Seelenruhig schaut Natia Golan zu, wie der Hacker seinen Raub vorbereitet. Er hat die Kontrolle über das Online-Konto einer ahnungslosen britischen Bankkundin übernommen, als diese gerade Geld überweist. Kaum ist sie fertig, greift er aus der Ferne zu. Er tippt ihr Passwort in die Maske und gibt vor, am Computer der Kundin in Großbritannien zu sitzen. Das Passwort stimmt. Auch die Summe von etwas mehr als einer Million Pfund, die er gerade überweisen will, ist nicht unüblich für die überdurchschnittlich wohlhabenden Kunden. Und doch: Ein Detail stört das Bild.

Es sind die kleinen Bögen, in denen der Hacker den Mauszeiger über den Bildschirm bewegt. Wenn er von einer Stelle des Überweisungsformulars zur nächsten wechselt, um in ein Feld die Summe und ins nächste Feld die Kontonummer einzugeben, stockt der Zeiger mehrfach kurz. "Er nutzt das Touchpad", sagt Natia Golan bei der Demonstration des Falls. Sie ist bei der Arbeit nicht nur auf ihren Scharfsinn angewiesen. Eine Software hilft ihr. Kleine rote Kringel markieren das ungewöhnliche Bewegungsmuster des Hackers auf Golans Bildschirm. Zum Vergleich werden in Blau die typischen Bewegungen des Opfers eingeblendet.

"Den haben wir geschnappt", triumphiert Golan. Automatisch wurde der Hacker ausgeloggt und der Diebstahl von mehr als einer Million Pfund vereitelt – "und das so einfach!" Golans Begeisterung gehört zu ihrem Job, sie ist Direktorin für das Produktmanagement des israelischen Start-ups BioCatch. Auch wichtig ist Diskretion, denn bei welcher Bank die beinahe betrogene Kundin ihr Konto hat, wird nicht verraten. Eigentlich zeigt Golan solche Beispiele auch nur interessierten Neukunden: anderen Banken, die mit der gleichen Methode Hacker abweisen wollen. Für die ZEIT machte sie eine Ausnahme mit der Auflage, das Beispiel zu anonymisieren. Hier wird eine Technik entwickelt, die fürs Verborgene gedacht ist.

Selbst die Kundin weiß nicht, dass ihr Konto Ziel einer Attacke war. Und auch nicht, dass ihre Bank ein Unternehmen aus Israel dafür bezahlt, ein Profil von ihr anzulegen. Darin steht, wie lang ihr Unterarm ist und wie beweglich ihre Hand, ob sie einen leichten Tremor hat, wie dick ihr Daumen und wie groß ihr Smartphone ist, mit dem sie ebenfalls die Website ihrer Bank besucht, ob sie eher geschickt bei der Handhabung des Telefons mit einer Hand ist, ob sie Linkshänderin ist, wie stark die Muskeln ihres Unterarmes sind und wie schnell ihr Gehirn auf unerwartete Herausforderungen reagiert. "All das berechnen wir aus den Bewegungen und Aktivitäten", erklärt Golan. Mit anderen Worten: Allein durch den Besuch der Online-Banking-Website erzeugte die Kundin die Daten für ein Profil, von dem sie nichts ahnt. Ein Profil, das sie mit sehr hoher Wahrscheinlichkeit von jedem anderen Menschen auf der Welt unterscheidet.

Die Firma BioCatch ist der Pionier einer neuen Technik. Sie soll jeden erwischen, der nicht ist, wer er zu sein vorgibt – und zwar anhand individueller Eigenschaften des Körpers und des Verhaltens. Einerseits verspricht das ein ultimatives Verfahren. Andererseits wirft es gehörige Datenschutzbedenken auf ...

600 Faktoren haben die israelischen Entwickler laut eigener Aussage identifiziert, die sich aus der Ferne daraus berechnen lassen, wie ein Mensch eine Online-Banking-Website bedient. "20 bis 30 davon definieren eine Person, eindeutig und einzigartig", sagt Avi Turgeman, ein schmaler Mann mit breitbügeliger Brille und kurzen Bartstoppeln. Der Physiker sieht aus wie viele junge Kreative hier in Tel Aviv. Er hat BioCatch gegründet – und geht mit den Datenschutzbedenken entspannt um. Die britische Kundin ist für ihn einfach eine unverwechselbare Nummer. Eine von 40 Millionen aktiven Online-Bankkunden aus aller Welt, die seine Firma stets im Auge hat, sobald sie sich bei ihrer Bank einloggen. Für Turgeman ist der Erfolg seiner Firma naheliegend: "Die einzige wirksame Lösung gegen Angriffe im Netz ist, wenn man die Kunden ununterbrochen authentifiziert."

"Der Nutzer merkt das gar nicht, aber sein Gehirn reagiert automatisch darauf"

Authentifizierung geschieht heute meist durch Passwörter. Doch alle guten Passwörter haben eines gemeinsam: Nutzer können sie sich nicht merken. Schon gar nicht für jeden Dienst ein eigenes. Darum nutzen die meisten einfache Passwörter für alle ihre Log-ins. Diese zu stehlen, das ist die einfachste Übung für Hacker. "Ein Passwort schützt dein Konto vielleicht vor deiner Familie", sagt Turgeman, "aber nicht vor professionellen Angreifern." Er sitzt in der Küche der Firmenzentrale, auf dem Tisch stehen Müslispender mit allen möglichen Sorten. Am Kühlschrank hängt, ebenso wie auf dem Weg zur Toilette, ein Zettel mit der Frage: "Hast du daran gedacht, deinen Bildschirm zu sperren?" Misstrauen als Firmen-DNA.