Was genau ist eigentlich Tipp-Biometrie?

Sibylle Gaßner,

Das Regensburger Unternehmen Psylock bietet Software an, die den Benutzer eines Computers anhand seines Tippverhaltens erkennt. Die Methode wurde vielfach ausgezeichnet, zuletzt mit dem Deutschen IT-Sicherheitspreis 2008. Entwickelt wurde die Technologie von Professor Dieter Bartmann vom Lehrstuhl für Bankinformatik der Universität Regensburg. silicon.de hat mit ihm gesprochen.

silicon.de: Was müsste ein Hacker theoretisch machen, um das System zu hacken?

Professor Bartmann: Er könnte sich hinter den User stellen und ihn beim Tippen beobachten beziehungsweise eine Videoaufnahme anfertigen, um das Tippverhalten zu imitieren: Die Chance, das zu schaffen, wäre verschwindend gering.

Er könnte es auch mit Keylogging versuchen, also Tippproben aufzeichnen und wieder einspielen. Allerdings: Psylock-Produkte sind mit einem überaus ausgeklügelten und effektiven Replay-Schutz ausgestattet. Selbst veränderte, eingespielte Tippproben können als solche erkannt werden.

silicon.de: Und wie schneidet die Technologie im Vergleich mit anderen biometrischen Lösungen ab, beispielsweise Finger- oder Irisscan?

Professor Bartmann: Bezüglich biometrischer Kennzahlen, wie FAR (False Acceptance Rate) und FRR (False Rejection Rate) ist Psylock mit diesen Systemen vergleichbar.

silicon.de: In welchen Bereichen wird die Software bisher in Firmen eingesetzt?

Professor Bartmann: Zum Passwort Reset, derzeit vor allem in Unternehmen und Bildungsinstitutionen mit zahlreichen Usern. Dies wird dort nicht mehr über Helpdesk abgewickelt, sondern mit Psylock. Der Vorteil ist unübersehbar: Die Entlastung der Helpdesks über 30 Prozent spart eine Menge Geld. Bei hohen Sicherheitserfordernissen wird sowohl dem IT-Verantwortlichen als auch dem User ein aufwendiges Procedere erspart. Außerdem kann der User ohne Wartezeit und peinliche Erklärungen sofort sein Passwort ändern und die Arbeit aufnehmen.

Ein weiterer Einsatzbereich ist das Gebiet Weblogin. Hier können Unternehmen Daten und Applikationen ohne Passwort und Hardware sicher schützen. Ich denke da beispielsweise an Onlineportale, die ihren Kunden gebührenpflichtige Dienstleistungen anbieten. Mit Psylock kann der Anbieter sicherstellen, dass ihm nicht wie bisher durch Passwort-Sharing gravierende Verluste entstehen.

Zudem wurde vor wenigen Wochen eine Version für Citrix-Nutzer vorgestellt. Denn in Citrix-Umgebungen, die Single-Sign-on nutzen, ist zum Benutzernamen und Passwort grundsätzlich noch ein zweiter Faktor empfehlenswert.