bedeckt München 23°
vgwortpixel

Schutz von Daten:Warum der Yubikey toll, aber unpraktisch ist

Yubicos Yubikeys: Schlüssel für das digitale Zuhause.

(Foto: Yubico)
  • Phishing ist eines der größten Probleme der Computersicherheit.
  • Unternehmen wie Google haben es durch den Einsatz von Hardware-Schlüsseln wie dem Yubikey in den Griff bekommen.
  • Ob der Einsatz solcher Schlüssel auch für Privatanwender zu empfehlen ist, zeigt ein SZ-Test.

Das Phishing-Problem hat 2019 gigantische Ausmaße angenommen. Einer Hochrechnung des Anti-Phishing-Start-ups Valimail zufolge werden jeden Tag rund drei Milliarden Mails verschickt, um Zugangsdaten für Online-Banking oder Social-Media-Accounts zu erbeuten. Immer noch klicken viele Menschen auf die heimtückischen Links. Laut einem aktuellen IT-Sicherheitsreport von Verizon gehen mehr als 30 Prozent aller Datenlecks auf Phishing-Attacken zurück.

Google hat das Phishing-Problem zumindest für seine Mitarbeiter gelöst. Seit alle 85 000 von ihnen Hardware-Schlüssel für die Anmeldung an ihren Arbeitsrechnern verwenden müssen, wurde dort kein Konto eines Mitarbeiters mehr übernommen. Google setzt konsequent auf eine der vielversprechendsten Arten, gegen Phishing vorzugehen: Zwei-Faktor-Authentisierung (2FA). Bei dieser wird das entsprechende Konto zusätzlich zu einem - möglichst schwer zu erratenden - Passwort noch mit einem weiteren "Faktor" geschützt. Das ist meist ein zusätzlicher Code, der dem Nutzer per SMS, E-Mail oder spezieller App geschickt wird. Dann läuft Phishing ins Leere. Denn wer den zweiten Faktor nicht kennt, der kann zwar das Passwort gefischt haben - aber er kommt dennoch nicht in das Konto des Opfers.

Sicherheit durch weiteren "Faktor"

Viele soziale Medien und große E-Mail-Anbieter empfehlen ihren Nutzern mittlerweile diese Mehrfach-Authentisierung. Am beliebtesten sind sogenannte OTP-Verfahren (One-Time-Password), die ähnlich wie die TAN beim Online-Banking funktionieren. Dabei wird bei jedem Log-in ein zusätzliches Einmal-Passwort abgefragt. Das generiert der Nutzer entweder selbst per App oder Zusatz-Hardware, oder bekommt es von dem jeweiligen Dienst zugeschickt. Wie sicher die Verfahren sind, hängt auch von der Art der Übertragung dieses Passworts ab. SMS etwa sind nicht zu empfehlen, weil sie abgefangen werden können. Als sicherste Variante gelten Hardware-Schlüssel.

Die Bezeichnung "Schlüssel" kommt nicht von ungefähr. Die Geräte sehen tatsächlich aus wie Schlüssel, statt mit Zacken öffnen sie virtuelle Türen mit einem männlichen USB-Anschluss. Der "Schlüssel" wird dazu einfach in einen USB-Eingang gesteckt, oder, wenn das Gerät NFC-fähig ist, in die Nähe gehalten. Die Authentifizierung erledigen dann PC, Browser oder Apps von alleine.

Das bekannteste Produkt auf dem Markt ist der Yubikey. Er wird von der schwedisch-amerikanischen Firma Yubico produziert, gegründet vom Ehepaar Stina und Jakob Ehrensvard, das Hauptquartier befindet sich in Palo Alto, buchstäblich zwischen Facebook und Google. Eine erste Version ihres Schlüssels stellten die Gründer 2008 auf einer Sicherheitskonferenz vor. Das neue Produkt gewann zügig Kunden, vor allem unter den benachbarten Internetunternehmen.

Mittlerweile hat Yubico in dem Nischenmarkt ein Quasi-Monopol. Andere Anbieter wie Thetis oder Nitro sind abgeschlagen. 2018 kündigte Google an, mit der Entwicklung des Titan-Security-Schlüssels selbst in das Geschäft einsteigen zu wollen.

Hardware-Schlüssel sicherer als biometrische Merkmale

Am ehesten vergleichbar ist die Authentisierung per Hardware-Schlüssel mit biometrischen Verfahren, sie hat aber gegenüber Iris- oder Fingerabdruckscannern ein paar entscheidende Vorteile. Zum einen ist das Verfahren deutlich sicherer, denn es arbeitet mit kryptografischen Schlüsseln, die sicher auf dem Gerät verwahrt werden. Fälschungen, wie sie etwa Experten des Chaos Computer Clubs mit Fingerabdrücken oder Venenscannern gelungen sind, sind quasi ausgeschlossen. Zum anderen spart man sich mit den Sicherheitsschlüsseln teure zusätzliche Hardware wie einen Iris-Scanner. Die Nachteile: Natürlich kann der physische Schlüssel gestohlen werden - im Gegensatz zu den individuellen Handvenenmustern eines Menschen, für die es ebenfalls Scanner gibt. Und anders als Finger oder Augen hat man den Schlüssel nicht automatisch immer dabei.