Die geballte Macht dieser Allianz kann im Netz praktisch alles durchsetzen. Mit Google, Microsoft und Yahoo gehören seit gestern die wichtigsten Mitspieler im globalen Internet-Markt zum Aufsichtsrat der OpenID-Foundation . Die Organisation bemüht sich seit 2006 darum, den Nutzern das Surfen zu erleichtern, indem sie die Notwendigkeit abschafft, beim Besuch personalisierbarer Web-Angebote jedes Mal ein Passwort einzugeben. Das Ziel von OpenID ist: Überall, wo ein Login erforderlich ist, soll von nun an dasselbe Passwort gelten. Wer sich an einer Stelle einmal angemeldet hat, soll mit dem gleichen Schlüssel auch alle anderen Türen im Netz öffnen können. Für die Nutzer ist das sehr bequem, für Datenschützer und Strafverfolger sehr besorgniserregend.

Den Versuch, Passwort-Merkzettelchen und dauernde "Passwort vergessen"-Mails abzuschaffen, hat es schon einige Male gegeben. Bislang sind alle Versuche mehr oder minder jämmerlich gescheitert - beispielsweise Microsofts "Passport"-System, heute umbenannt in Windows Live ID. Als das System vorgestellt wurde, hagelte es Proteste und unverhohlene Häme. Warum, fragten Blogger und Tech-Kommentatoren, sollte man ausgerechnet dem stets misstrauisch beäugten Giganten Microsoft die eigene Online-Identität anvertrauen? Ob Microsoft jetzt schon ein Land sei, das Pässe ausgeben kann, fragten Kommentatoren damals ironisch. Passport sei nichts anderes als der erste Schritt zu einer gigantischen Kundendatenbank, in der jede noch so kleine Information über die Netz-Aktivitäten der Nutzer gesammelt werden solle. Als dann auch noch Sicherheitslecks auftraten, war der Ruf des Passport-Systems endgültig und dauerhaft ruiniert.

Der schlechte Ruf des Giganten Microsoft

Unter der Hardcore-Netzgemeinde hat Microsoft ohnehin schon immer einen schlechten Ruf. Open Source dagegen, also Software-Projekte mit offenem Quellcode, einen hervorragenden. Unter anderem darin besteht der Sexappeal von OpenID: Es ist ein Open-Source-Projekt, an dem viele verschiedene Gruppen und Einzelne parallel arbeiten, ähnlich wie der Firefox-Browser oder Linux. Sein Erfinder Brad Fitzpatrick hat über OpenID gesagt: "Das hier sollte keinem gehören. Niemand will damit Geld verdienen." Fitzpatrick implementierte OpenID bei seinem damaligen Arbeitgeber, dem Blog-Dienst LiveJournal, um das Kommentieren von Blogeinträgen zu erleichtern.

Inzwischen arbeitet er für Google, mit dem expliziten Auftrag, Netz-Zäune niederzureißen. Google, Yahoo und Microsoft unterstützten die OpenID-Foundation schon seit einiger Zeit - nun wollen sie offenbar selbst das Ruder in die Hand nehmen.

Das Prinzip "Ein Login, viele Sites" ist im Netz eigentlich längst gang und gäbe: Yahoos Geschäftsmodell basiert genau darauf - mit einem Login soll man E-Mails verschicken, seinen Flickr-Account mit Fotos bestücken oder Netz-Kleinanzeigen aufgeben können. 250 Millionen Menschen benutzen so eine Yahoo ID. Microsofts Zentralschlüssel heißt heute Windows Live ID. Und auch Google hat seit 2004 einen Haupteingang für alle Web-basierten Angebote, vom Googlemail-Konto über die personalisierte Suche bis hin zu Kalender- und Dokument-Funktionen. Nun könnten all diese hinter Mauern verschanzten Bereiche des Netzes miteinander verschmelzen. Das ist für die Nutzer bequemer - weckt aber auch ähnliche Ängste wie die, an denen schon Microsofts Passport-Experiment scheiterte.

Auf dem Weg zum neuen De-Facto-Standard

Das System funktioniert allerdings im Gegensatz zu dem von Microsoft dezentral. Das bedeutet: Jedes teilnehmende Unternehmen kann die Login-Informationen seiner Nutzer in OpenID-Logins umwandeln. Schon seit dem 17. Januar etwa kann man sich bei Yahoo zusätzlich zur Yahoo-ID noch eine OpenID besorgen. Die ist wiederum geeignet, um sich bei allen möglichen anderen Web-Seiten anzumelden - von der Blog-Suchmaschine Technorati bis hin zur Foto-Sharing-Seite Zooomr. Die Anzahl der Teilnehmer dürfte nun explodieren, da OpenID auf dem Weg zum de-facto-Standard im Netz ist.

Die URL der eigenen Profilseite bei Technorati eignet sich als Login-Ersatz bei Zooomr - und umgekehrt. Doch diese Wechselseitigkeit gilt nicht für alle Mitspieler. Bei Yahoo zum Beispiel kann man sich zwar aus der eigenen Yahoo ID eine OpenID basteln, und die auch zum Login an anderen Orten verwenden. OpenIDs aus anderer Quelle lässt Yahoo aber nicht als Schlüssel zu den eigenen Angeboten zu.

"Viele benutzen ohnehin überall dasselbe Passwort"

Eine einheitliche Web-Identität bringt Vorteile, aber auch eine Menge Risiken mit sich: Phishing zum Beispiel, das gezielte Klauen von Login-Informationen mit Hilfe gefälschter Web-Seiten, wird durch OpenID zunächst mal deutlich einfacher: Eine Web-Seite mit OpenID-Login-Fenster schickt den Nutzer beispielsweise nicht zur echten Yahoo-Seite, um sich dort anzumelden - sondern zu einer gefälschten Seite, die genauso aussieht. Nutzername und Passwort werden nun geklaut - mit gewaltigem Nebeneffekt. Denn nun kann der Phisher die OpenID des Opfers nutzen, um sich bei allen möglichen anderen Sites anzumelden.

Je mehr Seiten mit kommerziellen Aspekten mitmachen - man denke an eBay, Paypal oder gar Banken - desto größer wird das Risiko. "Banken werden dieses System kaum ohne eine zweite Sicherheitsstufe einführen", sagt Mike Davies vom OpenID-Unterstützer VeriSign. Gemeint sind Systeme wie TANs, die man vom Online-Banking kennt, Einweg-Passwörter gewissermaßen. Sie sollen sicherstellen, dass ein Nutzer wirklich der ist, der er zu sein vorgibt. VeriSign hat ein handfestes Interesse an dieser zweiten Schicht: Das Unternehmen verkauft solche Systeme. Das Phishing-Problem werde durch OpenID jedenfalls nicht größer, findet Davies: "Viele Leute benutzen ohnehin überall dasselbe Passwort und denselben Benutzernamen."