Anzeige

Digitales Wallet

Wenn wir unseren Geldbeutel verlieren, wissen wir normalerweise, was zu tun ist: Ruhe bewahren und sämtliche EC- und Kreditkarten sperren lassen. Heutzutage dient allerdings auch das Smartphone als Geldbeutel - digitales Wallet - und enthält wichtige Dokumente, die schützenswert sind.

Wie sollten sich Nutzer verhalten, wenn sie ihr Handy verlieren, es gestohlen wird oder den Geist aufgibt? Dr. Paul Muntean, Senior Cyber Security Solution Architect bei Swisscom Trust Services, verrät, welche Schritte Nutzer einleiten sollten und wie sie ein digitales Wallet wiederherstellen können.

Der Verlust der Geldbörse ist immer ärgerlich: Taucht ein verloren gegangenes Portemonnaie nicht wieder auf, erfolgt der mühselige Gang zu Behörden, Banken, Krankenkassen und Universitäten, um sämtliche Karten und Ausweise erneut zu beantragen. Das kostet enorm viel Zeit und Energie.

Aktuell entstehen allerdings Ansätze und Konzepte, um Identifikation zu digitalisieren und wichtige (Ausweis-) Dokumente, wie etwa den Personalausweis, auf dem Smartphone über die ID Wallet-App der Bundesregierung parat zu haben. Das Smartphone wird künftig also immer wichtiger für den Nachweis unserer Identität. Mithilfe einer sogenannten Self-Sovereign Identity (SSI) - oder selbstbestimmte Identität - können Nutzer ihre digitalen Identitätsnachweise in einem Wallet hinterlegen und online via PC oder Smartphone nutzen und somit auf eine Vielzahl digitaler Dienste und Anbieter zugreifen. In der Regel sind Informationen in einem solchen Wallet sogar sicherer als in einer physischen Brieftasche, da sie sich ohne den passenden Key nicht abrufen lassen.

Doch wie sollen sich Nutzer verhalten, wenn sie das Smartphone verlieren? Im Gegensatz zum physischen Portemonnaie können Nutzer glücklicherweise mit den folgenden Vorabmaßnahmen das Wallet komplett selbstständig wiederherstellen und sich so den Behördengang sparen.

Einrichtung eines automatisierten verschlüsselten Backups

Einige digitale Wallets verfügen über eine integrierte Funktion zur Erstellung automatisch verschlüsselter Backups. Im Zuge der ersten Einrichtung erhalten Nutzer einen sogenannten Recovery Key, den sie zur Entschlüsselung des Backups benötigen. Daraufhin generiert die Wallet-Software (Agent) automatisch und kontinuierlich eine Kopie des Wallets und seiner Inhalte. Über den Zielspeicherort können Nutzer selbst entscheiden: Dabei kann es sich entweder um einen Cloud-Storage-Service, wie etwa Google Drive oder Dropbox, oder einen verschlüsselten Backup-Service handeln, der vom Wallet-Anbieter direkt bereitgestellt wird. Mit dem selbst erstellten Recovery Key wird dann das Backup wiederhergestellt - so als wäre das Wallet nie verloren gewesen.

Wallet Recovery: Die Wahl der Key-Aufbewahrung

Anders als beim Beispiel des verlorenen Portemonnaies gibt es bei digital verschlüsselten Wallets - einschließlich ihrer Backup-Kopien - keine Notruf-Nummer, die man anruft, sollten Nutzer einmal das Passwort verlegen. Sollte der Recovery Key für das Wallet-Backup abhandenkommen, gibt es keinen anderen Weg, an die Inhalte des Wallets zu gelangen.

Daher ist es essenziell, dass Nutzer den Recovery Key so verwahren, dass sie ihn im Notfall immer wiederfinden. Darüber hinaus sollte der Aufbewahrungsort des Keys vor äußerlichen Einflüssen wie Zerstörung, Verwitterung oder Diebstahl geschützt werden. Grundsätzlich existieren drei Arten der Lagerung und Wiederherstellung:

1. Offline Recovery

Die Aufbewahrung des Recovery Keys an einem "Offline-Ort" ist im ersten Moment naheliegend. Dies kann zum Beispiel in Form einer Datei auf einem USB-Stick oder als ausgedruckter QR-Code in einem physischen Ordner erfolgen. Damit gehen jedoch einige Schwierigkeiten einher: Es muss sich um einen sicheren Verwahrungsort handeln, den nur der Nutzer - und eventuelle Vertrauenspersonen - kennen und zu dem er auch nach Jahren oder sogar Jahrzehnten noch Zugang hat. Zudem muss der Nutzer sicherstellen, dass der Recovery Key lange "einsatzbereit" bleibt - sprich: USB-Sticks können nach einem gewissen Zeitraum einen Hardware-Defekt erleiden. Ausdrucke oder Niederschriften verblassen mit der Zeit oder landen unter Umständen im Müll, zerknittern, zerreißen oder verbrennen. Um dies zu umgehen, stanzen einige Nutzer ihren Recovery Key in feuerfestes Metall.

2. Social Recovery

Für diese Aufbewahrungsform benennt der Nutzer eine oder mehrere Vertrauenspersonen oder -institutionen (Trustees). Dabei kommt die Funktion "Key Sharding" zum Einsatz: Der Agent unterteilt den Recovery Key in mehrere Fragmente, woraufhin die gewählten Trustees jeweils ein verschlüsseltes Puzzleteil erhalten. Im Falle einer Wiederherstellung muss eine gewisse Anzahl der Fragmente zwingend zusammengefügt werden, um den Prozess durchführen zu können (zum Beispiel zwei von drei). Die Vorteile: Der Austausch lässt sich vollständig online durchführen, ohne sich von Offline- bzw. analogen Aufbewahrungsorten abhängig zu machen. Darüber hinaus können Trustees bei Bedarf ausgetauscht werden. Jedoch gibt der Besitzer dabei einen Teil der Kontrolle aus der eigenen Hand. Vertrauenspersonen müssen auch nach langer Zeit verfügbar sein und ihre Fragmente überreichen können.

3. Multi-Device Recovery

Diese unkompliziertere Form der Wiederherstellung funktioniert ähnlich wie Social Recovery, nur, dass es hierfür keine Vielzahl von Trustees braucht, um einzelne Key-Fragmente zusammenzufügen. Grundvoraussetzung ist die Installation des digitalen Wallets auf mehr als einem Gerät. Jedes erhält dann einen Teil des Recovery Keys. Sollte eines der Geräte verloren gehen oder nicht mehr funktionieren, werden die Fragmente der anderen mit einem neuen Gerät geteilt.

Fazit

Grundsätzlich kann ein digitales Wallet die Verwaltung wichtiger Dokumente vereinfachen. Besonders unter dem Gesichtspunkt, dass es möglich ist, sich anders als bei der Geldbörse, aktiv auf den Verlust vorzubereiten. Allerdings müssen auch hier einige Vorkehrungen getroffen werden, damit Nutzer im Falle des Verlustes zügig agieren können. Gleichzeitig ist der Nutzer jedoch unabhängiger von Behörden und Institutionen, die Dokumente ausstellen, und kann sämtliche Vorkehrungen selbstbestimmt durchführen.

https://trustservices.swisscom.com/
 


Weitere Artikel

Smishing

Starker Anstieg bei Smishing-Angriffen

Security-Experten von Proofpoint haben weltweit einen massiven Anstieg von SMS-Phishing (Smishing) im Zusammenhang mit dem Black Friday und vorweihnachtlichem Onlineshopping festgestellt. Im Vergleich zum Vorjahr haben die Cyberkriminellen ihre Aktivitäten…
App Entwicklung

Vernachlässigung der IT-Sicherheit bei der App-Entwicklung

Zu Beginn des Cybersecurity Months erschien auf SPIEGEL Online eine Kolume von Sascha Lobo, die man als Abrechnung mit der digitalen Projektkultur in Deutschland verstehen kann. Der Autor greift drei der prominentesten App-Projekte (Nora, E-Rezept &…
Login

Sichere Logins: Das wünschen sich die Nutzer

Immer mehr Waren und Dienstleistungen werden online gekauft. Nutzer legen dabei Wert auf bequeme Bedienung und hohen Datenschutz. Wie lässt sich beides am besten vereinbaren?
Smart-eID: Online-Ausweis

Digital ausweisen mit dem Online-Ausweis auf dem Smartphone

Ab Winter können sich Bürgerinnen und Bürger direkt über ihr kompatibles Samsung Galaxy Smartphone ausweisen und ausgewählte Behördengänge erledigen – eine komfortable und intuitive Ergänzung zur bisherigen elektronischen Identifizierung mittels haptischem…
Mobile Security

Smartphone-Sicherheit: Datenklau und Ransomware sind größte Gefahren

Das SANS Institute, eine der weltweit renommiertesten und größten Schulungs- und Zertifizierungsorganisationen rund um das Thema Informationssicherheit, stellt die Ergebnisse des aktuellen Reports über die sichere Nutzung von Mobilgeräten vor. Der Report…
Smartphone

Wie kann man die Sperrfunktion des Smartphones umgehen?

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.