Kommentar: Identitätssicherheit im Netz auf ewig eine Sisyphos-Arbeit?

(Bild: Shutterstock.com)

Hacks. Massenhacks. Immer wieder tut sich eine Lücke auf, immer wieder dringt jemand ein. Passwörter scheinen Kriminelle und andere Widersacher in etwa so sehr aufzuhalten wie eine Flasche Mineralwasser. Neue Lösungen provozieren jedoch auch neue Anforderungen und ebenso neue Kontrahenten. Kann es überhaupt eine sichere Passwort-Alternative geben?

„1,2 Milliarden Passwörter im Speicher russischer Hacker„, „Yahoo setzt Nutzerpasswörter nach Hack zurück“ oder „Ebay-Hack zwingt Nutzer zum Ändern ihrer Passwörter“. Kleine und große Hacks bestimmen regelmäßig die Schlagzeilen, so auch 2014, als neben den genannten Attacken vor allem Heartbleed, der Fehler in OpenSSL, zum Passwortwechsel auf vielen Dutzend Webseiten wie Facebook, Instagram, Google, Yahoo oder Dropbox zwang. Die meisten Hacks sind zielgerichtet, nehmen eine Behörde oder, wie zuletzt bei Sony, ein Unternehmen ins Visier. Über manche, wie im Falle eines 14-jährigen, der das Standardpasswort eines Bankautomaten ausnutzte, oder den Fauxpas des WM-Sicherheitsteams, das in Brasilien unfreiwillig sein dilettantisches Leetspeak-Passwort in einem Zeitungsbild preisgab, kann man sich dagegen sogar ein wenig amüsieren. Auch wenn es sich bei Letzterem um keinen Hack handelte.

Doch mit dem Spaß ist es dann schnell wieder vorbei. Ist man als Internetnutzer wirklich gezwungen, alle seine 147 Passwörter monatlich zu ändern? In einer zunehmend digitalisierten Gesellschaft sorgen solche Botschaften auch zunehmend für Frust. Klar, den Anbietern von Passwort-Managern und -Verwaltungsprogrammen spielen große Hacks regelrecht in die Karten. Doch alle Passwörter in einer Online-Lösung zu sichern ist aktuell zwar schlau, langfristig allerdings in etwa so nachhaltig safe wie alle Schatzkartenschnipsel auf der gleichen Pirateninsel zu vergraben.

Alte Lösung in neuer Zeit

Es war vor etwa einem halben Jahrhundert, als Fernando Corbató das Computerpasswort erfand. Damals noch war das Passwort eine zeitgemäße Lösung, um an MIT-Rechnern (Massachusetts Institute of Technology) für Schutz vor unbefugtem Zugang zu sorgen. Dass seine Erfindung auch heute noch Bestand hat, freut den ehemaligen Professor jedoch mitnichten. Von einem „Albtraum“ spricht er und glaubt nicht, dass sich irgendjemand noch an alle seine Passwörter erinnern kann. Mit dem World Wide Web hat sich die Anforderung drastisch geändert, das Passwort aber entwickelte sich nicht weitreichend weiter.

So richtig individuell sollte eine neue Sicherheitslösung sein. Ein Merkmal, das die Person eindeutig identifiziert und von daher immer und überall eingesetzt werden kann. Ein Passwort eintippen kann jeder, die Retina oder den Fingerabdruck kopiert man hingegen nicht so leicht. Gerade für Letzteres stellen Smartphones wie das iPhone 6 (Plus) und deren Vorgänger sowie das Samsung Galaxy S5 die technischen Voraussetzungen bereit. Fingerabdruckscanner, die mit dem Synonym für Eindeutigkeit schlechthin umgehen können, werden mitunter als höchste Stufe der Sicherheit empfunden. Zurecht?

Es bröckelt etwas

Ende 2014 wurde selbst diese Vorstellung gesprengt. Dabei war es gerade der Fingerabdruck, der vielen Menschen das Vertrauen in bargeldloses Bezahlen mit dem iPhone schenkte. Eine Innovation, die sich gerade erst durchzusetzen versucht (aber aufgrund anderer neuer und deutlich gefährlicherer krimineller Möglichkeiten Sorgen verursacht). Panik zu verbreiten wäre nun freilich unangebracht, nichtsdestotrotz ist es wichtig, auf die Risiken hinzuweisen.

So zogen Mitglieder des Chaos Computer Clubs den Fingerabdruck der aktuellen Verteidigungsministerin Ursula von der Leyen. Natürlich ist so etwas technisch möglich, doch haben die Computercracks nicht etwa mit Klebestreifen oder Pinsel, Detektivrequisiten lange vergangener Jahrzehnte, an Trinkgläsern der Ministerin hantiert, sondern gemäß ihrer Branche eine digitale Kamera sowie die frei erhältliche Software VeriFinger benutzt. Damit hat man den Daumen von der Leyens auf einer Pressekonferenz fotografiert, mit einer Software dann in den Fingerabdruck überführt. Schon 2008 konnten Krissler und sein Forschungskollege Fiebig (TU Berlin) einen solchen Erfolg mit einem Bild Wolfgang Schäubles vorweisen. Mit etwas mehr Mühe soll das Erstellen des Fingerabdrucks übrigens auch ohne Software funktionieren. Man wolle, so Jan Krissler vom CCC in Hamburg, sogar ein Bild des Fingerabdruckes veröffentlichen.

Das Bild, das Frontkameras oder Fingerabdruckscanner zur Identitätsabfrage einsehen, ist also bei weitem nicht unumgänglich. Eine Gesichtserkennung reagierte zum Beispiel selbst auf das starre Passfoto einer Person positiv, ein Kinderspiel für all jene, die nach irgendetwas suchen. Man zermürbt sich also selbst, schafft neue Technologien, neue Probleme, neue Lösungen und gleichzeitig neue Umwege, diese zu hintergehen. Ein Teufelskreis?

Kameras können im Übrigen nicht nur dem berühmten Fingerabdruck seine Stärke nehmen, sie lesen auf simple Art und Weise sogar den PIN einer EC-Karte aus, selbst Sekunden nachdem er auf der Tastatur eines Kartenlesegeräts eingegeben wurde. Dort, wo die Finger die Tasten berühren, um den PIN der EC-Karte einzugeben, übertragen sie Wärme aufs Ziffernfeld. Mit einer Wärmebildkamera lässt sich, wie Mark Rober bewies, also nachvollziehen, welche PIN die EC-Karte der Person, die beispielsweise vor einem an der Kasse steht, hat. Dass dies so einfach ist, liegt daran, dass Wärmebildkameras heutzutage bei weitem nicht mehr so auffällig sind, wie noch vor einigen Jahren. Mit Smartphone-Hüllen wie der FLIR One fürs iPhone oder der Seek, die auch für Android-Geräte erhältlich ist, zeichnet die rückseitige Kamera des Mobilgeräts Wärmebilder auf. Und damit lässt sich eben auch in ganz neue Sphären des „Sehens“ vordringen.

Klingt erschreckend, lässt sich aber leicht verhindern, indem man beispielsweise die ganze Handfläche aufs Tastenfeld legt. Trotzdem: Die Liste der kompromittierten Technologien ist noch länger. Auch der altbekannte Hausschlüssel gerät in Gefahr, ein Opfer von Möglichkeiten wie Digitalfotografie und 3D-Druck zu werden.

Wie immer macht die neue Alternative vieles leichter. KeyMe substituiert teure Schlüsseldienste, indem sich ein Wohnungs- oder Hausschlüssel nur per Foto, das prophylaktisch bereits zuvor in eine Cloud geladen wird, nachdrucken und an Kiosks abholen lässt. Natürlich haben die Unternehmer hier Sicherheitsvorkehrungen getroffen, doch die sind zu überwinden. Andy Greenberg von Wired hatte, wie wir bereits berichteten, leichtes Spiel, fotografierte mit seinem iPhone den Schlüssel seines Nachbarn und stand eine Stunde später in dessen Wohnung.

Der Service von KeyMe und ähnlichen Anbietern ist zwar noch nicht allzu weit verbreitet, doch das ist unter Umständen nur eine Frage der Zeit. Muss man sich alsbald um seine Sicherheit in den eigenen vier Wänden fürchten, wenn man den Schlüssel für dreißig Sekunden unbeachtet ließ?

Was denn noch?

Selbst die nervtötenden Captchas, die oft beim Erstellen eines Kontos zum Einsatz zu kommen, um sicherzugehen, dass da tatsächlich ein menschliches Wesen am anderen Ende sitzt, kein stupider Computer, der auf Algorithmen zurückgreift, sind verletzlich. Schon 2011 ist es Forschern an der Stanford University gelungen, etwa zwei Drittel der Captcha-Codes von Blizzard und Visa zu knacken, 25 Prozent bei Wikipedia. 2014 knackte dann (zufällig) auch Google den Captcha-Code – mit beeindruckenden 99,8 Prozent Trefferquote. Ganz ehrlich, ich komme selbst wohl kaum über 60 Prozent. Googles neue reCAPTCHA-Lösung soll solch beschämende Ergebnisse zwar wieder besser machen, indem sich die Anforderungen mehr am Menschen und seinen kognitiven Fähigkeiten orientieren, trotzdem ist es nur eine Frage der Zeit, bis auch Maschinen das auf Bilder-Kombinationen basierende System aushebeln.

Welche Alternativen bleiben also, wenn Schlüssel, PIN-Codes, Passwörter, Bilder und selbst Fingerabdrücke nicht von einer Kompromittierung ausgeschlossen sind? Eine Stimmeneingabe? Selbst die lässt sich beispielsweise mit einem Aufnahmegerät und dem richtigen Ort zur richtigen Zeit sehr leicht überwinden. Es gibt zumindest Möglichkeiten zur Verbesserung aktueller Strategien, so die Idee von Lance James, der für Deloitte & Touche tätig ist. Er möchte den Internetnutzer mit einem Pawlow´schen Passwortmanagement, benannt nach dem russischen Physiologen Pawlow, der sich mit der Konditionierung einen Namen machte, zu schwierigen Passwörtern erziehen, indem sie abhängig von der Stärke des Passworts früher oder später zu einer Erneuerung des Kennworts aufgefordert werden. Ein gutes Passwort bedeutet dabei im Übrigen nicht zwingend, das es möglichst lange sein muss. Hinter der Bewertung der Stärke steckt ein ausgeklügeltes System.

Wer bequem ist, verwendet also gleich ein möglichst langes und kompliziertes Kennwort, um es nicht in Bälde wieder ändern zu müssen. Klingt vernünftig. Allerdings hält ein langes Passwort höchstens Brute-Force-Hacker von ihrem Vorgehen ab, die einen Algorithmus auf das Konto loslassen, um schlicht alle Kombinationen zu testen. Eine weitere Alternative, die allerdings nur bei Geräten mit Touchscreen in Frage kommt, wurde an der Georgia Tech entwickelt. Es interpretiert das Berührungsverhalten eines jeweiligen Nutzers und soll anschließend allein anhand der Gesten erkennen, welche Person gerade Eingaben vornimmt. Die Genauigkeit des Systems liegt angeblich zwischen 97 und 98 Prozent, je nach dem ob der Nutzer ein Smartphone oder Tablet verwendet. Ob und wann ein solches System auch als Passwortersatz für Online-Konten verwendet werden kann, ist jedoch völlig unklar.

Die Kombo machts?

Erhöhte Sicherheit bietet derzeit vor allem eine Kombination aus möglichst vielen der oben genannten Sicherheitslösungen. Die Internet-Security-Software von McAfee fragt beim Zugriff auf seinen Cloud-Dienst Personal Locker beispielsweise eine Stimmeneingabe, die Beantwortung einer Sicherheitsfrage, den PIN sowie ein Selfie ab. Klingt felsenfest, ist es aber leider auch nicht. Die Eingabe solcher Informationen beruht zunächst auch auf der Ausrüstung des Geräts, das eine Frontkamera sowie ein Mikrofon benötigt. Am Desktop-PC ist das schließlich keine allseits vorherrschende Ausstattung.

Hinzu kommt freilich die langwierige Prozedur, die eine derartige Eingabe erfordert. Zugunsten der von vielen verwöhnten Nutzern geforderten Bequemlichkeit, ist ein solches System also wohl kaum die Lösung der Probleme. Und selbst wenn: Wie oben bereits geschildert, unterliegt jede Eingabe, ganz gleich wie kryptisch oder individuell, einer nicht zu trennenden Gefahr.

Zahlen, Buchstaben, Bildinformationen oder Töne, die eingegeben werden müssen, können kopiert, erraten oder mittels Malware direkt abgefangen werden. Verbesserte oder gar kombinierte Sicherheitslösungen machen es den Hackern dieser Welt natürlich erst einmal schwerer, doch es steht außer Frage, dass sie mit ihren Aufgaben wachsen und ein von Menschen konzipiertes System auch von Menschen geknackt werden kann.

Klar ist also: Wer online vernetzte Dienstleistungen nutzt, kann sich niemals zu 100 Prozent sicher sein. Und selbst jemand, der nur ein nicht mit der Umwelt kommunizierendes Gerät bedient, kann mithilfe aktueller Technologie in Detektivmanier kompromittiert werden.

Lange Passwörter sind vorerst natürlich die einfachste Lösung, ebenso wie Behutsamkeit und das Ignorieren der Spam-Mails im Posteingang. Auf lange Sicht steht den Code-Künstlern und Bit-Schubsern aber noch eine Menge Arbeit bevor. Ein Grund, eine Paranoia zu entwickeln muss das jedoch nicht sein, schließlich machen allein die Möglichkeiten nicht jeden Menschen zum Kriminellen. Mit großer Wahrscheinlichkeit wird in nächster Zeit also niemand absichtlich deinen Fingerabdruck fotografieren. Die im großen Stile agierenden, also hauptberuflichen Cyberkriminellen werden daher noch einige Zeit versuchen, Datenspeicher mit Kontoinformationen wie Benutzername und Passwort einzusehen. Na ja, auch nicht schön.

Tags :Quellen:Bild: Shutterstock
  1. Was macht man, wenn ein Passwort kompromittiert ist? Man wirft es weg und wählt ein neues.

    Aber was macht man, wenn ein Fingerabdruck oder Retinascan kompromittiert ist?

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising