Sicherheit im Netz Dieses Start-up will das Passwort abschaffen

Wer Passwörter hasst, hat mittlerweile Alternativen, um den Zugang zu Geräten und Daten zu sichern.

(Foto: Rolf Vennenbernd/dpa)
  • Menschen stehen seit Beginn des Internetzeitaltters mit Passwörtern auf Kriegsfuß: zu kurz, zu unsicher, zu lang, zu schlecht zu merken.
  • Ein Start-up aus Gelsenkirchen will deshalb Passwörter ganz abschaffen. Sattdessen soll das Smartphone zu einer Art digitalem Personalausweis werden.
  • Getestet wird ihr System bald auch als E-Government-Lösung, zuerst nur in Gelsenkirchen, dann in ganz NRW.
Von Max Muth und Angelika Slavik

Es ist ja nicht so, dass der Mensch sich nicht zu helfen wüsste. Bei der Sache mit den Passwörtern zum Beispiel. Da gibt es Menschen, die suchen sich einmal ein Passwort aus, das sie dann verwenden. Überall. Für ihre E-Mail-Konten, für ihren Facebook-Zugang, für das Kundenkonto im Online-Shop, bei Paypal. Einfach überall. Wieder andere entwickeln ein Zählsystem. Schatzi1. Schatzi2. Schatzi23. Und dann ist da noch die Gruppe der Pragmatiker. Das sind die, die "Passwort" für ein gutes Passwort halten. Oder 123456.

Markus Hertlein und Pascal Manaras zumindest sehen das so. "Menschen sind nicht dafür gemacht, sich Passwörter zu merken", sagt Hertlein. "Also verwenden sie entweder immer die gleichen oder sie suchen sie sich im System." Genau das sei aber ein Sicherheitsproblem. "Das größte Risiko für die IT-Sicherheit ist der Mensch." Hertlein, 34, und sein Kollege Manaras, 34, glauben, dieses Problem lösen zu können. Mit ihrer Firma Xignsys haben sie eine Technologie entwickelt, die Identifikation im Internet ohne Passwort ermöglicht.

Menschen und Passwörter, vielleicht passt das einfach nicht.

Konkret funktioniert das so: Nutzer installieren die App von Xignsys und durchlaufen dann einen einmaligen Registrierungsprozess. Dabei werden kryptografische Schlüssel und digitale Zertifikate auf dem Gerät hinterlegt. Das Telefon wird zu einer Art digitalem Personalausweis. Fortan funktioniert etwa das Einloggen nicht mehr mit Benutzername und Passwort, stattdessen bekommen Nutzer einen QR-Code angezeigt, den sie mit der App auf ihrem Handy einscannen. Der Rest läuft automatisch - Sekunden später ist man identifiziert und eingeloggt. "Man muss sich nie wieder ein Passwort merken", sagt Maneras. "Also muss man sich auch keine Passwörter mehr ausdenken, die dann womöglich unsicher sind."

Um zu verhindern, dass das Telefon im Fall eines Diebstahls für Einkaufstouren missbraucht wird, müssen für Transaktionen zusätzlich noch eine Pin oder ein Fingerabdruck zur Authentisierung verwendet werden. Bei Verlust des Geräts könne man außerdem per Hotline oder über die Webseite den Zugang sperren lassen, ähnlich wie bei einer verlorenen EC-Karte.

Hertlein und Manaras, Freunde seit der Grundschule, haben die Idee für ihr Start-up entwickelt, als sie am Institut für Internetsicherheit an der Westfälischen Hochschule in Gelsenkirchen an einem System arbeiteten, das die Authentifizierung an elektrischen Ladesäulen ermöglichen sollte. "Das Wissen, das wir dort gewonnen haben, wollten wir für Authentifizierungstechnologie auch in anderen Bereichen einsetzen", sagt Manaras.

Innovation für E-Government-Lösungen ist bitter nötig

Dass sich Passwörter trotz aller Schwierigkeiten der Methode, nach wie vor hartnäckig weigern, zu verschwinden, lag bisher vor allem an fehlenden Alternativen. Biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennung sind ebenfalls knackbar und lassen sich im Notfall auch nicht ändern. Zentrale Authentifizierungssysteme wie das von Xignsys haben ein anderes Problem: Gerade weil sie eine Lösung für mehrere Systeme sein wollen, steigt die Abhängigkeit von dem Service: Je mehr Anbieter auf Xignsys für die Authentifizierung setzen, desto problematischer wäre ein Ausfall des Systems.

IT-Sicherheit Handys knacken mit Sekundenkleber und Kontaktlinsen
Biometrie

Handys knacken mit Sekundenkleber und Kontaktlinsen

Seit 15 Jahren trickst Jan Krissler biometrische Verfahren aus, bei denen Teile des menschlichen Körpers als Passwort verwendet werden. Seine Hoffnung liegt in der Venenerkennung.   Von Hakan Tanriverdi

Bislang nutzen das System vor allem Firmenkunden, so verwendet Volkswagen Xignsys etwa zur internen Identifikation der Mitarbeiter. Bald soll das System aber auch in ganz anderem Kontext ausprobiert werden: Die Stadt Gelsenkirchen und in weiterer Folge auch ganz Nordrhein-Westfalen wollen den Bürgern mit Xignsys elektronische Behördengänge ermöglichen.

Gerade beim Thema E-Government wäre Innovation nötig. Wer sich durch die diversen digitalen Service-Portale der Bundesländer klickt, der versteht, warum die Nutzung digitaler Behördenleistungen in Deutschland im vergangenen Jahr zurück ging, Benutzerfreundlichkeit sieht anders aus. Das liegt auch daran, dass für die meisten digitalen Behördengänge zeitweise der neue Personalausweis mit NFC-Chip und ein entsprechendes Lesegerät notwendig waren. Heute kann man dieses Gerät mit einem modernen Smartphone umgehen.

Bleibt die Frage, ob zwei, die sich ständig Gedanken machen über Sicherheit im Internet, wenigstens ihr engstes Umfeld von ordentlichen Passwörtern überzeugen konnten? Man rede natürlich mit Freunden und der Familie, sagt Manaras. "Aber selbst wenn man stundenlang erklärt, wie wichtig das ist, gehen sie dann und verwenden das gleiche Passwort wie immer." Der Mensch und das Passwort, vielleicht passt das einfach nicht.

IT-Sicherheit Zehn Regeln für Ihre digitale Sicherheit

Privatsphäre

Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.   Von Simon Hurtz