Bitte merken Sie sich das Passwort gut. Ja, 16-stellig sollte es schon sein, Klein- und Großbuchstaben enthalten, Ziffern müssen vorkommen, ein Sonderzeichen wäre auch noch nützlich. Und aus echten Wörtern sollte es bitte auch nicht bestehen. Aber wer hält sich freiwillig an all diese sicher gut gemeinten Ratschläge? Und wer kann sich das Ergebnis noch merken?
Deshalb sind Technologien so beliebt, die den Kunden von dieser Pflicht entbinden. Apple integrierte in das iPhone 5S einen Fingerabdruck-Scanner, um Apps eine Möglichkeit zu geben, den Nutzer eindeutig anhand dieser biometrischen Information zu identifizieren. Mit einer Smartphone-Kamera ließe sich der Nutzer theoretisch per Gesichtserkennung bestimmen, oder anhand des einzigartigen Profils seiner Iris. Nur: Für den Fingerabdruck ist zusätzliche teure Hardware nötig, Iris- und Gesichtserkennung gelten als nicht besonders zuverlässig.
Eine Lösung, die ganz ohne besondere Geräte auskommt, bietet die schwedische Firma Behaviosec an. Ihre Software überwacht, wie sich der Nutzer verhält, während er seine Pin-Nummer eingibt. Trifft er die Zifferntasten auf dem Touchscreen in der Mitte oder eher am Rand? Wie schnell oder langsam gibt er sie ein? Drückt er fest auf und erhöht so die aufliegende Fläche der Fingerkuppe, oder wischt er nur sanft über den Bildschirm? Auch die Bewegungs- und Lagesensoren, die heutzutage in fast allen Smartphones verbaut sind, verraten einiges über den Anwender, beispielsweise in welchem Winkel er das Smartphone hält, wenn er es bedient.
Bis Jahresende alle Online-Banker in Schweden, Norwegen, Dänemark
Das Ergebnis ist eine nahezu eindeutige Charakteristik des Nutzers, eine Art Unterschrift, die der Kunde unwillkürlich und intuitiv ausführt und für die er sich kein kompliziertes Passwort merken muss. Für einen Hacker, der sich Zugriff zu einem Konto verschaffen will, soll das laut Behaviosec-Gründer Neil Costigan quasi unfälschbar sein. Dabei sei es gar nicht notwendig, den Nutzer nur anhand seines Verhaltens zu erkennen, sagt Costigan. "Ich sage mit der Eingabe meiner Pin, wer ich bin, und die App überprüft dann, ob ich mich so verhalte, wie die Person, die sie unter diesem Namen kennt."
Skandinavische Banken setzen das Programm bereits ein, laut Costigan werde bis zum Ende des Jahres jeder Online-Banking-Kunde in Schweden, Norwegen und Dänemark auch über sein Tipp-Verhalten identifiziert. Außerdem arbeite man bereits mit Samsung zusammen, um die Technologie womöglich direkt in das Betriebssystem kommender Handys zu integrieren. Auch andere Smartphone-Hersteller hätten bereits Kontakt mit Behaviosec aufgenommen.
Behaviosec erhält keine Nutzerprofile
Wieder mehr Daten, die die Geräte über uns sammeln, und die geschützt werden müssen? Die Verantwortung dafür sieht Behaviosec bei den Firmen, die die Technologie einsetzen: "Wir liefern lediglich die Software-Bausteine", sagt Costigan. Die Banken fügen sie dann selbst in ihre Apps ein. "Die Profile der Nutzer kommen nie bei uns an, sondern bleiben in den Datenzentren der Banken und werden dort verarbeitet."
Und wenn man vom gespeicherten Muster mal abweicht, beispielsweise, weil man ausnahmsweise die linke statt die rechte Hand zum Tippen benutzt? Kein Problem, meint Costigan. Dann zweifelt die Software eben an der Identität des Nutzers, und verlangt weitere Informationen zur Authentifizierung. Eine per SMS verschickte Tan-Nummer, ein Fingerabdruck-Scan, ein Besuch am Bankschalter. Oder eben doch wieder: ein Passwort.