Wenn Stina Ehrensvärd morgens ihren Computer hochfährt, ist sie bereits beim Windows-Log-in für Hacker unangreifbar. Mithilfe eines kleinen Tokens, den sie in den USB-Anschluss ihres Computers steckt, verifiziert sie sich als Benutzerin des Accounts. Die Technologie dahinter hat sie selbst vor zwölf Jahren erfunden. Inzwischen ist daraus ein globaler Standard für die Zwei- und Multi-Faktor-Authentifizierung mit Namen Fido geworden.
Die Idee kam Ehrensvärd und ihrem Ehemann, der zu diesem Zeitpunkt als IT-Spezialist arbeitete, als sie sich in ihrer schwedischen Heimat für einen Online-Banking-Dienst anmelden wollte. "Mein Mann behauptete, es würde ihn genau einen Tag kosten, den Code zu schreiben, der mein gesamtes Konto leer räumen würde", sagt Ehrensvärd. Die einzig sichere Variante zum Schutz ihres Accounts, sei damals die Smart-Card gewesen, für die jedoch eine ganze Infrastruktur nötig ist - also Software, Lesegerät und Treiber. "Wir wollten etwas Unkompliziertes haben, das überall funktioniert. So entstand Yubico", sagt die Gründerin.
Yubi ist das japanische Wort für Finger. Tippt der Nutzer den Token an, verifiziert er sich als Besitzer des Accounts und lässt Hackern, die die Hardware eben nicht bei sich tragen, keine Angriffsfläche. Dabei geht es nicht um den Fingerabdruck, sondern tatsächlich nur um die Anwesenheit der Person. Der Token sieht aus wie ein kleiner USB-Stick und ist je nach Modell sowohl mit Computern als auch mit Smartphones, die ein Android oder IOS-Betriebssystem haben, kompatibel. Der günstigste Token der Firma Yubico kostet etwa 20 Euro. Bei anderen Anbietern sind Fido-zertifizierte Sicherheitsschlüssel auch schon für knapp zehn Euro zu haben. Benutzer müssen keine Software herunterladen, denn der Schlüssel verbindet sich via Plug and Play mit dem Endgerät. Jede Firma, die irgendeine Form des digitalen Services ausführt, könne die Verschlüsselung durch den globalen Standard und die Unterstützung des Tokens anbieten, heißt es von Yubico.
Das bedeutet, dass jedes Online-Banking-Portal, jedes E-Mail-Postfach, jeder passwortgeschützte Service mit Hilfe dieser Technologie geschützt werden könnte. "Das Ziel ist, dass die Tokens irgendwann überall funktionieren", sagt Stina Ehrensvärd, die inzwischen ihr Leben und ihren Arbeitsplatz von Stockholm nach Kalifornien in das Silicon Valley verlegt hat. Bisher funktioniert dieses Verfahren mit rund 200 Anbietern direkt. Darunter Google, Amazon und Microsoft, die ebenfalls an der Entwicklung des offenen Standards, dem sogenannten Web Authn, mitgearbeitet haben.
"Einmal hat sich ein Journalist bei uns dafür bedankt, dass wir sein Leben gerettet haben."
Wer beispielsweise seine Bank nicht in der Liste der Anbieter findet, kann trotzdem von der Technologie profitieren. Denn viele Passwortmanager unterstützen den Service. So lässt sich schon heute jeder Online-Banking-Account indirekt schützen. "Das Besondere ist, wenn ich den Token einmal registriert habe, kann ich ihn beiseitelegen", so Ehrensvärd. Wenn der Anwender es in den Einstellungen nicht anders definiert, funktioniert die Verschlüsselung bei jeder Anmeldung für die Dauer von drei Monaten, ohne den Token erneut einzustecken. Es sei denn, der Anwender wechselt den Computer oder das Handy. Vor Diebstahl schützt diese bequeme Art der Anwendung dann natürlich nicht mehr. Wer ganz sicher gehen will, bewahrt Token und Endgerät stets getrennt voneinander auf und ändert die Einstellung auf ständige Verifizierung. Ein Nachteil: der Verbraucher müsste den Token dann ständig mit sich herumtragen.
Naheliegend also, dass viele Nutzer lieber auf das zurückgreifen würden, was sie sowieso schon bei sich tragen: ihre biometrischen Daten. Doch Verfahren wie die Identifikation via Iris-Scan oder Fingerabdruck bleiben angreifbar für Man-in-the-Middle und Phishing-Attacken, die immerhin zu den häufigsten Angriffsmethoden von Cyber-Kriminellen zählen. "Jede Software, jedes Netzwerk, ja alles, was mit dem Internet verbunden ist, ist angreifbar für Hacker", sagt Stina Ehrensvärd. "Aber, wenn man das wichtigste Teilstück, den Ort des Log-ins entfernt, haben sie keine Angriffsfläche mehr."
Die Zukunft der sicheren Authentifizierung sieht die Geschäftsführerin in einer Kombination aus biometrischen Daten und Web Authn. Darüber hinaus arbeite Yubico bereits daran, die Technologie im "Internet der Dinge" zu etablieren. Für eine globale Infrastruktur, die es ermöglicht, physische und virtuelle Gegenstände miteinander zu vernetzen, wie es zum Beispiel bei vielen Anwendungen in einem "Smart-Home" der Fall ist. Server, Maschinen und Geräte sollen in Zukunft dann auch mit Web Authn ausgestattet sein.
Inzwischen kooperiert die Tech-Firma auch mit der Stiftung Freedom of the press und der Menschenrechtsorganisation Oslo-Foundation. "Als ich mit Yubico anfing, habe ich gesagt, ich will, dass das Internet sicher ist", sagt Stina Ehrensvärd. "Doch ich bin mir auch darüber bewusst, dass wir nie sicher sein werden, wenn Meinungs- und Pressefreiheit nicht gewährleistet werden."
Für die 52-Jährige sei es das ultimative Ziel, dass sich jeder Mensch frei ausdrücken kann. Personen wie Journalisten und Aktivisten benötigen aus ihrer Sicht daher einen besonderen Schutz. "Einmal hat sich ein Menschenrechtsaktivist und Journalist bei uns dafür bedankt, dass wir sein Leben gerettet haben", erzählt Ehrensvärd. Von solchen Geschichten habe sie viele. Zu ihrer persönlichen Definition von Sicherheit hat die Gründerin nur Folgendes zu sagen: "Am Ende des Tages will man nur, dass sie da ist."