Seelenruhig schaut Natia Golan zu, wie der Hacker seinen Raub vorbereitet. Er hat die Kontrolle über das Online-Konto einer ahnungslosen britischen Bankkundin übernommen, als diese gerade Geld überweist. Kaum ist sie fertig, greift er aus der Ferne zu. Er tippt ihr Passwort in die Maske und gibt vor, am Computer der Kundin in Großbritannien zu sitzen. Das Passwort stimmt. Auch die Summe von etwas mehr als einer Million Pfund, die er gerade überweisen will, ist nicht unüblich für die überdurchschnittlich wohlhabenden Kunden. Und doch: Ein Detail stört das Bild.

Es sind die kleinen Bögen, in denen der Hacker den Mauszeiger über den Bildschirm bewegt. Wenn er von einer Stelle des Überweisungsformulars zur nächsten wechselt, um in ein Feld die Summe und ins nächste Feld die Kontonummer einzugeben, stockt der Zeiger mehrfach kurz. "Er nutzt das Touchpad", sagt Natia Golan bei der Demonstration des Falls. Sie ist bei der Arbeit nicht nur auf ihren Scharfsinn angewiesen. Eine Software hilft ihr. Kleine rote Kringel markieren das ungewöhnliche Bewegungsmuster des Hackers auf Golans Bildschirm. Zum Vergleich werden in Blau die typischen Bewegungen des Opfers eingeblendet.

"Den haben wir geschnappt", triumphiert Golan. Automatisch wurde der Hacker ausgeloggt und der Diebstahl von mehr als einer Million Pfund vereitelt – "und das so einfach!" Golans Begeisterung gehört zu ihrem Job, sie ist Direktorin für das Produktmanagement des israelischen Start-ups BioCatch. Auch wichtig ist Diskretion, denn bei welcher Bank die beinahe betrogene Kundin ihr Konto hat, wird nicht verraten. Eigentlich zeigt Golan solche Beispiele auch nur interessierten Neukunden: anderen Banken, die mit der gleichen Methode Hacker abweisen wollen. Für die ZEIT machte sie eine Ausnahme mit der Auflage, das Beispiel zu anonymisieren. Hier wird eine Technik entwickelt, die fürs Verborgene gedacht ist.

Selbst die Kundin weiß nicht, dass ihr Konto Ziel einer Attacke war. Und auch nicht, dass ihre Bank ein Unternehmen aus Israel dafür bezahlt, ein Profil von ihr anzulegen. Darin steht, wie lang ihr Unterarm ist und wie beweglich ihre Hand, ob sie einen leichten Tremor hat, wie dick ihr Daumen und wie groß ihr Smartphone ist, mit dem sie ebenfalls die Website ihrer Bank besucht, ob sie eher geschickt bei der Handhabung des Telefons mit einer Hand ist, ob sie Linkshänderin ist, wie stark die Muskeln ihres Unterarmes sind und wie schnell ihr Gehirn auf unerwartete Herausforderungen reagiert. "All das berechnen wir aus den Bewegungen und Aktivitäten", erklärt Golan. Mit anderen Worten: Allein durch den Besuch der Online-Banking-Website erzeugte die Kundin die Daten für ein Profil, von dem sie nichts ahnt. Ein Profil, das sie mit sehr hoher Wahrscheinlichkeit von jedem anderen Menschen auf der Welt unterscheidet.

Die Firma BioCatch ist der Pionier einer neuen Technik. Sie soll jeden erwischen, der nicht ist, wer er zu sein vorgibt – und zwar anhand individueller Eigenschaften des Körpers und des Verhaltens. Einerseits verspricht das ein ultimatives Verfahren. Andererseits wirft es gehörige Datenschutzbedenken auf ...

600 Faktoren haben die israelischen Entwickler laut eigener Aussage identifiziert, die sich aus der Ferne daraus berechnen lassen, wie ein Mensch eine Online-Banking-Website bedient. "20 bis 30 davon definieren eine Person, eindeutig und einzigartig", sagt Avi Turgeman, ein schmaler Mann mit breitbügeliger Brille und kurzen Bartstoppeln. Der Physiker sieht aus wie viele junge Kreative hier in Tel Aviv. Er hat BioCatch gegründet – und geht mit den Datenschutzbedenken entspannt um. Die britische Kundin ist für ihn einfach eine unverwechselbare Nummer. Eine von 40 Millionen aktiven Online-Bankkunden aus aller Welt, die seine Firma stets im Auge hat, sobald sie sich bei ihrer Bank einloggen. Für Turgeman ist der Erfolg seiner Firma naheliegend: "Die einzige wirksame Lösung gegen Angriffe im Netz ist, wenn man die Kunden ununterbrochen authentifiziert."

"Der Nutzer merkt das gar nicht, aber sein Gehirn reagiert automatisch darauf"

Authentifizierung geschieht heute meist durch Passwörter. Doch alle guten Passwörter haben eines gemeinsam: Nutzer können sie sich nicht merken. Schon gar nicht für jeden Dienst ein eigenes. Darum nutzen die meisten einfache Passwörter für alle ihre Log-ins. Diese zu stehlen, das ist die einfachste Übung für Hacker. "Ein Passwort schützt dein Konto vielleicht vor deiner Familie", sagt Turgeman, "aber nicht vor professionellen Angreifern." Er sitzt in der Küche der Firmenzentrale, auf dem Tisch stehen Müslispender mit allen möglichen Sorten. Am Kühlschrank hängt, ebenso wie auf dem Weg zur Toilette, ein Zettel mit der Frage: "Hast du daran gedacht, deinen Bildschirm zu sperren?" Misstrauen als Firmen-DNA.

Geheimnistuerei ist essenziell

Ununterbrochen lerne die BioCatch-Software, erklärt der Gründer. Immer wenn der Nutzer online ist, analysiert sie dessen Bewegungen und Interaktionen. Schaut er zuerst auf den Kontostand, oder tätigt er zuerst eine Überweisung? Ist sein rechter Daumen in der Bewegung eingeschränkt? "Nach etwa 20 Minuten Lernen können wir ein recht akkurates Profil bilden", sagt Turgeman. Bei der nächsten Anmeldung genügen 40 Sekunden Aktivität, um gegebenenfalls misstrauisch zu werden – und zu unterscheiden, ob es sich um den Kontoinhaber oder einen Angreifer handelt.

Die Software ist nicht perfekt: Eine höhere Abweiserate von Dieben korreliert mit mehr unterbrochenen Transaktionen, die echte Nutzer tätigen. Wie streng die Software sein soll, entscheidet jede Bank selbst. Manche akzeptieren eine höhere Rate von falsch abgewiesenen Kunden und damit eine höhere Sicherheit. Andere wollen möglichst viel Komfort für die Nutzer und nehmen dafür in Kauf, dass der ein oder andere Dieb sein Werk vollendet. Turgeman zeigt auf ein Poster an der Wand, auf dem er den Zusammenhang in mehreren Grafiken dargestellt hat, wirkt dabei eher wie ein Wissenschaftler als ein Verkäufer. Er zeigt auf den Punkt, an dem sich die zwei Linien eines Graphen treffen: "Das ist eine typische Kombination." 91 Prozent aller Angreifer würden entdeckt, während ein halbes Prozent aller legitimen Bankkunden fälschlich abgewiesen werde, "damit können die meisten Banken leben".

Hinter solchen Prozentwerten steht eine große Menge echter Menschen. Mit der Royal Bank of Scotland zählt die drittgrößte Bank Europas zu BioCatchs Kunden – sie ist die einzige Bank, die den Israelis gestattet, mit ihrem Namen zu werben. Außerdem sollen angeblich unter anderem die größten Geldhäuser Spaniens, Italiens, Brasiliens und Nordamerikas Kunden sein. Der BioCatch-Chef schätzt, dass seine Software Tausende Diebstahlversuche vereitelt, jede Woche.

Geheimnistuerei ist essenziell für BioCatch. Doch von seinem liebsten Trick erzählt der Firmengründer gerne, er hat ihn sich patentieren lassen. Turgeman, der sonst zurückhaltend spricht, grinst stolz, als er die "unsichtbare Herausforderung" präsentiert: Dabei lässt die Software den Mauszeiger kurz verschwinden oder verzögert minimal die Zeit, in der ein Buchstabe nach einer Eingabe auf dem Bildschirm erscheint. "Der Nutzer merkt das gar nicht, aber sein Gehirn reagiert automatisch darauf" – und diese Reaktion ist höchst individuell, wenn man sie nur genau misst.

"Ich weiß, wie Terroristen und Angreifer denken", sagt Turgeman. Was nach Prahlerei klingt, hat einen ernsten Hintergrund. Vor seiner Start-up-Karriere jagte er in der Eliteeinheit 8200 des israelischen Geheimdienstes sechs Jahre lang Hacker. In der Truppe zur Abwehr digitaler Spionage hat Turgeman offenbar viel gelernt: Nachdem er seinen Dienst quittiert hatte, entwickelte er eine Technologie, die Gespräche aus lauten Umgebungen herausfiltern und abhören kann, danach eine App zum mobilen Bezahlen. Als er bei dieser die ersten Betrugsversuche beobachtete, kam ihm die Idee für BioCatch. "Ich wusste, wie man Angreifer online verfolgt und identifiziert."

Jene Einheit beim Militärnachrichtendienst Aman ist der Grund, weshalb Israel zu einem Hotspot für Cybersicherheit geworden ist. Es gibt nämlich viele wie Avi Turgeman. So hat auch Trusteer, ein israelisches Start-up mit Computerspionage-Hintergrund, das 2013 von IBM gekauft wurde, ein System zur Verhaltensauthentifizierung entwickelt ("Trusteer Pinpoint Detect"), das der Konzern vor etwa einem halben Jahr der Öffentlichkeit vorstellte. IBM Trusteer setzt auf weniger Faktoren zur Erkennung und hat keine "unsichtbaren Herausforderungen". Dafür forsche man weiter an ausgefeilten Algorithmen, sagt Yaron Wolfsthal, der Leiter des IBM Cyber Security Center of Excellence in der Wüste Negev.

In Deutschland wird die staatliche Cyberspionageabwehr noch aufgebaut, und auch die isrealische Skrupellosigkeit beim Thema Privatsphäre ist weniger verbreitet. So gibt es hierzulande zwar auch Ansätze entsprechender Forschung, bis heute münden sie aber kaum in Produkten. Ein typisches Beispiel: Schon vor mehr als fünf Jahren tüftelten Wissenschaftler an der Münchner Ludwig-Maximilians-Universität (LMU) an einem Smartphone, das anhand der Daten seiner Sensoren und der Eingaben in alle Apps erkennen sollte, ob es sich in den Händen eines Diebes befindet, um sich dann selbst zu sperren. Ein Schulterzucken erntet, wer die Beteiligten heute fragt, was daraus geworden ist. Nichts.

"Sicherheit ist ein ungelöstes Problem"

Wobei es nicht am Bedarf mangelt. "Sicherheit ist nach wie vor ein ungelöstes Problem, weil viele Nutzer sie aushebeln", sagt Florian Alt von der LMU. Nutzer verwenden trotz aller Ratschläge einfache Passwörter, weil alles andere unbequem ist. Der Vorteil der Verhaltensbiometrie: Der Nutzer braucht sich nicht zu identifizieren, er wird identifiziert. Dabei helfen die vielen Sensoren, die uns heute unter anderem dank Smartphones umgeben. "Wir können heute extrem gut beobachten, was Leute tun", sagt Alt. "Denkbar sind Anwendungen etwa bis hin zu einem Türknauf, der in Zukunft den Hausbesitzer an der Art erkennen kann, wie er auf das Haus zugeht, und daran, wie fest er die Klinke herunterdrückt." Die Tür würde sich dann nur für den Richtigen öffnen, der Schlüssel wäre passé. Noch stecken solche Technologien in den Kinderschuhen, unter anderem die automatische Bilderkennung, die dafür notwendig wäre, ist noch zu schlecht. So war es lange auch bei der Verhaltensbiometrie: Schon seit mehr als zehn Jahren versuchen Forscher, Muster darin zu finden, in welchem Rhythmus ein Nutzer beispielsweise die Tasten seines Computers drückt, um ihn eindeutig zu erkennen. Die Genauigkeit solcher Systeme war für den Praxiseinsatz immer viel zu niedrig. Wie treffsicher die BioCatch-Software tatsächlich ist, kann allerdings auch niemand überprüfen: Unabhängige Forscher erhalten keinen Einblick. Aber es gibt Indizien, die dafürsprechen, dass sie recht gut funktioniert. Turgemans Vorteil sind die vielen Sensoren des Smartphones, bei dessen Input sich die Algorithmen bedienen können. Die Kronzeugen für den Erfolg seiner Technologie sind seine Kunden, die großen Banken.

Florian Alts Team an der LMU gehört zu den stärksten universitären Gruppen in Deutschland, die versuchen, Bedienbarkeit und Sicherheit unter einen Hut zu bringen. Alt betont: "Ein Teil der Forschung besteht auch darin, die Akzeptanz der Nutzer zu ermitteln." Er will wissen, wie viel Privatsphäre sie für mehr Komfort aufzugeben bereit wären.

Den Unterschied in den Sicherheitskulturen erlebt Avi Turgeman gerade bei den Verhandlungen mit einer deutschen Bank: "Die haben Sorgen, weil unser Service in der Cloud liegt" – und nicht auf dem eigenen Server. "Das lässt sich aber ändern." Vielleicht haben diese Banken aber auch Angst vor der Reaktion ihrer Kunden. Wollen die, dass ein ehemaliger Geheimdienstler ihre Armlänge und ihre kognitiven Fähigkeiten berechnen und daraus einen untrüglichen digitalen Fingerabdruck erstellen kann? Sowohl Avi Turgeman von BioCatch als auch Nir Stern von Trusteer betonen, dass sie keine privaten Informationen der Bankkunden hätten, zumindest nicht deren Namen. Deshalb benötigten sie auch deren Einverständnis nicht, es handle sich ja nicht um persönliche Daten.

"Wir müssen den Hackern immer einen Schritt voraus sein"

"Es ist verlogen, zu behaupten, das seien keine persönlichen Daten", sagt Angela Sasse, Professorin für nutzerzentrierte Sicherheit am University College London. "Aus Sicht der Informatik wissen wir, dass große Datensätze Anonymität aufheben können." Wer genug Informationen habe, der könne auf das Individuum schließen. Zudem wecke eine Technologie, die Menschen ohne deren Wissen und Zutun eindeutig im Internet identifiziere, leicht Begehrlichkeiten, warnt Sasse. "Für zielgerichtete Werbung ist das ein Thema." Die Informatikerin hat schon oft beobachtet, dass Unternehmen ihre Systeme mit scheinbar harmlosen Anwendungsfällen aufgebaut und trainiert haben, um diese danach für viel Geld der Werbeindustrie anzubieten. "Solche Technologien werden durch die Hintertür eingeführt, ohne die gesellschaftlichen Kosten zu berücksichtigen."

Der Sicherheitsexperte Amir Herzberg von der Bar-Ilan-Universität in Tel Aviv kennt die Szene genau und hat sich mit allen möglichen Methoden beschäftigt, um Menschen im Internet zu identifizieren. Allen Beteuerungen über die Sicherheit der verhaltensbiometrischen Profile zum Trotz – Herzberg sagt, er habe zu viele Sicherheitslücken gesehen, um daran glauben zu können. Und würden sie doch einmal missbraucht, wiege das besonders schwer. Herzberg warnt: "Im Gegensatz zu einem Passwort kann ein normaler Bürger seine biometrischen Daten nicht ändern."

IBM-Forscher Yaron Wolfsthal ist von solchen Vorbehalten sichtlich genervt. "Wann hören wir endlich auf, uns Sorgen zu machen?", fragt er. Computersicherheit sei ein Katz-und-Maus-Spiel: "Wir müssen den Hackern immer einen Schritt voraus sein. Wir profitieren mehr von dieser Technologie, als sie uns kostet." Das allerdings kann man anders sehen. Man könnte auch fragen: Wie viel ist uns unsere Freiheit wert? Wenn uns die Sicherheit die persönliche Freiheit kostet, ist sie teuer erkauft. Doch vielen wurde diese Entscheidung schon abgenommen. Allein Turgemans Algorithmen überwachen zwei Milliarden Transaktionen pro Monat. Während der etwa zehn Minuten, in denen Sie diesen Artikel gelesen haben, hat BioCatch knapp eine halbe Million Vorgänge beobachtet, ausgewertet und daraus gelernt. Ohne dass die betroffenen Kunden das ahnen – und ohne dass sie gefragt wurden.

Diesen Artikel finden Sie als Audiodatei im Premiumbereich unter www.zeit.de/audio