Biometrik: Passwort, ade

Viele Firmen wollen Online-Zugänge mit biometrischen Methoden entwickeln, denn Passwörter sind für Kunden und Unternehmen ein Ärgernis. Das ist jedoch nicht der Weisheit letzter Schluss, denn auch Fingerabdrücke und Irisscans bergen Risiken.

E-Mail, Onlinebanking, Versandhaus-Konto: Ohne Passwörter geht heute nichts mehr im Netz. Man könnte meinen, dass jemand wie Konrad Rieck zu den obersten Verfechtern von Passwörtern gehören müsste, schließlich arbeitet er am Institut für Systemsicherheit an der Technischen Universität Braunschweig. Aber weit gefehlt: "Passwörter nerven", sagt sogar er. Ein halbwegs sicheres Passwort muss heute aus einer Kombination von acht bis zehn zufälligen Zahlen und Buchstaben bestehen, inklusive Satzzeichen und Groß- und Kleinschreibung. "Der technische Fortschritt führt dazu, dass wir uns immer kompliziertere Passwörter ausdenken müssen", sagt Rieck.

Inzwischen arbeiten reihenweise Unternehmen an der Abschaffung. Allerdings nicht immer, weil ihnen die Kunden leid tun. Sondern aus Eigennutz. Denn Passwörter sind auch für Unternehmen ein Ärgernis, sagt der Sicherheitsexperte Rieck. "Eine Bank oder ein Online-Händler weiß bei einem Passwortverfahren nie, wie sicher das Passwort ist, das der Kunde gewählt hat. Vielleicht benutzt der Kunde dazu auch noch immer das gleiche Passwort, und vielleicht steht es sogar auf einem Zettel, der direkt neben dem Bildschirm klebt." Passwort-Verfahren, sagt Rieck, haben für Firmen darum einen entscheidenden Nachteil: Sie geben die Kontrolle ab.

Mit biometrischen Verfahren wie einem Fingerabdruck oder Gesichtserkennungen erobern sich Unternehmen diese Kontrolle zurück. Sie bestimmen, wie sich Kunden identifizieren und legen den Standard fest. Und so hoffen sie, potenzielle Sicherheitslücken zu schließen und Verluste zu mindern: Durch Diebstahl und Betrug, in manchen Fällen aber auch durch sogenannte "false declines" oder "false positives", also die irrtümliche Ablehnung von Passwörtern oder Fehlalarmen: Dabei wird zum Beispiel der Online-Einkauf eines Kunden abgebrochen, weil das System des Kreditkartenunternehmens annimmt, ein Betrüger sei am Werk, der - wie auch immer - in den Besitz des Passworts eines Kunden gekommen ist. Für die Kunden ist das ärgerlich, sie fühlen sich fälschlicherweise verdächtigt und können ihren Einkauf nicht tätigen.

Für das Unternehmen bedeutet jeder "false positive" gleichzeitig aber einen Verlust, sowohl für das Image, als auch finanziell, weil Kunden vielleicht den Anbieter wechseln oder weniger mit Kreditkarte bezahlen. Vor allem aber, weil ohne Transaktion auch keine Provision fällig wird. Nach Berechnungen der Beratungsfirma Javelin summierten sich die Verluste durch "false positives" allein vergangenes Jahr auf 118 Milliarden Dollar - 13 Mal so viel, wie Kreditkartenunternehmen durch tatsächlichen Betrug verlieren. Firmen wie Mastercard wollen mit besseren Identifizierungsmethoden den Anteil der fälschlich abgelehnten Transaktion vermindern - und damit die Gewinne steigern. Es bleibt ein Problem. Denn den Preis dafür könnten am Ende die Kunden bezahlen.

"Unter dem Gesichtspunkt des Datenschutzes sind die neuen biometrischen Identifizierungsverfahren sehr fragwürdig", sagt Rieck. "Ein Passwort kann man austauschen, eine Iris oder einen Fingerabdruck aber nicht." Sind die biometrischen Daten einmal in die Hände von Hackern und Betrügern gekommen, erklärt er, seien die Daten für immer negativ belastet. Wie schnell das gehen kann, zeigt nicht zuletzt das Beispiel von Ministerin Ursula von der Leyen: Schon 2014 konnten IT Experten des Chaos Computer Clubs ihren Fingerabdruck rekonstruieren. Einer von ihnen war damals Jan Krissler, der heute an der Technischen Universität Berlin arbeitet. Alles was nötig war, um an den Fingerabdruck der Verteidigungsministerin zu kommen, war ein Foto von einer Pressekonferenz, sagt er. "Den Großteil der Arbeit hat dann eine Software übernommen. Abhängig von der Qualität des Fotos kann man so etwas aber auch mit einem Grafikbearbeitungsprogramm von Hand in weniger als einer Stunde schaffen. Die meisten heutzutage erhältlichen Biometriesysteme sind darum nicht geeignet, um mit ihnen sensible Daten zu schützen." Auch Konrad Rieck warnt: "Letztendlich sind alle biometrischen Authentifizierungsverfahren keine echten Alternativen zum Passwort".

Dass dieses irgendwann einmal ganz verschwindet, glaubt er ohnehin nicht. Viel wahrscheinlicher sei, dass sich eine Zwei-Faktoren-Authentifizierung durchsetzt, bekannt zum Beispiel aus dem Online-Banking, wo neben einem Passwort auch noch eine Tan-Nummer nötig ist, um Überweisungen zu tätigen. "Richtig angewendet, sind solche Systeme schwer zu knacken", sagt Rieck. "Und weil die Systeme mit zwei Faktoren arbeiten, müssen die einzelnen nicht mehr so stark sein". Anders gesagt: Das Ende des Passworts ist noch lange nicht gekommen. Dafür aber müssen sie in Zukunft nicht mehr ganz so kompliziert sein.