Kommunikationsmittel wie Telefone und Computer öffnen Schleusen – nicht nur für die gewünschten Informationen, sondern auch für externe digitale Eingriffe. Bedrohlich wird es, wenn es Fremden gelingt, Einfluss auf unser Leben und Wirken zu nehmen, im privaten wie im Geschäftsumfeld. Statistiken des BKA wiesen 2010 eine Zunahme der Cyberkriminalität um 77 Prozent innerhalb eines Jahres aus.
Die klassische Methode der Nutzererkennung ist das Passwort. Aber ist es noch zeitgemäß? Täglich erreichen uns Meldungen über Datendiebstahl und Betrugsfälle, in denen mangelhafte Authentifizierung eine Rolle spielt: Nutzerdaten werden ausgespäht und gelangen über soziale Netzwerke oder durch leichtfertige Handhabung in fremde Hände. Vergeblich die Bemühungen der Geschäftsleitung, Passwortrichtlinien umzusetzen: Hier stößt das Management an die Grenzen seines Einflusses. Sanktionen verpuffen, weil oft gar nicht ermittelt werden kann, wer Urheber eines Schadens ist – wenn er denn überhaupt entdeckt wird.
Benutzerauthentifizierung darf nie als singuläre Funktion betrachtet werden, sie muss sich durch den gesamten Workflow im Unternehmen ziehen. Als wesentlicher Baustein gesetzeskonformen Managements bewahrt sie Unternehmen vor Schäden und Regressforderungen. Sie regelt wichtige Prozesse und hilft im Idealfall sogar, beträchtliche wirtschaftliche Vorteile zu generieren durch mehr Sicherheit, geringeren Aufwand und eine Unternehmenskultur des Vertrauens und der Integrität. Kunden werden kritischer. Sie ist ein Differenzierungsmerkmal bei immer vergleichbareren Produkten und hartem Wettbewerb.
Welche Methode für
welchen Zweck?
Neben dem wissensbasierten Codewort finden immer mehr besitzgestützte Verfahren wie Smartcard oder Token Anwendung. Auf dem Vormarsch sind aber insbesondere Biometrien.
Besitzgebundene Verfahren steigern die Sicherheit erheblich. Die Handhabung ist vergleichs-weise komfortabel, abgesehen von der im Vorfeld und bei Verlust notwendigen Logistik und dem Installations- und Verwaltungsaufwand. Nachteilig ist auch, dass bei Verlust kein Datenzugang möglich ist. Man bräuchte also einen Schlüssel, den man immer bei sich hat: Auf Reisen, an mobilen Arbeitsplätzen und im Internet persönlich zuzuordnen und komfortabel in der Handhabung.
Ein Verfahren, das Geheimdienste bereits im 19. Jahrhundert nutzten, ist die Tippbiometrie. Damals stellte man fest, dass das Morseverhalten so unterschiedlich ist, dass man daran eigene und feindliche Agenten unterscheiden konnte –
die Vorteile einer Biometrie (Personenbindung) also, kombiniert mit denen des Passwortes (Unabhängigkeit) ohne deren Nachteile. Ein deutsches Softwareunternehmen hat die Methode in den 90er Jahren aufgegriffen und zur idealen Authentifizierung im Internet entwickelt. Sie ist die Alternative zum Passwort, funktioniert mit jeder handelsüblichen Tastatur und bietet hohe Sicherheit.
Vertraulichkeit gewährleisten
Bei der Tippbiometrie authentisiert sich zum Beispiel der Initiator vor dem Zahlungsprozess mit dem Abtippen eines kurzen Festtextes, den der Bildschirm anzeigt. Sie gewährleistet dabei auch Vertraulichkeit bei Interna unter Vorstandskollegen, denn: Das eigene Tippverhalten ist einzigartig wie die Handschrift.
Erhöhte Sicherheit ist meist mit Beschränkung der Freiheit verbunden. Bei vielen sicheren Methoden ist der Aufwand - im Vorfeld und bei der Nutzererkennung selbst – unverhältnismäßig hoch. Ein weiterer Knackpunkt ist der Datenschutz: Die meisten Biometrien halten den Datenschutzrichtlinien nicht stand (§ 3 Abs. 9 BDSG). Darunter leidet die Akzeptanz dieser Systeme. Einen Ausweg aus dem Dilemma verspricht die Tippbiometrie. Das Tippen auf der Tastatur ist ein natürliches Verhalten, völlig unkompliziert und stets einsatzbereit. Funktionalität und Datensicherheit sowie Datenschutz des „Psylock Authentication Servers“ wurden nach ISO 25051 geprüft und vom TÜV Süd zertifiziert. Hier wird nur gespeichert, wie der Nutzer tippt. So sind keine Rückschlüsse auf Alter, Geschlecht, ethnische Herkunft oder Gesundheit möglich. Die Tippbiometrie erfüllt somit alle aufgeführten Kriterien und bietet eine ideale Authentifizierung auch im Internet.