Beyond Passwords – Das größte Risiko ist zukünftig der Nutzer

Passwörter sind allgegenwärtig: Mit zunehmender Verstrickung des digitalen und physischen Lebens sind sie an den Schnittstellen unumgänglich – oder nicht? Zwar ist es mittlerweile ins allgemeine Bewusstsein gerückt, dass sie beispielsweise aus komplexen Zeichenfolgen bestehen und regelmäßig ausgetauscht werden sollten. Trotzdem stellt das Passwort aufgrund großangelegter Data Leaks und der Nutzerbequemlichkeit immer seltener eine Hürde dar. Passwörter – ohnehin ein angestaubtes Relikt des ganz frühen Computerzeitalters – werden zukünftig durch neue technische Möglichkeiten zur Authentifizierung abgelöst. Erste Versuche zur Etablierung neuer Verfahren können aktuell beobachtet werden. Dazu zählen:

  • Zahlungen im Onlineshopping können durch ein simples „Selfi“ verifiziert werden. Die Software zur Gesichtserkennung gleicht es mit einem hinterlegten Foto ab. Die Bedenken sind jedoch groß. Gedruckte Masken aus Papier können den Algorithmus bereits täuschen.
  • Ein Bankmitarbeiter schaltet sich per Videochat auf das Gerät und kann die Identität eines Kunden zweifelsfrei nachvollziehen. Video-Ident-Verfahren gelten als fälschungssicher und können nur aufwendig manipuliert werden, da die Prüfung in Echtzeit abläuft.
  • Durch Analyse des Stimmmusters werden z.B. einfache Zugriffsrechte per Spracheingabe freigeben. Mit dem Anstieg der „Conversational Interfaces“ wie z.B. Alexa, Siri oder Cortana kommt die Methode vermehrt zum Einsatz.

Biometrische Verfahren setzten neue Standards

Um zukünftig ein höheres Maß an Sicherheit zu gewährleisten, werden herkömmliche Methoden zur Authentifizierung wie Passwort, PIN oder Karte durch biometrische Verfahren ersetzt oder ergänzt. Zum Einsatz kommen dabei personengebundene Verfahren wie Fingerabdruck-, Gesichts- und Iriserkennung. Hochindividuelle Körpermerkmale wie Herzschlag, Venenstruktur oder Schädelecho sollen noch sichere ID-Lösungen bereitstellen, die im stetigen Wettrennen mit Cyberkriminellen absolut fälschungssicher sind. Ein weiterer Ansatz ist die Verhaltensanalyse. Die Software überwacht dabei minutiös Tastendruck, Mausbewegungen oder die Berührungen des Touchscreens. Weichen diese Muster von den bekannten Nutzergewohnheiten ab, besteht die Gefahr eines Identitätsdiebstahls.

Die britische Bank NatWest testet die Technologie vom israelischen Start-up BioCatch, die biometrische Verhaltenscharakteristika von Nutzern zur Authentifizierung auf Webseiten verwendet. Das System von BioCatch erkennt Nutzer daran, wie sie ihren Computer oder ihr Tablet bedienen. Mehr als 500 Verhaltensmuster, so etwa die Hand-Augen-Koordination, das Händezittern, die Navigation und verschiedene Fingerbewegungen, werden von dem System erfasst und ermöglichen so das Erstellen eines einzigartigen, sicheren Nutzerprofils.

Mehr Sicherheit durch die Blockchain?

Mit der Blockchain-Technologie wird Vertrauen zum integralen Bestandteil der Technologie. Alle Transaktionen werden in einer fälschungssicheren „Chronik“ gespeichert. Diese „Chronik“ ist dezentral auf einer Vielzahl von Clients abgelegt und erlangt so ihre hohe Sicherheit. Vertrauensbildende Instanzen werden durch das dezentralisierte Netzwerk stückweise ersetzt. Ihre Funktion übernimmt die Technologie zukünftig selbst. Regeln, Verträge und Prozesse können auf der Blockchain programmiert und automatisiert verarbeitet werden. Die Technologie wäre so in der Lage, die Echtheit von Informationen zur Authentifizierung eineindeutig zu prüfen.

Das Start-up ShoCard aus Palo Alto bietet einen Service zur Benutzerauthentifizierung auf der Basis einer Blockchain-Infrastruktur an. Der Service wird von Banken, Onlinehändlern, Fluggesellschaften oder Webseitenbetreibern in ihre Browser- oder Smartphone-Anwendung integriert. Institutionen und Nutzer laden relevante Dokumente wie die Bonitätsnote oder Reisepässe hoch, die dann von befugten Dritten abgerufen werden können. Die Authentifizierung erfolgt sowohl anhand dieser im System verschlüsselten Informationen, als auch anhand biometrischer Daten, beispielsweise durch eine Gesichtserkennung.

Ob Biometrie oder Blockchain – am Ende gibt es keine vollständig sichere Methode. Selbst wenn in Zukunft nur noch der Anwender als Sicherheitsrisiko verbleibt. Bis dahin stellt der Login den Dreh- und Angelpunkt des Wettrüstens zwischen Cyberkriminellen und Entwicklern dar. Der Wettbewerb wird nicht zu einer einzigen Methode, sondern zu einer Vielzahl an Lösungen führen, die ihre Stärke durch eine Kombination unterschiedlicher Verfahren erzielen. Während vor einiger Zeit Sicherheit sehr stabil war und durch einfache Mechanismen erzielt wurde, ist heute die Gewährleistung einer Sicherheit zu einem hochkomplexen dynamischen Prozess geworden. Unabhängig von der Sicherheit der Verfahren wird die konstante Entwicklung zur eigentlichen Kernaufgabe.