Der eigene Körper als digitaler Türwächter

500 Millionen gestohlene Passwörter samt zugehöriger E-Mail-Adressen. Diese Sammlung von digitalen Zugangsdaten hat das BKA diesen Sommer gefunden. Im gleichen Zeitraum musste Yahoo eingestehen, dass in der Vergangenheit sämtliche Account-Informationen gestohlen wurden – hier handelte es sich um drei Milliarden Kontodaten weltweit. Die Vorfälle machen deutlich, wovor Sicherheitsexperten schon lange warnen: Passwortgestützte Authentifizierung ist in der heutigen Zeit ein großes Sicherheitsrisiko.

Die Passwort-Problematik

“hallo”, “passwort” oder “hallo123” – so lauten die beliebtesten Passwörter der Deutschen wie eine Auswertung des Hasso-Plattner-Instituts zeigt. Mit gängigen Tools sind sie jedoch von Hackern in Sekundenschnelle zu knacken. Deshalb empfehlen Experten komplexere Kombinationen aus unzusammenhängenden Buchstaben, Zahlen und Sonderzeichen, um es Datendieben schwerer zu machen. Hier besteht wiederum das Risiko, dass Nutzer selbst Probleme haben, sich an den Code zu erinnern.

Eine Bitkom-Studie aus dem vergangenen Jahr ergab, dass 40 Prozent der Befragten auf simple, weil leicht zu merkende Passwörter vertraut. Somit entsteht ein Teufelskreis, wenn die eingesetzten Passwörter unsicher sind und die sicheren ständig vergessen werden.

Ein weiteres Problem von Passwörtern ist, dass Nutzer zumeist nur eines für mehrere Anwendungen benutzen, die alle kompromittiert sind, sobald das Passwort gestohlen wurde. Dies führt bei Unternehmen nicht nur zu administrativem Aufwand, sondern auch zu enormen Reputationsschaden und finanziellen Einbußen. Einer Umfrage von Nuance zufolge verloren beispielsweise britische Unternehmen im vergangenen Jahr knapp 20 Millionen Pfund aufgrund von Online-Betrug.

Mehr Schutz durch körpereigene Merkmale

Das Passwort hat als Schutzmaßnahme für sensible Daten also ausgedient und zwingt Unternehmen, auf moderne Technologien zurückzugreifen, um höhere Sicherheit gewährleisten zu können. Die Multi-Faktor-Authentifizierung gilt als sicherere Alternative, ist allerdings auch nicht risikolos. Wie der Name schon sagt, wird der Zugang hier durch mehrere Tokens gewährt, wie zum Beispiel bei Bankomaten anhand einer EC-Karte und dem zugehörigen PIN.

Diese Methode ist sicherer, da das Passwort alleine noch keinen Zugriff erlaubt oder ausgenutzt werden kann. Die Kehrseite der Medaille ist jedoch, dass der Nutzer darauf angewiesen ist, sämtliche Tokens stets bei sich zu haben. Bei Verlust der EC-Karte nützt ihm auch nichts, dass er das Passwort weiß. Somit ist dieses Verfahren wenig zufriedenstellend. Nutzer wollen ihre Konten zwar einerseits abgesichert wissen, andererseits halten sie auch deshalb am (einfachen) Passwort fest, weil es weniger Aufwand für sie bedeutet, sich eine einfache Kombination zu merken und diese schnell einzutippen.

Dieses Beispiel zeigt, dass Sicherheit zwar wichtig, aber letztendlich nur die halbe Miete ist, denn Nutzer wollen ebenso unkompliziert und ohne großen Aufwand auf ihre Geräte und Anwendungen zugreifen. Eine angenehme Customer Experience sollte daher ebenfalls eine wichtige Rolle bei der Implementierung einer neuen Lösung stehen. Daher greifen immer mehr Unternehmen bereits auf Biometrische Authentifizierungen zurück.

Der eigene Körper weist zahlreiche individuelle Merkmale auf, die ihn von allen anderen auf der Welt unterscheiden. Alleine die Stimme lässt sich mit modernen Lösungen anhand von über 100 einzigartigen Charakteristika analysieren, die sich aus physischen Attributen wie Größe und Form des Nasenganges sowie idiosynkratischen Sprechgewohnheiten des Nutzers wie Dialekt oder Sprechgeschwindigkeit zusammensetzen.

Heutige Sensoren erlauben eine immer genauere Messung dieser Merkmale und ermöglichen so eine sicherere Authentifizierung. Die Möglichkeiten sind dabei vielfältig. Fingerabdruck, Stimm- oder Gesichtserkennung und Retina-Scan – sie alle sind bei jedem Menschen einzigartig. Gleichzeitig zeigt das Beispiel Smartphone die hohe Nutzerfreundlichkeit. Es ist wesentlich effizienter, den Finger kurz auf den Sensor zu legen, als einen (mindestens) vierstelligen PIN einzutippen. Wer weiß, ob diese Technik heutzutage so verbreitet wäre, wenn der Sensor jedes Mal mehrere Anläufe brauchen würde, um Finger zu scannen.

Es muss also das Ziel sein, maximale Sicherheit mit minimalem Nutzeraufwand zu gewährleisten. Hierfür eignet sich besonders Stimmerkennung. Neben der angesprochenen Sicherheit durch individuelle Merkmale ermöglicht die Stimme in Zeiten von Alexa, Siri und all den anderen Sprachassistenten auch eine passive Authentifizierung, bei der der Nutzer mit dem direkten Sprachbefehl oder der Anfrage an den Assistenten starten kann, ohne eine bestimmte Passphrase sprechen zu müssen.

Eine moderne Stimmbiometrie-Lösung prüft den Nutzer einfach anhand seines Stimmmusters und gestaltet den Vorgang so wesentlich effizienter. Zudem können moderne Lösungen unterscheiden, ob es sich um die echte Stimme oder nur um eine Aufnahme handelt, mit der sich jemand anders Zugriff verschaffen möchte, was Betrugsversuchen vorbeugt.

Fazit: Der Nutzer im Fokus

Das Passwort stammt aus einer Zeit, als Netzwerke noch aus einem Rechnerpool im Keller des Unternehmens bestanden. Heute erstrecken sie sich weit über die eigene Firewall in die Cloud, über zahlreiche Applikationen und Endgeräte hinweg und beherbergen zusätzlich wesentlich wertvollere Datenschätze als früher.

In dieser Zeit hat sich das Passwort vom Torwächter zum digitalen Einfallstor entwickelt. Biometrische Authentifizierung ist nicht nur sicherer, sondern auch nutzerfreundlicher, da die Messung der körpereigenen Merkmale schneller abläuft als das Eintippen eines Passwortes und Token nicht verloren oder vergessen werden können. Von daher sollte die Frage nicht sein, OB sich Unternehmen umstellen, sondern WANN.