E-Mail, Onlinebanking, Versandhaus-Konto: Ohne Passwörter geht heute nichts mehr im Netz. Man könnte meinen, dass jemand wie Konrad Rieck zu den obersten Verfechtern von Passwörtern gehören müsste, schließlich arbeitet er am Institut für Systemsicherheit an der Technischen Universität Braunschweig. Aber weit gefehlt: "Passwörter nerven", sagt sogar er. Ein halbwegs sicheres Passwort muss heute aus einer Kombination von acht bis zehn zufälligen Zahlen und Buchstaben bestehen, inklusive Satzzeichen und Groß- und Kleinschreibung. "Der technische Fortschritt führt dazu, dass wir uns immer kompliziertere Passwörter ausdenken müssen", sagt Rieck.
Inzwischen arbeiten reihenweise Unternehmen an der Abschaffung. Allerdings nicht immer, weil ihnen die Kunden leid tun. Sondern aus Eigennutz. Denn Passwörter sind auch für Unternehmen ein Ärgernis, sagt der Sicherheitsexperte Rieck. "Eine Bank oder ein Online-Händler weiß bei einem Passwortverfahren nie, wie sicher das Passwort ist, das der Kunde gewählt hat. Vielleicht benutzt der Kunde dazu auch noch immer das gleiche Passwort, und vielleicht steht es sogar auf einem Zettel, der direkt neben dem Bildschirm klebt." Passwort-Verfahren, sagt Rieck, haben für Firmen darum einen entscheidenden Nachteil: Sie geben die Kontrolle ab.
Bei Mastercard kann sich der Kunde künftig durch ein Zwinkern legitimieren. Dafür will der Kreditkartenkonzern den Dienst "Selfie Pay" einführen. Noch in diesem Jahr soll er in Deutschland und mehr als einem Dutzend weiterer Länder starten. Kunden, die sich die dazugehörige App auf ihr Smartphone geladen haben, brauchen dann beim Einkauf weder Pin noch Passwort. Statt dessen: Handy aus der Tasche, App starten und einmal in die Smartphone-Kamera zwinkern, als Beweis, dass da ein echter Mensch vor der Linse ist und nicht nur ein Foto. "Wir wollen Kunden anhand dessen identifizieren, was sie sind, und nicht daran, an was sie sich erinnern", sagt Sicherheitschef Ajay Bhalla. Ob "Selfie Pay" eine echte Alternative ist, ist fraglich.
Mastercard ist aber längst nicht mehr alleine bei der Suche nach innovativen Verifizierungsmethoden. 2015 hatte der chinesische Onlinehändler Alibaba mit "Smile to pay" ein ähnliches System präsentiert. Auch der Internethändler Amazon arbeitet am Bezahlen per Gesichtserkennung, und Google geht einen Schritt weiter: Das Unternehmen testet für seinen Bezahldienst ein Verfahren, bei dem Kunden in Läden nicht einmal ihr Handy aus der Tasche kramen müssen, weil Kameras an der Kasse ihr Gesicht scannen. Was nach Science Fiction klingt, ist erst der Anfang: Eine britische Bank möchte Kunden am Venenmuster der Finger erkennen, eine kanadische am Herzschlag, und bei der Deutschen Bank ist Onlinebanking per Fingerabdruck längst Realität. Die Scanner sind ohnehin fast Standard bei Smartphones. Der nächste Schritt: Iris-Scans. Bei Windows 10 ist dieser Service schon integriert. Christoph Gurk
Mit biometrischen Verfahren wie einem Fingerabdruck oder Gesichtserkennungen erobern sich Unternehmen diese Kontrolle zurück. Sie bestimmen, wie sich Kunden identifizieren und legen den Standard fest. Und so hoffen sie, potenzielle Sicherheitslücken zu schließen und Verluste zu mindern: Durch Diebstahl und Betrug, in manchen Fällen aber auch durch sogenannte "false declines" oder "false positives", also die irrtümliche Ablehnung von Passwörtern oder Fehlalarmen: Dabei wird zum Beispiel der Online-Einkauf eines Kunden abgebrochen, weil das System des Kreditkartenunternehmens annimmt, ein Betrüger sei am Werk, der - wie auch immer - in den Besitz des Passworts eines Kunden gekommen ist. Für die Kunden ist das ärgerlich, sie fühlen sich fälschlicherweise verdächtigt und können ihren Einkauf nicht tätigen.
Für das Unternehmen bedeutet jeder "false positive" gleichzeitig aber einen Verlust, sowohl für das Image, als auch finanziell, weil Kunden vielleicht den Anbieter wechseln oder weniger mit Kreditkarte bezahlen. Vor allem aber, weil ohne Transaktion auch keine Provision fällig wird. Nach Berechnungen der Beratungsfirma Javelin summierten sich die Verluste durch "false positives" allein vergangenes Jahr auf 118 Milliarden Dollar - 13 Mal so viel, wie Kreditkartenunternehmen durch tatsächlichen Betrug verlieren. Firmen wie Mastercard wollen mit besseren Identifizierungsmethoden den Anteil der fälschlich abgelehnten Transaktion vermindern - und damit die Gewinne steigern. Es bleibt ein Problem. Denn den Preis dafür könnten am Ende die Kunden bezahlen.
Ein Fingerabdruck kann nicht geändert werden, ein Passwort schon.
(Foto: Fabrizio Bensch/Reuters)"Unter dem Gesichtspunkt des Datenschutzes sind die neuen biometrischen Identifizierungsverfahren sehr fragwürdig", sagt Rieck. "Ein Passwort kann man austauschen, eine Iris oder einen Fingerabdruck aber nicht." Sind die biometrischen Daten einmal in die Hände von Hackern und Betrügern gekommen, erklärt er, seien die Daten für immer negativ belastet. Wie schnell das gehen kann, zeigt nicht zuletzt das Beispiel von Ministerin Ursula von der Leyen: Schon 2014 konnten IT Experten des Chaos Computer Clubs ihren Fingerabdruck rekonstruieren. Einer von ihnen war damals Jan Krissler, der heute an der Technischen Universität Berlin arbeitet. Alles was nötig war, um an den Fingerabdruck der Verteidigungsministerin zu kommen, war ein Foto von einer Pressekonferenz, sagt er. "Den Großteil der Arbeit hat dann eine Software übernommen. Abhängig von der Qualität des Fotos kann man so etwas aber auch mit einem Grafikbearbeitungsprogramm von Hand in weniger als einer Stunde schaffen. Die meisten heutzutage erhältlichen Biometriesysteme sind darum nicht geeignet, um mit ihnen sensible Daten zu schützen." Auch Konrad Rieck warnt: "Letztendlich sind alle biometrischen Authentifizierungsverfahren keine echten Alternativen zum Passwort".
Dass dieses irgendwann einmal ganz verschwindet, glaubt er ohnehin nicht. Viel wahrscheinlicher sei, dass sich eine Zwei-Faktoren-Authentifizierung durchsetzt, bekannt zum Beispiel aus dem Online-Banking, wo neben einem Passwort auch noch eine Tan-Nummer nötig ist, um Überweisungen zu tätigen. "Richtig angewendet, sind solche Systeme schwer zu knacken", sagt Rieck. "Und weil die Systeme mit zwei Faktoren arbeiten, müssen die einzelnen nicht mehr so stark sein". Anders gesagt: Das Ende des Passworts ist noch lange nicht gekommen. Dafür aber müssen sie in Zukunft nicht mehr ganz so kompliziert sein.