Schutz von Daten:Warum der Yubikey toll, aber unpraktisch ist

Lesezeit: 3 Min.

Yubicos Yubikeys: Schlüssel für das digitale Zuhause. (Foto: Yubico)
  • Phishing ist eines der größten Probleme der Computersicherheit.
  • Unternehmen wie Google haben es durch den Einsatz von Hardware-Schlüsseln wie dem Yubikey in den Griff bekommen.
  • Ob der Einsatz solcher Schlüssel auch für Privatanwender zu empfehlen ist, zeigt ein SZ-Test.

Von Max Muth

Das Phishing-Problem hat 2019 gigantische Ausmaße angenommen. Einer Hochrechnung des Anti-Phishing-Start-ups Valimail zufolge werden jeden Tag rund drei Milliarden Mails verschickt, um Zugangsdaten für Online-Banking oder Social-Media-Accounts zu erbeuten. Immer noch klicken viele Menschen auf die heimtückischen Links. Laut einem aktuellen IT-Sicherheitsreport von Verizon gehen mehr als 30 Prozent aller Datenlecks auf Phishing-Attacken zurück.

Google hat das Phishing-Problem zumindest für seine Mitarbeiter gelöst. Seit alle 85 000 von ihnen Hardware-Schlüssel für die Anmeldung an ihren Arbeitsrechnern verwenden müssen, wurde dort kein Konto eines Mitarbeiters mehr übernommen. Google setzt konsequent auf eine der vielversprechendsten Arten, gegen Phishing vorzugehen: Zwei-Faktor-Authentisierung (2FA). Bei dieser wird das entsprechende Konto zusätzlich zu einem - möglichst schwer zu erratenden - Passwort noch mit einem weiteren "Faktor" geschützt. Das ist meist ein zusätzlicher Code, der dem Nutzer per SMS, E-Mail oder spezieller App geschickt wird. Dann läuft Phishing ins Leere. Denn wer den zweiten Faktor nicht kennt, der kann zwar das Passwort gefischt haben - aber er kommt dennoch nicht in das Konto des Opfers.

Sicherheit durch weiteren "Faktor"

Viele soziale Medien und große E-Mail-Anbieter empfehlen ihren Nutzern mittlerweile diese Mehrfach-Authentisierung. Am beliebtesten sind sogenannte OTP-Verfahren (One-Time-Password), die ähnlich wie die TAN beim Online-Banking funktionieren. Dabei wird bei jedem Log-in ein zusätzliches Einmal-Passwort abgefragt. Das generiert der Nutzer entweder selbst per App oder Zusatz-Hardware, oder bekommt es von dem jeweiligen Dienst zugeschickt. Wie sicher die Verfahren sind, hängt auch von der Art der Übertragung dieses Passworts ab. SMS etwa sind nicht zu empfehlen, weil sie abgefangen werden können. Als sicherste Variante gelten Hardware-Schlüssel.

Die Bezeichnung "Schlüssel" kommt nicht von ungefähr. Die Geräte sehen tatsächlich aus wie Schlüssel, statt mit Zacken öffnen sie virtuelle Türen mit einem männlichen USB-Anschluss. Der "Schlüssel" wird dazu einfach in einen USB-Eingang gesteckt, oder, wenn das Gerät NFC-fähig ist, in die Nähe gehalten. Die Authentifizierung erledigen dann PC, Browser oder Apps von alleine.

Das bekannteste Produkt auf dem Markt ist der Yubikey. Er wird von der schwedisch-amerikanischen Firma Yubico produziert, gegründet vom Ehepaar Stina und Jakob Ehrensvard, das Hauptquartier befindet sich in Palo Alto, buchstäblich zwischen Facebook und Google. Eine erste Version ihres Schlüssels stellten die Gründer 2008 auf einer Sicherheitskonferenz vor. Das neue Produkt gewann zügig Kunden, vor allem unter den benachbarten Internetunternehmen.

Mittlerweile hat Yubico in dem Nischenmarkt ein Quasi-Monopol. Andere Anbieter wie Thetis oder Nitro sind abgeschlagen. 2018 kündigte Google an, mit der Entwicklung des Titan-Security-Schlüssels selbst in das Geschäft einsteigen zu wollen.

Hardware-Schlüssel sicherer als biometrische Merkmale

Am ehesten vergleichbar ist die Authentisierung per Hardware-Schlüssel mit biometrischen Verfahren, sie hat aber gegenüber Iris- oder Fingerabdruckscannern ein paar entscheidende Vorteile. Zum einen ist das Verfahren deutlich sicherer, denn es arbeitet mit kryptografischen Schlüsseln, die sicher auf dem Gerät verwahrt werden. Fälschungen, wie sie etwa Experten des Chaos Computer Clubs mit Fingerabdrücken oder Venenscannern gelungen sind, sind quasi ausgeschlossen. Zum anderen spart man sich mit den Sicherheitsschlüsseln teure zusätzliche Hardware wie einen Iris-Scanner. Die Nachteile: Natürlich kann der physische Schlüssel gestohlen werden - im Gegensatz zu den individuellen Handvenenmustern eines Menschen, für die es ebenfalls Scanner gibt. Und anders als Finger oder Augen hat man den Schlüssel nicht automatisch immer dabei.

In Unternehmen wie Google hat sich der Einsatz der Sicherheitsschlüssel bewährt. Aber was ist mit Privatanwendern? Ein mehrwöchiger Test mit der aktuellen Version des Yubikeys zeigt, woran es hakt. Zwar bieten immer mehr Software-Hersteller eine Authentifizierung via WebAuthn, Fido2 oder Fido U2F an, den drei wichtigsten Protokollen für die Hardware-Sicherheitsschlüssel. Facebook, Google, Twitter und die großen Passwortmanager wie Lastpass, 1Password oder Keepass sind mit an Bord. Bei all diesen Diensten muss der Nutzer erst einzeln die 2-Faktor-Authentisierung aktivieren und dann auf den Yubikey (und die zugehörigen Back-up-Keys) umstellen. Das ist leider etwas mühselig. Zudem bieten einige vielgenutzte Dienste - darunter Banken und Paypal - diese Methode der Authentisierung aktuell nicht an. Das ist aus Nutzersicht unerfreulich, auch wenn das eher an den Banken als an Yubico liegt.

Auch der Schutz von Windows- oder Apple-Computern selbst ist noch deutlich komplizierter, als er sein sollte. Wer einen Windows-Log-in einrichten will, muss sich durch ein 17-seitiges PDF kämpfen. Ein dafür benötigtes Programm wird laut Yubiko-Support-Webseite zudem nicht mehr weiterentwickelt. Um den Yubikey am Mac zum Laufen zu bringen, muss der Nutzer mit dem Mac-System-Programm "Terminal" hantieren. Nichtprogrammierer bekommen das mit ein bisschen zwar Aufwand hin, vielen dürfte der Aufwand allerdings zu groß sein. Die Suppport-Webseite für Privatanwender erweckt insgesamt den Eindruck, als seien die Normalnutzer bislang nicht die eigentliche Zielgruppe von Yubico.

Für ein weiteres Problem kann der Hersteller nichts: Viele PCs sind noch mit USB-A-Anschlüssen ausgestattet, Mobiltelefone und Laptops hingegen befinden sich im langsamen Übergang zur USB-Version C. Auch NFC haben die meisten Laptops nicht eingebaut. Wer zwischen Geräten mit verschiedenen Anschlüssen wechselt, der braucht also entweder gleich einen Sicherheitsschlüssel-Bund, oder muss jederzeit einen USB-Adapter griffbereit haben. Beides ist nicht besonders komfortabel.

Zu guter Letzt sind die Schlüssel nicht ganz billig. Ein sinnvolles Set-up mit zwei Schlüsseln für USB-A, NFC und USB-C, sowie zwei einfachen Back-up-Schlüsseln kostet rund 150 Euro. Das ist zwar viel Geld, könnte aber angesichts der Gefahr durch Phishing gut investiert sein.

© SZ.de - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Technik
:Der große USB-Schlamassel

Das Format USB-C sollte für Nutzer eigentlich vieles einfacher machen. Doch die Industrie hat eine gute Idee gründlich vermasselt. Nun soll mit einer neuen Variante aber wirklich alles besser werden.

Von Helmut Martin-Jung

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: