Ist die Zeitung bald tot? Das Medium Print und andere analoge Werte.

31. März 2010 um 9:05 von Martina Doherr

Während die gesamte Kommunikation eine Darwinsche Evolution erfährt, sind die Tage des qualitativ hochwertigen, “analogen” Journalismus gezählt. Mittels RSS-Feeds, geringen IT-Kenntnissen und einer gewissen Schreibaffinität wird heute jeder per Mausklick zum Schlagzeilensammler und -publizist.

Studiengang? Journalistische Ethik? Jahrelanger Aufbau und Pflege von Pressekontakten? Oldschool. Das Web 2.0 ist eine große Realityshow, und jeder selbsternannte Autor darf ein wenig am Drehbuch mitschreiben, während computergenerierte, individualisierte Nachrichten und angepasste Werbemittel nebenher angeboten werden. Nur wer konsequent vernetzt denkt, fragt, kommuniziert und arbeitet, hat überhaupt eine Chance, die Potenz des Web 2.0 für sich zu erschließen.

Eine düstere These, der sich auch der 2004 entstandene EPIC 2015 Film widmet. “Epic”, das fiktive “Evolving Personalized Information Construct”, das global-personalisierte Nachrichtennetz im Film, lag damals noch gefühlte 100 Jahre weit weg in der Zukunft, aber die rückblickende 8 Minuten-Vorhersage der Medienevolution im Jahr 2015 ist erschreckend nahe gerückt. Und ziemlich real.

Muss es denn so sein? Nein, behaupten Gegner der Internet-Euphorie. Dert “Digitale Backlash”, also die Bewegung zurück zum guten alten Buch und Kaffeeklatsch mit Freunden, entwickelt sich weniger subtil als man annehmen sollte. Eine große Anzahl von Menschen hat sich bereits bewusst für diesen weltweiten Offline-Trend entschieden. Ein andere Teil kann ohnehin mit dem Internet als Neztwerkmedium nichts anfangen, sei es aufgrund mangelnder Bildung, zu hohen Alters oder fehlender Medienkompetenz.

Was ist das Ergebnis? Möglicherweise die Rückkehr zur Printausgabe: ab April 2010 soll beispielsweise die amerikanische Antiquariats- und Sammlerzeitschrift Fine Books & Collections, 2008 gerade erst auf Online umgestiegen, wieder in gedruckter Form erscheinen. Der erfolgreiche Newsletter und Blog werden aber fortgesetzt. Kurz: Wir wissen es nicht genau. Aber eins ist sicher: das Medium Print ist noch lange nicht am Ende seiner Evolution angekommen. Schließlich hieß es ja damals auch, dassVideo das Radio killt. Ist auch nicht passiert. Gute Aussichten also für die Entwicklungen der Medien im Web 2.0?

Die Evolution der Datensicherheit im Netz

4. Februar 2010 um 9:05 von Mario Grobholz

Der gute Ruf ist im freien Raum des Worldwide-Webs tagtäglich möglichen Angriffen ausgesetzt. Wer unkontrolliert sensible Daten ins Netz stellt, muss vom Identitätsklau, über Mobbing-Attacken bis hin zu langwierigen Rufschädigungen mit allem rechnen. Selbst die beste Reputationsstrategie wird scheitern, wenn nicht im Vorfeld ihre Notwendigkeit erkannt und die Sensibiliät gegenüber meist eigens ins Netz gestellten Daten geschärft wird.

Datensicherheit hat im Web 2.0 nichts mehr mit Firewalls zu tun. Mit den Sozialen Medien hat eine neue Ära der Kommunikation Einzug gehalten. Das heißt zwangsläufig, dass Privatleute wie Unternehmen lernen müssen, sensibler mit ihren Daten im Netz umzugehen. Wo vielleicht gestern der einfache Download eines Virenschutzprogrammes ausreichte, ist heute eine viel komplexere Herausforderung entstanden. Das Internet, und damit die gesamte Kommunikation, befindet sich mitten in einem Prozess der Veränderung. Vergleichbar mit einer neuen Stufe der Evolution.

Erst gab es dafür Sicherheits-Software – Virenscanner und Firewalls. So hat man Privates auf dem PC vor Hackern und Viren geschützt. Dann wurden Communities wie Facebook oder Xing interessant, also hat man dort seine Privatsphäre Einstellungen angepasst. Aber durch kapilare Verlinkungen, die eigene Unbedachtheit und auch den kriminellen Ideenreichtum Dritter können aktive Internet-Nutzer ohne entsprechendes Reputationsmanagement nicht mehr bestimmen, was mit ihren Daten im öffentlichen Raum des Internets geschieht.

Hendrik Speck, Professor für Digitale Medien an der FH Kaiserslautern, geht mit seiner Prognose sogar noch einen Schritt weiter. In einem aktuellen Beitrag der Basler Zeitung fordert der Wissenschaftler klare gesetzliche Rahmenbedingungen für Onlineplattformen, für deren Nutzung ein völlig neues Datenschutzmodell benötigt würde. Es sei hochnotwendig, über eine neue Konzeption des Datenschutzes nachzudenken. Skeptisch wird Speck allerdings bei der Frage, ob die dafür erforderliche Medienkompetenz bei politischen und juristischen Entscheidungsträgern ausreicht: «Es besteht die Gefahr, dass die Systemträgheit wesentlich grösser ist als die Zeit, die wir für Entscheidungen haben, um die gesellschaft-technische Entwicklung nach den Grundsätzen einer demokratischen Gesellschaft zu gestalten.»

Es bleibt abzuwarten, wohin sich dieser Trend fortsetzen wird, ob Konsequenzen im Handeln jedes einzelnen entstehen und welche neuen Perspektiven damit gleichzeitig geschaffen werden. In jedem Fall sind wir alle aufgefordert, Aufklärungsarbeit zu leisten und gerade die jüngere Generation verantwortungsvoll an das Medium Internet heranzuführen. Interessiert beobachten wir, welche Entwicklung das Thema “Internet” auf den Lehrplänen der Schulen zukünftig einnehmen wird. Die Bayerischen Gymnasien gehen dort in ihrem Deutschunterricht mit guten Beispiel voran.

Open Web #2: Single-Sign-On und Portable Identitäten im Web

19. Februar 2009 um 10:50 von Mario Grobholz

In einer Reihe von Artikeln auf unserem Blog möchte ich Sie mit aktuellen Entwicklungen vertraut machen, die wir für spannend halten und von denen wir der Meinung sind, dass sie einer näheren Betrachtung und Erläuterung wert sind. Heute möchte ich Ihnen die Themen “Single-Sign-On” und “Portable Identitäten” im Web näher bringen.

Stellen Sie sich vor, dass jedes mal wenn Sie Ihren Browser öffnen Sie sich nur noch einmalig einloggen müssen und daraufhin Dienste im Internet nutzen können, ohne sich mit einem Benutzername und Kennwort bei diesen erneut authentifizieren zu müssen.

Nie wieder die Situation seinen Benutzernamen und Passwort vergessen zu haben und damit auch nie wieder das lästige Wiederherstellen eines Kennwortes über einen mehrstufige Prozess via Email.

Sie zeigen lediglich Ihre virtuelle ID-CARD vor und Ihnen wird Zugang zu dem Dienst gewährt – auf eine völlig sichere Art und Weise. Stellen Sie sich vor, Sie wollen sich für einen neuen Dienst im Web registrieren und benötigen dafür lediglich einen Klick und sind innerhalb von wenigen Sekunden mit Ihrer Registrierung fertig!

Sie müssen keine langen Formulare mit den immer gleichen Daten mehr ausfüllen, nicht erneut ihr Profilbild hochladen, nicht alle Ihre Freunde bei diesem Dienst wiederfinden und als Kontakt hinzufügen, kein schwer erkennbares Captcha mehr entziffern, sondern wenn Sie sich dazu entscheiden einen neuen Dienst zu nutzen, zeigen Sie lediglich wieder Ihre virtuelle ID-CARD vor und der Dienst erhält automatisch alle notwendigen Daten, die Sie nur noch einmal bestätigen müssen.

Das ist keine weit entfernte Zukunftsvision mehr, sondern mittlerweile technisch machbar, bereits mit dem offenen Standard OpenID standartisiert worden, (Lesen Sie dazu auch: Open is the New Black – Wie Anwender von offenen Standards profitieren) wird von einer ständig wachsenden Anzahl an Diensten unterstützt und wird dabei auch für Sie in nicht allzu ferner Zukunft integraler Bestandteil der täglichen Erfahrung im Web werden. mehr lesen »

Die Google Reputation – lesen Sie die Expertenmeinung

4. Februar 2009 um 8:00 von Katrin Wellenberg

Wer heutzutage seinen Namen googelt, stößt auf eine MengeTreffer. Meistens beziehen sich wenige der Funde auf die eigene Person. Ein Großteil der Suchergebnisse beinhaltet einen Teil des eigenen Namens, Namensvetter oder ähnliche, für die eigene Person irrelevante, Inhalte. Wie aber kann ein Fremder unterscheiden und zuordnen, was zu Ihrem Namen gehört und was nicht? Woher weiß er, dass womöglich schon unter den ersten fünf Ergebnissen nur drei auf Ihre Person zurückzuführen sind?

Die Notwendigkeit sich hier einzuklinken und seine Treffer nach Relevanz zu sortieren ist klar erkennbar. Das Ganze nennt sich Reputation Management. Lesen Sie hier Auszüge aus unserem Gespräch mit Martin Meyer-Gossner, Director of Sales & Marketing bei der CBS Interactive GmbH.

Herr Meyer-Gossner, welche Bedeutung hat für Sie die Online Reputation heute und welche Entwicklung erwarten Sie hier zukünftig?

Monitoring- und Reputation Management auf persönlicher Ebene wird immer wichtiger. Die Online Reputation ist die virtuelle DNA des modernen Menschen 2.0. Jeder „erstellt” online seine persönliche Marke. In der Offlinewelt wird diese zum Katalysator oder Hemmschuh auf dem Karriereweg. Aufgrund der modernen Zeitnot wird sich hier in meinen Augen bald ein neues Berufsfeld auftun. Personal Web Management als Dienstleistung ist zukünftig eine sehr interessante Joboption.

Was unternehmen Sie heute schon, um Ihr Selbstmarketing im Internet zu optimieren? Welche Strategie und Ziele verfolgen Sie hierbei?

Meinen persönlichen „Webstempel”, mein Personal Brand ‚The Strategy Web‘, habe ich mit meinem Blog zum Leben erweckt. Hier habe ich auch meine Jobvision des Personal Web Manager publiziert. Diese Marke verknüpfe ich online mit meinem Namen, denn jedes Business steht und fällt mit dem Menschen, der dafür einsteht. Neben XING und LinkedIN finden sich meine Profile auf Twitter, Netvibes oder MySpace, wobei der Zeitaspekt bei der ausführlichen Betreuung und Auffrischung der Profile eine Herausforderung darstellt. Freunde wollen in Social- und Business-Netzwerken beachtet werden – dort nur registriert zu sein, langt eben nicht.

Was hat Sie zur Nutzung von myON-ID veranlasst?

Ehrlich gesagt, trage ich die Idee eines Reputationsindex schon eine ganze Weile mit mir herum – endlich versucht sich ein Webportal an diesem Business-Modell. Bei den bekannten Social- und Business Netzwerken werden einfach wahrlos Kontakte hinzugefügt – die Aussagekraft über den Wert eines Menschen ist da kaum noch erkennbar. Ein Trend, den man bei myON-ID vermutlich aufgrund des Index nicht sehen wird. Für Personalberater ergibt sich hier eine neue Ressource, die zu einer Verlagerung beim Monitoring von potentiellen Kandidaten führen könnte.

Herr Meyer-Gossner vielen Dank für das interessante Gespräch.

Die Hintergründe Teil 2: Unser Open Web Ansatz

28. Januar 2009 um 11:07 von Mario Grobholz

Das sogenannte “Open Web” und offene Standards werden im neuen myON-ID eine wichtige Rolle spielen und einige Veränderungen mit sich bringen, von denen Sie als Anwender stark profitieren werden.

Hinter diesen Veränderungen steht letzten Endes eine Vision, die wir davon haben, welche Tools Anwender heutzutage benötigen, um Ihre Online Identität umfassend managen zu können. Im folgenden möchte ich Ihnen drei der wesentlichen Konzepte des neuen myON-ID vorstellen, Ihnen unsere Vision dahinter näher bringen und darauf eingehen, welche Rolle das Open Web in Zukunft spielen wird.

Zentralisieren Sie Ihre Online Identität

Je mehr Dienste man im Internet nutzt, um so mehr einzelne Identitäts-Fragmente entstehen überall im Web. Viele Dienste erfordern es heutzutage, ein (teil)öffentliches Profil von der eigenen Person zu erstellen, um auf diesem die Aktivitäten bei dem jeweiligen Dienst abbilden zu können.

So habe ich ein Profil bei FlickR für meine Fotos, ein Profil bei Qype für meine Rezensionen, ein Profil bei Vimeo für meine Videos, ein Profil bei Last.FM für die Musik, die ich höre, ein Profil bei del.icio.us für die Bookmarks, die ich erstelle, ein Profil bei Twitter für meine Tweets, ein Profil bei Slideshare für meine Präsentationen und so weiter und so fort.

Bei den meisten dieser Diensten erstelle ich dabei eigene Inhalte, die mich als Person beschreiben und meine Online Identität ausmachen. Mit dem neuen myON-ID werden Sie die Möglichkeit bekommen, diese Fragmente zu einem großen neuen Bild zusammenzuführen!

Das bedeutet nicht nur, dass Sie auf Ihrem myON-ID Profil darüber Auskunft geben können, wo Sie  überall im Web zu finden sind, sondern wir wollen Ihnen auch ermöglichen, Ihre Aktivitäten und Inhalte bei diesen Diensten – in dem gewünschten Rahmen – auf Ihrem Profil darzustellen.

Damit ist es nicht mehr zwingend notwendig, dass  Ihre Kontakte Sie bei den einzelnen Diensten wiederfinden, um Ihre Inhalte und Aktivitäten zu sehen, sondern Ihre Kontakte finden all Ihre Inhalte an einer zentralen Stelle im Netz – auf Ihrem eigenen Profil.

Aber wir möchten Ihnen nicht nur die Möglichkeit geben, Ihre Aktivitäten und Inhalte von anderen Diensten an einer zentralen Stelle zu aggregieren, sondern wollen Ihnen auch die Möglichkeit geben Ihre Kontakte, die Sie bei all diesen Diensten haben, an einer Stelle zentral zusammenzuführen und zu synchronisieren. Somit bekommen Sie bei uns ein Adressbuch, welches Ihren “Social-Graph” über mehrere Dienste hin weg verfügbar macht.

Das Open Web spielt hier insofern eine wichtige Rolle, als dass wir sowohl auf offene Standards und Schnittstellen bei all diesen Diensten angewiesen sind, um überhaupt in der Lage zu sein Inhalte erneut zu aggregieren und darzustellen. Auch wichtig ist es uns, selbst eine solche offene Schnittstelle zu haben.

Darüber hinaus spielt an dieser Stelle gerade auch das Konzept der “Delegated Authorization” eine wichtige Rolle, damit wir  es so häufig, wie möglich, vermeiden können,  Ihre Zugangsdaten zu anderen Diensten neu abfragen zu müssen.

Portable Identität und Data Portability

Wenn man die Möglichkeit hat, seine Online Identität an einer Stelle zu zentralisieren, liegt es natürlich nahe, dass man diese aggregierte Online Identität – und damit auch die Zeit und Arbeit, die man in die Pflege investiert – auch an anderen Stellen im Netz wiederverwenden kann.

So gehört es zu unserer Philosophie, offene Standards zu unterstützen, die den Austausch von Daten zwischen den unterschiedlichen Diensten, die Sie nutzen, ermöglichen . Mit Hilfe von OpenID wird es z.B. möglich sein, dass Sie sich bei anderen Diensten registrieren und/oder einloggen können ohne ein neues Passwort für diese zu erstellen, indem Sie einfach ihre myON-ID OpenID “vorzeigen” und sich darüber authentifizieren.

Im Rahmen dieses Prozesses können dann auch weitere Daten übergeben oder später sogar dauerhaft synchronisiert werden. Diese Daten können sich auf Ihre Person beziehen, z.B. Ihren Namen und Ihr Profilfoto beinhalten, können aber auch ihr soziales Netzwerk betreffen, so dass es einfach wird, bereits bestehende Kontakte bei anderen Diensten wiederzufinden.

Darüber hinaus werden wir in Zukunft natürlich auch unterschiedliche Schnittstellen bieten, um selbst Daten bei uns exportieren oder über Schnittstellen weiterverwenden zu können. Natürlich geht dabei immer die Maßgabe vorraus, dass Sie als Nutzer dies authorisieren.

Dezentrales Social Networking

Hinter dem Begriff  “Dezentrales Social Networking” verbirgt sich der Ansatz, dass im Grunde das gesamte Internet unser soziales Netzwerk abbilden kann und man nicht mehr zwingend auf einen einzelnen, zentralistischen Dienst angewiesen ist. (das folgende Video von mir beinhaltet eine kleine, weitergehende Einführung in das Thema auf Englisch)

Distributed Social Networking – An Introduction from pixelsebi on Vimeo.

Denkt man zurück an die Anfänge des Internets, als es uns noch nicht möglich gewesen ist, Emails zwischen verschiedenen Providern hin und her zu schicken, sondern man z.B. nur Emails innerhalb von AOL verschicken konnte, so spiegelt das recht gut den Status-Quo im Social Networking wieder. Heute können wir auch lediglich innerhalb geschlossener Dienste unser Social Network abbilden und dies noch nicht Plattform- übergreifend tun.

Die Zukunft liegt unserer Meinung nach aber ganz klar darin, dass Sie eines Tages in der Lage sein werden, Ihr soziales Netzwerk Plattform- übergreifend zu pflegen. Dazu gehört einerseits, dass Sie ihr eigenes Profil von uns unabhängiger machen können ( indem Sie z.B. bei uns eine eigene Top-Level Domain bekommen können, als auch das myON-ID Branding entfernen können) , andererseits natürlich auch die Möglichkeit Personen in das Social Network zu integrieren, die nicht zwingend Mitglied bei myON-ID sind.

Ist das alles nur Zukunftsmusik?

Zu einem gewissen Teil ist dies sicherlich noch Zukunftsmusik – insbesondere was das “Dezentrale Social Networking” angeht, aber für uns ist es wichtig, dass Sie sich darüber im Klaren sind, dass wir genau diesen Weg gehen wollen und werden. Für uns steht es an erster Stelle, Ihnen eine Plattform an die Hand zu geben, mit der Sie optimal das Monitoring, Marketing und Management Ihrer Online Identität betreiben können.

Dass dies natürlich auch bedeutet, dass Sie unabhängiger davon sein wollen, welche Dienste Ihre Kontakte nutzen, ist für uns selbstverständlich und daher auch nur ein nächster logischer Schritt. Wir sind der festen Überzeugung, dass das was mit Email in den frühen Zeiten des Internets passiert ist, sich auch bei dem Thema “Social Networking” letzten Endes wiederholen wird – wir hoffen dabei aktiv dazu beitragen zu können und engagieren uns hier dementsprechend.

Ich hoffe ich konnte Ihnen hiermit soweit einen ersten Überblick geben. Wir haben in diesem Bereich viel vor und werden nach und nach immer mehr von dieser Vision in das neue myON-ID einfliessen lassen. Wenn Sie noch Fragen haben oder mehr zu den technischen Hintergründen wissen wollen, zögern Sie nicht in dem Blog zu kommentieren oder schicken Sie uns eine Email an blogpost@onid.de!

Das neue myON-ID steht vor der Tür – Die Hintergründe Teil 1

27. Januar 2009 um 8:00 von Mario Grobholz

In wenigen Tagen ist es soweit. Das neue myON-ID geht an den Start. Wir können es kaum erwarten, endlich damit rauszugehen. Heute bekommen Sie hier Infos aus erster Hand zum bevorstehenden Re-Launch.

Nach monatelanger Vorbereitung, Konzeption und Entwicklung ist es nun endlich soweit. In wenigen Tagen geht das neue und umfangreich überarbeitete myON-ID online. Wir schlagen damit nicht nur bei myON-ID ein neues Kapitel auf, sondern tragen damit auch den sich ändernden Ansprüchen in der Nutzung von Social Networks Rechnung.

Warum wir myON-ID erfunden haben und derart umfangreich überarbeitet haben?

Weil die Zeit vorbei ist in der …

• völlig unkontrolliert und unbesorgt Inhalte über Personen im Netz veröffentlicht werden.
• Dritte Dinge über einen selbst im Netz veröffentlichen , ohne dass man es selbst weiß.
• Leute lieber gar nicht im Netz auftauchen, da sie nicht die Möglichkeiten haben dies kontrolliert zu tun.

Wir glauben auch, dass es an der Zeit ist, neue Wege im Bereich Social Networking einzuschlagen. Genau deswegen haben wir den ursprünglichen, eher untergeordneten Ansatz nun in den Mittelpunkt gestellt. Das neue myON-ID Profil vereint so unter einem Dach Social Networking und Social Media Monitoring. Der ideale Platz um gezielt seinen eigenen Brand zu monitoren und Marketing in eigener Sache zu betreiben.

Nur ein weiteres Social Network?

Ganz sicher nicht! Wir gehen mit myON-ID ganz neue Wege. Wir stellen den Nutzer und seine Interessen in den Mittelpunkt. Wir geben ihm den Freiraum, den er benötigt, um seinen eigenen Brand im Sinne des Reputation Managements aufzubauen.  Wer hätte denn nicht gerne sein Xing Profil stärker personalisiert? Das myON-ID Profil „funktioniert” zudem Netzwerk-übergreifend – und das nicht nur beim Messaging. OpenID gehört ebenso dazu, wie  viele andere schöne Dinge, die das Leben im Netz vereinfachen und darüber hinaus die persönlichen Daten vor dem  Ende im Datensilo bewahren.

Google Alerts tut´s auch für´s Monitoring?

Das sehen wir anders! Wenn heute PR- und Marketing Agenturen auf professionelle Monitoring Dienste setzen, dann müssen Sie dafür bezahlen, denn da steckt mehr dahinter als einen Alert bei Google anzulegen.

Die wenigsten von uns leisten sich dieses professionelle Vorgehen für das Monitoring des eigenen Brands im Web. Mit myON-ID ist das jetzt möglich denn mit dem neuen Social Media Monitoring von myON-ID kann ab sofort jeder, ohne Vorkenntnisse und zudem kostenlos Millionen Webseiten regelmäßig durchsuchen lassen. Neue Treffer bekommen Sie automatisch bequem mit. Das beste daran ist das Interface – strukturiert, anpassbar und in Farbe .

Warum Sie myON-ID nicht nutzen sollten?

Das wissen wir ehrlich gesagt auch nicht, denn mit myON-ID bekommen Sie schnell und einfach einen Überblick über Ihre Daten im Web und sparen dabei noch Zeit und Geld. Ihr Social Network Profil wächst mit Ihren Ansprüchen mit und bietet Ihnen eine Flexibilität, die Sie immer gut aussehen lässt.

Wann und wo gibt’s mehr Infos?

Schon morgen hier im Blog und hier und hier.

Open Web #1: Mehr Sicherheit im Netz mit “Delegated Authorization”

12. Januar 2009 um 8:00 von Mario Grobholz

In einer Reihe von Artikeln auf unserem Blog möchte ich Sie mit aktuellen Entwicklungen vertraut machen, die wir für spannend halten und von denen wir der Meinung sind, dass sie einer näheren Betrachtung und Erläuterung wert sind. Aus aktuellem Anlaß möchte ich daher das neue Jahr mit einem Artikel über “Delegated Authorization” beginnen.

Wie Sie vielleicht mitbekommen haben, traten jüngst einige Sicherheitsprobleme mit dem populären Micro-Blogging Dienst Twitter auf, von denen letzten Endes sogar prominente Personen wie Barack Obama und Britney Spears betroffen waren. Lassen Sie mich erklären, was vielen Nutzern von Twitter zum Verhängnis wurde und wie “Delegated Authorization” solchen Problemen begegnen kann.

Twitter und der “Password-Anti-Pattern”

Twitter ist, wie Sie vielleicht wissen, ein Dienst, mit dem Sie kurze Nachrichten (maximale Länge sind 140 Zeichen) publizieren können, die dann von den Leuten gelesen werden, die Ihnen auf Twitter folgen (z.B. Ihre Freunde, Kollegen etc.).

Urspünglich bestand die Stärke von Twitter mal darin, dass man alle Nachrichten auch auf seinem Handy als SMS erhalten kann (daher auch die Limitierung auf 140 Zeichen), aber mittlerweile gibt es unzählige Tools rund um den Dienst Twitter, die es Ihnen nicht nur ermöglichen Nachrichten auf unterschiedliche Art und Weise zu konsumieren, sondern Ihnen auch weitere Features anbieten, um z.B. zeitversetzt Nachrichten zu schicken, Statistiken über Ihr Twitter-Verhalten zu bekommen, neue interessante Menschen auf Twitter zu finden und vieles mehr.

Dies wurde dadurch ermöglicht, dass Twitter sich gegenüber Dritten geöffnet hat und es interessierten Developern erlaubt, eigene Applikationen auf Basis von Twitter zu entwickeln. Mir sind hierzu zwar keine genauen Zahlen bekannt, aber nach eigenen Einschätzungen gehe ich davon aus, dass eine sehr hohe Anzahl an Twitter Nutzern täglich Gebrauch von diesen Diensten macht, bzw. Sie zumindest einmal ausprobiert hat.

Das Problem was hier jetzt zu Tage tritt, wird auch häufig mit dem Ausdruck “Password-Anti-Pattern” beschrieben. Dieser Ausdruck beschreibt den Fall, dass Sie gegenüber einem Dritten Ihre Zugangsdaten für einen anderen Dienst herausgeben müssen, damit Sie den Dienst des Dritten nutzen können. Genau das ist bei jedem dieser  Twitter-Dienste (bis dato) der Fall:  Sprich jeder Nutzer, der einen dieser nützlichen Dienste ausprobieren wollte, konnte dies immer nur dann tun, wenn er seinen Benutzernamen und sein Password für Twitter mitgeteilt hatte. (Siehe auch Screenshot dazu)

Chris Messina, mit einer der maßgeblichen Köpfe hinter dem “Delegated Authorization” defacto Standard OAuth, hat einmal auf einer Konferenz in London dazu in seinem Vortrag gesagt:

Passwords are not Confetti – so don’t throw around with them!

Genau das ist aber in dem Fall von Twitter passiert! Viele Menschen haben- ohne groß darüber nachzudenken- anderen Diensten Ihre Zugangsdaten für Twitter anvertraut; diese wurden dort erneut gespeichert und durch den enormen Boom an Twitter Anwendungen der letzten Monaten haben sicherlich viele Anwender immer weniger hinterfragt, wem sie dort eigentlich ihre Benutzerdaten anvertrauen.

Was jetzt exakt passiert ist, kann ich Ihnen nicht genau sagen, aber es ist vermutlich einer der folgenden beide Fälle eingetreten:

1. Unter diesen Diensten hat sich ein schwarzes Schaf befunden, das die Zugangsdaten seiner Nutzer entweder selbst mißbraucht hat und/oder diese Daten weitergegeben hat
2. Einer dieser vielen Dienste hatte selbst ein Sicherheitsproblem und somit konnten Angreifer evtl. an die Zugangsdaten dessen Nutzer gelangen

Mit diesen Zugangsdaten wurden dann wahlos Direktnachrichten von Leuten (ggf. auch mit Ihnen als Absender!) verschickt, die Links auf sogenannte “Phishing-Websites” enthielten – also Webseiten, die wiederum versuchten an Login-Daten von ahnungslosen Nutzern zu kommen. Phishing ist Ihnen sicherlich von Email her bekannt, wo Sie auf einmal z.B. von Ihrer Bank gebeten werden, nochmals ihre Kreditkartendaten zu “verifizieren”. Bei solchen Emails handelt es sich dann oftmals um gefälschte Absender und vor allem gefälschte Webseiten, die versuchen an Ihre Kreditkarten Daten zu kommen!

In den von mir Eingangs erwähnten prominenten Fällen von Barack Obama und Brintey Spears hat es sich zwar auf andere Art und Weise zugetragen, worauf auch ausdrücklich von Twitter hingewiesen wird (was auch nicht weniger problematisch ist), aber grundsätzlich hätten diese Accounts auch von dem gleichen Problem betroffen sein können.

An dieser Stelle ein kurzer Sicherheitstip:

Sollten Sie selbst Twitter nutzen und in den letzten Wochen noch nicht Ihre Kenntwort geändert haben, kann ich Ihnen dies nur dringend anraten! Sollten Sie jemals einem anderen Dienst ihre Twitter Zugangsdaten anvertraut haben und das gleiche Passwort auch bei anderen Diensten verwenden, sollten Sie auch dringend die Passwörter bei diesen Diensten ändern.

Überprüfen Sie immer die URL in ihrem Browser Fenster! Der Screenshot oben zeigt eine der besagten Phishing Sites, wo die Twitter Seite vorgespielt wird, man aber deutlich an der URL erkennen kann, dass es sich nicht um die original http://twitter.com Webseite handelt!

All dies hätte verhindert werden können, wenn die Macher von Twitter von Anfang an eine “Delegated Authorisation” Lösung für die Applikationen von Dritten vorgesehen hätten. Dies wurde insbesondere von der OAuth-Community schon seit Monaten gefordert, zeitweise auch mal von Twitter angekündigt, ist dann aber wieder auf der Prioritätenliste nach hinten gerutscht, was sich aber durch die jüngsten Vorfälle wieder geändert hat. Man kann davon ausgehen, dass Twitter kurzfristig den entsprechenden Standard OAuth unterstützen wird.

Twitter ist an dieser Stelle im Übrigen nur eines von vielen Beispielen! Haben Sie sich schon einmal bei einem Dienst angemeldet, der Ihnen angeboten hat, dass Sie ihre Freunde importieren können, indem Sie ihm einfach “kurz” die Zugangsdaten zu ihrem  z.B. Hotmail, Googlemail oder sonstigen Accounts geben? Auch hier ergibt sich grundsätzlich exakt die gleiche Problematik!

Natürlich kann man – Stand heute – nicht für jeden Fall das Prinzip der “Delegated Authorization” anwenden und somit wird man leider vorerst in manchen Fällen nicht um den “Password-Anti-Pattern” drum herum kommen, aber Sie sollten in jedem Fall immer hinterfragen, ob Sie der dritten Partei ein gewisses Minimum an Vertrauen entgegen bringen können und Passwörter auch einfach nach z.B. einem einmaligen Import direkt wieder ändern, um einen evtl. Mißbrauch zu vermeiden.

Wie funktioniert “Delegated Authorization”?

Die Lösung für diese Problematik ist eigentlich recht einfach gestrickt: Sollte ein Dienst auf die Daten oder Funktionalitäten eines anderen Dienstes zugreifen wollen, bei dem Sie ebenfalls registriert sind, geben Sie nicht einfach Ihren Benutzername und Ihr Kennwort weiter, sondern es findet eine Delegation (Weiterleitung) an den betreffenden Dienst statt. Dort loggen Sie sich wie immer ein (geben damit Ihren Benutzernamen und Kennwort nur an den Dienst, bei dem Sie registriert sind) und erteilen lediglich eine Freigabe zur Nutzung ihrer Daten an den Dritten.

Im Hintergrund findet dabei ein Austausch von sogenannten “Token” (Schlüsseln) statt, die dann einen in der Regel beschränkten und ggf. auch zeitlich begrenzten Zugriff auf ihre Daten gewähren. Um es wieder auf das Twitter Beispiel runterzubrechen: Sobald Twitter das Prinzip der “Delegated Authorization” (und damit den Standard OAuth) unterstützen wird, werden Sie bei den anderen Diensten nicht mehr um Ihren Benutzernamen und Ihr Kennwort gebeten, sondern einfach auf die Seite von Twitter zur Authentifizierung weitergeleitet.

Wenn Sie in dem Moment bei Twitter nicht eingeloggt sind, loggen Sie sich erst ein und werden dann von Twitter gefragt, ob Sie diesen Dienst authorisieren möchten, auf Ihren Twitter Account zuzugreifen. Danach gelangen Sie zurück zu dem ursprünglichen Dienst.  Sollten Sie eines Tages diesem Dienst das Recht ihren Twitter-Account zu nutzen wieder entziehen wollen, können Sie das einfach bei Twitter(!) machen und sind in keiner Weise auf diesen Dritten Dienst angewiesen.

Diese Lösung verhindert damit also, dass sie gegenüber Dritten Ihre Zugangsdaten für einen anderen Dienst offenbaren müssen! In Zukunft werden auch wir bei myON-ID von dieser Möglichkeit in allen sich uns bietenden Situationen Gebrauch machen und Ihnen damit ein Maximum an Sicherheit zur Verfügung stellen!

Zu guter Letzt sei noch erwähnt, dass jede Medaille bekannter Maßen zwei Seiten hat und auch letzten Endes “Delegated Authorization” nicht 100%ig vor Mißbrauch schützen kann. Aber in unseren Augen stellt insbesondere der Standard OAuth bereits eine enorme verbesserte Situation her und verhindert schonmal, dass wir überhaupt unsere Zugangsdaten gegenüber Dritten herausgeben müssen.

Ich hoffe, dass ich Ihnen mit diesem Beitrag etwas näher bringen konnte, worin die Problematik besteht und wie ein Lösungsansatz dafür aussehen kann. Wenn Sie noch Fragen haben oder mehr zu den technischen Hintergründen wissen wollen, zögern Sie nicht in dem Blog zu kommentieren oder schicken Sie uns eine Email an blogpost@onid.de!

Open is the new Black – Wie Anwender von offenen Standards profitieren

19. Dezember 2008 um 10:13 von Mario Grobholz

In den vergangenen Monaten konnte man in der Presse und Blogosphäre viel über offene Standards lesen. Es geht dabei häufig um den sogenannten OpenStack, in dem wiederum Standards wie z.B. OpenID und auch OpenSocial zusammengefasst werden.

Die Diskussion um offene Standards im Netz hat in den vergangenen 18 Monaten einiges an Fahrt aufgenommen und prominente Internet-Größen wie z.B. Google, Yahoo!, Microsoft und auch MySpace sind dabei, ihre Plattformen immer stärker zu öffnen, indem sie diese Standards integrieren.
 

Offenheit scheint in Mode zu kommen und Marc Canter, Visionär und Überzeugungstäter der ersten Stunde, hat es auf den Punkt gebracht: “Open is the New Black“.

Doch was bringt all diese Offenheit dem Anwender? Was müssen Sie wirklich an Hintergrundwissen haben und wie wird sich das Internet dadurch für Sie verändern? mehr lesen »

Themenausblick: Das offene soziale Web

16. Dezember 2008 um 12:01 von Mario Grobholz

Mit meinem Einstieg bei myON-ID habe ich natürlich auch das Vergnügen im Rahmen unseres Blogs zu schreiben und möchte daher die Gelegenheit nutzen und Ihnen einen kurzen Ausblick auf zukünftige Themen geben, die Sie hier erwarten werden.

Im Moment wird immer mehr über offene Standards und die generelle Öffnung des Webs berichtet. Dies wird vor allem dadurch unterstütz, dass auch die großen Internet Player, wie z.B. Google, Yahoo!, Microsoft, Facebook und MySpace, diese Entwicklungen aktiv unterstützen.

In dem Zusammenhang tauchen immer wieder Begriffe wie z.B. OpenID, OAuth, OpenSocial, PortableContacts, SocialGraph, Data Portability, Portable-Identity, Portable-Privacy, Distributed Social Networking und viele mehr auf.

Aber was bedeutet das eigentlich für Sie als Anwender? Was versteckt sich hinter diesen vielen Begriffen, was müssen Sie als Anwender darüber wirklich wissen und was wird es Ihnen langfristig für Vorteile bringen?

Und natürlich: Was hat das alles mit myON-ID zu tun?

Diese Fragen bilden den groben Rahmen für meine kommende Beiträge auf diesem Blog. Ich möchte Ihnen  - ohne groß mit Fachbegriffen um sich zu werfen -  das offene soziale Web näher bringen und freue mich dabei auf den direkten Austausch mit Ihnen.

Um kommende Einträge nicht zu verpassen können Sie unser Blog als RSS-Feed abonnieren oder uns auch gerne auf Twitter folgen. Sollten Sie bereits jetzt Fragen und Anregungen haben, hinterlassen Sie einfach einen Kommentar im Anschluss an diesen Artikel.