oder Windows abrufen können.

Diese Dienste erfordern einen Identifikationsmechanismus für Kunden, der nicht an deren Hardware gebunden ist, sondern im Netz residiert. Passport wird diesen Mechanismus für alle Harmony-Services bereitstellen sowie auch für alle anderen Web-Applikationen, die mit Hailstorm-Komponenten erstellt wurden. Als Bill Gates im März die Hailstorm-Initiative ankündigte, erklärte er unumwunden: "Im Grunde jeder, der das Internet nutzt" solle sich via Passport registrieren lassen. Microsoft würde auf diese Weise auch mit jeder einzelnen Transaktion Geld verdienen.

Bezahlen sollen den Authentifizierungsdienst aber nicht die Konsumenten, sondern die Website-Betreiber. Zu den ersten Partnern des Softwareriesen gehört beispielsweise E-Bay. Einem Microsoft-internen Dokument zufolge soll der Online-Auktionator für jeweils 1000 Kundenauthentifizierungen 14 Cent bezahlen.

Konkurrenz nicht hinterherLegt man die Nutzerzahlen vom Februar dieses Jahres zugrunde, könnte die Gates-Company damit jährlich 300000 Dollar einstreichen. Zusätzliche nutzungsabhängige Gebühren für Notifications - Benachrichtigungen über bestimmte Ereignisse - lassen die erhofften Einnahmen aus dem E-Bay-Deal auf mehr als eine halbe Million Dollar pro Jahr ansteigen.

Zwar wird Microsoft auf Dauer nicht der einzige Anbieter bleiben. Konkurrent AOL beispielsweise plant einen eigenen Authentifizierungs-Dienst. Einem AOL-Manager zufolge befindet sich die Technik aber "noch nicht einmal in der Testphase". Kritiker fürchten denn auch, Microsoft könnte die entscheidende Schnittstelle zwischen Anwendern und Web-Diensten kontrollieren.

Das Potenzial der Passport-Technik, über die feste Integration mit Windows XP den Markt zu dominieren, gewinnt damit auch Relevanz für die andauernden kartellrechtlichen Untersuchungen. "Ob dies den Wettbewerb zugunsten von Microsoft ausschaltet, hängt davon ab, wie Passport konstruiert ist und wie einfach es durch ein anderes Authentifizierungssystem zu ersetzen ist", kommentiert Lawrence Lessig, Professor an der Stanford Law School und einer der führenden Antitrust-Experten, die mögliche Situation. "Das System muss verteilt werden", fordert Tim Bray, CEO des US-Softwarehauses Antarcti.ca. "Wir brauchen Banken, Regierungen und andere interessierte Parteien, die konkurrierende Dienste dieser Art anbieten."

Einen ersten Schritt in diese Richtung hat die Free Software Foundation (FSF) getan. Sie initiierte das Projekt DotGNU, das darauf abzielt, einen Authentifizierungsdienst zu entwickeln, der frei zur Verfügung steht. Anfang August legten die Mitarbeiter DotGNU mit Portable.Net, einem weiteren Open-Source-Projekt, zusammen (siehe CW 32/01, Seite 8). Gemeinsames Ziel ist es, eine Open-Source-Alternative zu Microsofts .NET-Framework zu schaffen. Der kommerzielle US-Anbieter Playapp beabsichtigt mit seiner gleichnamigen Technik ebenfalls, ein quelloffenes Pendant zu "Passport" anzubieten. Microsoft wird also Konkurrenz bekommen.