Lob von oberster Stelle für den iPhone-Konzern: Jen Easterly, Direktorin der zum US-Heimatschutzministerium gehörenden Cybersecurity and Infrastructure Security Agency (CISA), möchte, dass sich IT-Unternehmen wie Twitter oder Microsoft ein Beispiel an Apple nehmen, was die Absicherung von Accounts betrifft. „Apple übernimmt die Verantwortung für die Sicherheit seiner Nutzer“, sagte sie bei einer Rede an der Carnegie Mellon University in dieser Woche. Konkret meint Easterly damit die Verwendung von Multifaktor-Authentifizierungsverfahren (MFA), auch als Zwei-Faktor-Authentifizierung (2FA) bekannt. Apple soll es gelungen sein, dass mittlerweile 95 Prozent aller iCloud-Nutzer mit einer zusätzlichen MFA-Absicherung ihres Accounts unterwegs sind. Grund dafür ist vor allem, dass dies mittlerweile zur Default-Option erklärt wurde, tatsächlich macht Apples Usern, die MFA nicht nutzen, zunehmend das Leben schwer. Microsoft und Twitter hätten hingegen geringe Annahmequoten bei der Technik, angeblich soll der Kurznachrichtendienst, der gerade 2FA per SMS kostenpflichtig gemacht hat, hier nur bei drei Prozent liegen. Microsoft wiederum steht aktuell bei 28 Prozent. Dennoch sei es positiv, dass die Unternehmen ihre MFA-Zahlen genannt haben, sagte Easterly. „Indem sie für radikale Transparenz bei der Einführung von MFA sorgen, tragen diese Organisationen dazu bei, die Notwendigkeit standardmäßiger erhöhter Sicherheit zu verdeutlichen.“ Die CISA-Chefin hofft, dass weitere Unternehmen diesem Beispiel folgen. Transparenz bei den von Technikfirmen angewandten Sicherheitsmethoden sei wichtig – und insbesondere die Förderung dieser in der Praxis. Easterly hält Angaben zu Methoden wie MFA für ein grundlegendes Kriterium bei der Akzeptanz durch die Nutzer. Auch bei der Beschaffung spielen sie zunehmend eine Rolle. Easterly fasste in ihrer Rede auch ein heißes Eisen an: den Haftungsausschluss für Sicherheitsprobleme durch die Technologieanbieter. Sie schlug vor, dass neue Gesetze die Konzerne daran hindern sollten, die Haftung vertraglich auszuschließen und „höhere Sorgfaltsstandards für Software in bestimmten kritischen Infrastrukturen“ festzulegen. Gleichzeitig spricht sie sich allerdings für einen „Safe-Harbor-Rahmen“ aus, um Unternehmen, die ihre Softwareprodukte und -dienste „sicher entwickeln und pflegen“, vor der Haftungsübernahme zu schützen.
