»Es gibt keine einfache Lösung, wenn man sicher sein will«

AuthentifizierungCloudSicherheitSicherheitsmanagement

Die Anonymität im Internet ist nicht nur ein Segen, sondern gleichzeitig auch das größte Problem des Netzes. Tim Cole erklärt, warum sich herkömmliche Verfahren zur Authentifizierung überlisten lassen und warum komplexe Systeme zur Mehrfaktor-Authentifizierung her müssen.

Der absolute Klassiker unter den Karikaturen zum Thema Internet erschien in der Juliausgabe des Jahres 1993 im Kultmagazin »The New Yorker« und zeigte einen Hund, der am Computer saß, mit der Pfote die Maus bewegte und beiläufig zu einem anderen Vierbeiner sagt : »On the Internet, nobody know’s you’re a dog.« Niemand hat seitdem die völlige Anonymität des weltweiten Netzwerks so treffend beschrieben, die viele als Segen empfinden, die aber gleichzeitig auch größte Problem des Online-Zeitalters darstellt, nämlich die Schwierigkeit, im Cyberspace einen eindeutigen Nachweis der eigenen Identität zu führen. Wer ist der andere, der Einlass in mein eShop begehrt oder der Geld von meiner Kreditkarte abbuchen will? Ist er wirklich derjenige, der er zu sein behauptet, oder ist er jemand, der nur mein Bestes will – und davon so viel wie möglich?

Die eingebaute Unsicherheit

Die gängige Identifizierungsmethode mittels Benutzername und Passwort beweist im Grunde gar nichts – höchstens, dass es einen entsprechenden Eintrag in der Datenbank gibt. Wer gerade die richtige Kombination eingetippt hat, weiß nur derjenige, der es gerade getan hat. Das mag der legitime Eigentümer des Benutzerkontos sein – oder irgendeiner, der die Informationen von dem gelben Post-it abgelesen hat, auf dem der wahre Besitzer sein Passwort notiert und auf den Bildschirm geklebt hat, weil er es sich nie merken kann.

Wir haben gelernt, mit dieser eingebauten Unsicherheit es Internet zu leben, manchmal mehr schlecht als recht. Für die meisten Anwendungen ist es das simple System Name/Passwort auch ausreichend. Was soll schon passieren, wenn einer in meinen Facebook-Account kommt oder in meinem Namen Videos auf YouTube lädt? Okay, eine ganze Menge, aber lassen wir das mal für den Moment beiseite. Konzentrieren wir uns auf die wirklich wichtigen Dinge, vor allem dort, wo viel Geld im Spiel ist, zum Beispiel beim Online-Banking.

Dort gibt es schon seit Jahren zusätzliche Sicherheitsmaßnahmen, die in Verbindung mit der – inhärent unsicheren – Kombination aus Name und Passwort verwendet werden. Transaktionsnummern, so genannte TANs, sind zusätzliche Einmal-Passwörter, die entweder als Liste per Post zum Kunden gelangen oder neuerdings auch als Kurznachricht (SMS) aufs Handy. Das ist schon ziemlich sicher, aber auch nicht unfehlbar, denn ein geschickter Hacker kann versuchen, einen Trojaner auf einem nicht ausreichend gesicherten Rechner so zu installieren, dass dieser den nächsten Überweisungsvorgang abfängt und die Daten auf den Rechner des Angreifers umleitet. Er besitzt dann Name, Passwort und eine gültige TAN, kann also einmal abräumen. Und wie viel ein »gesimster« TAN wert ist, wenn die Menschen zunehmend ihre Bankgeschäfte übers Smartphone abwickeln, also auf dem gleichen Gerät, auf dem sie die TAN-Nachricht empfangen, mag sich jeder selber ausrechnen.

Authentifizierung mit Tokens, Smartcards und Biometrie

Es gibt natürlich viele Wege, sich im Internet zusätzliche Sicherheit zu verschaffen. Sie werden meistens unter dem Oberbegriff »strong authentication« zusammengefasst und reichen von Hardwarelösungen wie Tokens und Smartcards über biometrische, also auf Körpermerkmale des Benutzers basierende Techniken wie Iriserkennung und Fingerabdruckscanner. Andere Hersteller versuchen, verhaltensbasierte Erkennungssysteme zu bauen, die beispielsweise das Tippverhalten des Benutzers analysieren und in der Lage sind, aus Rhythmus, Geschwindigkeit, Pausenhäufigkeit der Texteingabe mehr oder weniger genau zu sagen, ob der wahre Benutzer an der Tastatur sitzt oder beispielsweise ein Softwareroboter.

Jedes dieser (und vieler anderer) Verfahren existiert schon teilweise sehr lange und wird auch hier und dort eingesetzt, mit mehr oder weniger Erfolg. Und jedes System lässt sich auch mit entsprechendem Aufwand und etwas Intelligenz überlisten. Denken Sie nur an Tom Cruise in »Mission Impossible«, der eine Plastiktüte voll Augäpfel mit sich herumtrug, die er bei Bedarf vor den Irisscanner hielt. Fragt man einen Profi nach seiner wahren Meinung (und nicht nach der, die ihm seine Marketingabteilung vordiktiert hat), dann wird er seufzend zugeben, dass es im Internet niemals hundertprozentige Sicherheit geben kann.

Und er hat ja Recht. Bleibt aber die Frage: Wie kann ich mein Sicherheitsniveau wenigstens auf das höchste technisch machbar Niveau anheben? Bei einem Besuch in Boston bei der kleinen Startup-Firma Delfigo Securities hat man mir eine, wie ich finde, sehr einleuchtende Antwort gegeben: »Indem man das alles macht, was derzeit möglich ist.« Firmengründer Ralf Rodriguez hat jahrelang gegenüber von Boston am ehrwürdigen MIT an Authentifizierungssystemen geforscht und er hat sich dabei auf künstliche Intelligenz und deren Einsatz im Bereich von IT Security spezialisiert. Er schrieb einen vielbeachteten Aufsatz zum Thema »event-driven security architecture« und hält dafür auch ein Patent. Inzwischen ist er CEO von Delfigo und hat ein Produkt namens DSGateway entwickelt, das nicht ein oder zwei, sondern bis zu 14 verschiedene Identifizierungsfaktoren gleichzeitig untersucht, um dem Betreiber einer Website oder eines Online-Systems höchstmögliche Sicherheit zu geben.

Tun, was möglich ist

»Was wir machen, ist echte Mehrfaktor-Authentifizierung und nicht eine Schmalspur-Version davon wie PIN/TAN«, sagt er. Dabei greift er auf drei verschiedenen Arten von Informationen über den Benutzers zurück: Persönliches (Dinge, die nur der Benutzer wissen kann), Technisches (Dinge, die er bei sich trägt) und Menschliches (Dinge, die ein Teil von ihm sind). DSGateway analysiert etwa das Tippverhalten, ruft aber zugleich Informationen ab über die verwendete Hardware (Betriebssystem, Monitorauflösung, Browsertyp, IP-Adresse, Hostname) sowie bei Zugriff über ein Smartphone auch den gegenwärtigen Aufenthaltsort des Benutzers, Zeitstempel und einiges mehr. Auf Wunsch des Kunden können mehr oder weniger beliebig viele zusätzliche Informationen hinzugefügt werden, zum Beispiel Fingerabdruck oder, ja, auch ein Iris-Scan. Aus diesem Sammelsurium von Informationen bereitet das System mittels ausgeklügelter Software-Algorithmen ein Wahrscheinlichkeitsprofil heraus, dass Rodriguez einen »Confidence Factor« nennt. Ist das System am Ende immer noch nicht von der Identität des Benutzers überzeugt, kann es den Zugang sperren oder ihn auffordern, zusätzliche Beweise seiner Identität zu liefern, etwa durch Anruf, durch Vorlage des Ausweises in der Bankfiliale oder durch PostIdent. Das alles läuft fast in Echtzeit ab, mindert also den Bedienkomfort kaum.

Nein, ein solcher Aufwand lohnt sich vielleicht nicht für jeden kleinen Tante-Emma-Laden im Internet. Allerdings bietet Delfigo den Dienst inzwischen auch als ausgesprochen preiswerten Webservice aus der Cloud. Tatsächlich sind es bisher eher die großen Konzerne und vor allem Banken, die das Verifizierungssystem lieber selber betreiben und möglichst hinter der Firewall installieren. Aber das Prinzip ist auch für andere interessant: Das eine tun und das andere nicht lassen. Wenn wir in den vergangen Jahren eines gelernt haben über Digitale Identitäten und IT-Sicherheit, dann das: Es gibt keine einfache Lösung, wenn man wirklich sicher sein will. Und wer sich an der Vorstellung stört, gleichzeitig mit Gürtel und Hosenträger herumzulaufen, der soll weiterhin sein Benutzername und Passwort eintippen. Er wird schon sehen…

Tim Cole ist Mitbegründer der Analystengruppe KuppingerCole. Er leitet zurzeit das Nordamerika-Büro des Unternehmens in Boston.