Statt dem Fingerabdruck kann das eigene Verhalten genutzt werden, um beispielsweise Zugang zu Gebäuden zu erhalten oder Autos zu entsperren. Das ist nicht nur einfacher als die herkömmliche Variante, sondern schneidet auch in puncto Cybersicherheit und Datenschutz gut ab. Wie die verhaltensbasierte Authentifizierung funktioniert, erklärt Prof. Dr. Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam.
Prof. Meinel, Sie arbeiten an einer Alternative zu herkömmlichen Passwörtern. Was sind die Vorteile von verhaltensbasierter Authentifizierung und wie viel sicherer ist sie?
Bei dieser Art der Authentifizierung dienen verhaltensbasierte Eigenschaften zum Nachweis einer Identität. Wir haben diesen Gedanken einmal mit dem Smartphone durchgespielt: Darauf können Bewegungsmuster des Besitzers als Identität-Eigenschaften hinterlegt werden und dann kontinuierlich über die Bewegungen des Trägers verifiziert werden. Stimmen die Muster überein, ist die Identität gesichert, ansonsten nicht. Unser Ansatz bietet viele Vorteile: Er ist sicher, sehr benutzerfreundlich und sogar kostengünstig, da die meisten Menschen ein Smartphone besitzen und keine zusätzliche Hardware benötigt wird. Studien belegen, dass sich das Verhalten, in unserem Fall also das Bewegungsmuster, jedes einzelnen Menschen stark unterscheidet – selbst professionelle Schauspieler können das Gangverhalten nicht imitieren. Wir haben das Verfahren so gestaltet, dass die biometrischen Daten der Nutzer auf ihren Geräten bleiben und nicht an externe Dienstanbieter weitergeleitet werden. Übermittelt wird nur der aus den verschiedenen Verhaltenswerten errechnete Trust Level, ein grundsätzlicher Unterschied zur Identifikation mit Passwörtern oder Fingerabdrücken. Letztere müssen beim Dienstanbieter hinterlegt werden, damit sie zur Authentifizierung genutzt werden können. Die Daten können so leicht in die Hände von Kriminellen kommen und missbraucht werden. Die verhaltensbasierte Authentifizierung schließt solche Risiken aus.
Sie sprechen von einem Trust Level – worum handelt es sich?
Es ist eine Art Gesamtindikator, der angibt, wie sicher der Algorithmus aktuell ist, dass die auf dem Smartphone hinterlegten und identitätsbezeugenden Bewegungsmuster erfolgreich verifiziert wurden. Er verknüpft dabei die durch die verschiedenen Sensoren gemessenen Werte der unterschiedlichen Verhaltensaspekte und errechnet daraus einen prozentualen Wert, den Trust Level. Dieser Trust Level wird anstatt eines Passwortes an den entsprechenden Dienstanbieter, beispielsweise das Zugangssystem verschickt, der selber festlegt, wie hoch dieser Wert für die Nutzung seines Angebotes sein muss. Je nach Zielanwendung ist es so möglich, auch weniger sicherheitsrelevante Interaktionen vielleicht doch noch zuzulassen und nicht direkt eine neue Authentifizierung zu erfragen. Wird ein Smartphone gestohlen, sinkt der Trust Level auf einen sehr geringen Wert und alle Zugänge bleiben verschlossen.
In der Beschreibung Ihres Projektes wird auch die Gangerkennung als Identifikationsmöglichkeit genannt. Was passiert, wenn diese sich kurzzeitig verändert, etwa durch das Tragen schwerer Objekte oder einen erhöhten Alkoholpegel?
Das ist eine interessante Frage und hängt davon ab, welche Merkmale des Gangs für eine Authentifizierung genutzt werden und wie oft das passiert. Wird beispielsweise kurzzeitig anders gelaufen, muss ein Mechanismus dies abfedern, der den Gang über eine längere Zeit vergleicht.
In welcher Praxissituation würde man die Gangart für einen Login-Vorgang benutzen?
Hier sind ganz verschiedene Nutzungsszenarien denkbar. Aktuell wird die verhaltensbasierte Authentifizierung beispielsweise bei der Kommunikation mit Einlasssystemen aller Art erprobt. Das können Eingänge zu Gebäuden, Büros, Fabriksteuerungsanlagen oder Mietautos sein. Die Interaktion mit der Tür er- folgt dann komplett über das Smartphone. Spezielle Schlüssel oder Keycards werden nicht mehr benötigt. Das HPI-Alumni-Start-up Nexenio mit Sitz in Berlin hat dieses Verfahren zur Marktreife gebracht und testet Pilotanwendungen bereits in der Praxis.
Mehr zum Thema IT- und Cyber-Sicherheit gibts in deinem Karrierenetzwerk!
Heißt verhaltensbasiert nicht auch, dass man sein Verhalten bewusst verändern oder sich anderes Verhalten antrainieren kann?
Zunächst muss man sich klarmachen, dass das Verhalten, hier also das Bewegungsmuster im Handy, im Zusammenspiel vieler und ganz unterschiedlicher Sensoren im Gerät vermessen wird. Schon ein bis zwei Schritte geben da ein sehr spezifisches Charakterbild. Natürlich kann eine Person ihr Verhalten bewusst ändern. Es gelingt aber nicht in den vielen verschiedenen und sehr spezifischen Details, also die durch feine Sensoren im Smartphone in Millisekunden gemessenen Auf- und Abbewegungen, Bewegungsimpulse, Beschleunigungen, Drehbewegungen und so weiter. Auch sind die Algorithmen so konzipiert, dass sie regelmäßig „Lernphasen“ wiederholen und auf diese Weise solche antrainierten oder durch Verletzungen erzwungenen Bewegungsänderungen mitbekommen.
Was sind mögliche Risiken bei solchen Authentifizierungen?
Einige bisherige Risiken lassen sich bei der verhaltensbasierten Authentifizierung von vornherein ausschließen: etwa die Gefahr, dass das gleiche Passwort für verschiedene Konten genutzt wird. Auch datenschutzrechtlichen Problemen kann bei der verhaltensbasierten Authentifizierung vorgebeugt werden, da typischerweise aus Lauf-, Tipp-, oder Touchscreendaten eher statistische Merkmale extrahiert werden, die keine Rückschlüsse auf personenbezogene Daten erlauben. In unseren Forschungen legen wir großen Wert auf Fragen des Datenschutzes. Mit der von uns entwickelten verhaltensbasierten Authentifizierung haben wir in dieser Hinsicht auch einen wichtigen Durchbruch erzielt. Personenspezifische Daten, wie Passwörter oder Fingerabdrücke müssen zur Authentifizierung nicht mehr an den Dienstanbieter übergeben werden. Das ist ein wichtiger Schritt in Richtung sogenannter „selbst-souveräner“ Identitäten. Die Identitätsdaten bleiben ausschließlich auf dem eigenen Gerät.
Eine große Herausforderung besteht auch immer darin, zwischen Security und Usability richtig abzuwägen. Denn wird ein Sicherheitsalgorithmus zu komplex konzipiert, führt das im Zweifelsfall dazu, dass ein Nutzer sehr leicht als Angreifer eingestuft wird – die Nutzbarkeit ist dann stark eingeschränkt. Umgekehrt kann ein zu „nutzerfreundlich“ eingestellter Algorithmus zu einer geringeren Sicherheit führen, da Angreifer erst sehr spät erkannt werden.
Die neuen Passwort-Alternativen sind für viele sicherlich äußerst interessant. Muss man dafür unbedingt ein neues Gerät kaufen?
Die aktuelle Forschung zeigt, dass aktuelle Mittelklassegeräte schon völlig ausreichend sind und immer mehr Geräte kommen mit bereits eingebauten Komponenten für solche Berechnungen auf den Markt. Gleichzeitig legen wir in der praxisnahen Forschung natürlich einen Fokus darauf, dass der Ansatz von möglichst vielen Geräten genutzt werden kann.
Welche waren die größten Hürden bei der Entwicklung und welche kommen noch auf Sie zu?
Die Forschung an der verhaltensbasierten Authentifizierung ist in mehrfacher Hinsicht komplex. Einerseits muss man aufwendige Verhaltensstudien und Datensammlungen durchführen. Andererseits muss ein Algorithmus konzipiert werden, der gleichzeitig bestmögliche Sicherheit und größtmögliche Nutzerfreundlichkeit gewährleistet. Es macht uns große Freude, hier weiter zu forschen.