Jeder Mensch tippt einzigartig.

Passwörter sind nicht nur lästig, sondern häufig auch ein Problem. Vor allem, wenn sie kurz und unsicher sind. Sicherheitsforscher, Web-Entwickler und Unternehmen suchen deshalb nach zusätzlichen Wegen, Menschen im Internet zu authentifizieren. Multifaktor-Logins sind eine Alternative, Fingerabdrücke vor allem für mobile Geräte interessant und der Login auf Basis des Erbguts zurzeit eher ein Gedankenspiel. Es gibt aber noch eine weitere Möglichkeit: Die Art und Weise, wie wir auf der Tastatur tippen.

Behavioral Analysis, Verhaltensanalyse, heißt der Forschungszweig, der längst auch in die IT-Sicherheit Einzug erhalten hat. Sie beschäftigt sich weniger mit dem, was wir auf unserem Computer oder Smartphone tun, sondern mit dem wie – zum Beispiel, wie wir tippen. Jeder Mensch tippt anders, und aus diesen kleinen Unterschieden zwischen der Dauer und Geschwindigkeit eines Tastendrucks lassen sich individuelle Profile erstellen. Bereits 2007 wies der Sicherheitsexperte Bruce Schneier in seinem Blog auf diese "Keystroke Biometrics" hin und schrieb: "Das klingt nach einer guten Idee."

Banken und das US-Militär sind an der Technik interessiert

Aus der Idee ist inzwischen ein Geschäft geworden. Unternehmen wie das in Regensburg ansässige KeyTrac oder BehavioSec aus Schweden bieten den Betreibern von Websites an, mithilfe der Technik die Logins der Kunden zu sichern. Im vergangenen Jahr haben mehrere Banken in Skandinavien die Technik von BehavioSec getestet. Einige von ihnen, wie die dänische Danske Bank, verwenden sie inzwischen für ihr Onlinebanking. Die Kunden bekommen davon in der Regel nichts mit, die Analyse läuft als zweite Ebene neben der Pin- und Passworteingabe ab. Stellt die Software Auffälligkeiten fest, informiert sie die verantwortliche Abteilung der Bank.

In der Testphase will BehavioSec 99 Prozent aller Kunden richtig erkannt haben, auf einer Demo-Seite kann jeder selbst testen, wie gut die Software funktioniert. Zusätzlich zur Tastatur-Analyse arbeitet das Unternehmen noch an anderen Möglichkeiten, das Nutzerverhalten zu analysieren. So soll es nach eigenen Angaben möglich sein, innerhalb von 20 bis 60 Sekunden Smartphone-Nutzer nur dadurch zu identifizieren, wie sie das Gerät halten. Die zahlreichen eingebauten Sensoren machen es möglich. 

Nicht nur Banken sind an der Technik interessiert. BehavioSec kooperiert auch mit der amerikanischen Defense Advanced Research Projects Agency (Darpa). Die Forschungsbehörde des US-Verteidigungsministeriums zählt nach Berichten von Business Insider zu den Geldgebern des schwedischen Unternehmens. Zumindest kooperieren Darpa und BehavioSec in einem Forschungsprojekt namens Active Authentication auf "der Suche nach neuen Wegen, um die Identität von Computernutzern zu bestätigen". Hinter dem Namen BehavioSec steht auf der Darpa-Website: "Sammler von Verhaltensdaten für Microsoft Windows Desktop Computer".

Aus Authentifizierung könnte Identifizierung werden

Kritiker vermuten, dass die Tastatur-Analyse früher oder später nicht nur der Sicherheit der Internetnutzer dienen könnte. Denn wo persönliche Daten gesammelt werden, können diese auch missbraucht werden. Der Sicherheitsforscher Per Thorsheim, der die Konferenz PasswordsCon organisiert, warnt in einem Blogbeitrag vor möglichen Konsequenzen: Nicht nur können Werbetreibende eine weitere Möglichkeit erhalten, potenzielle Kunden für personalisierte Werbung quer durchs Netz zu verfolgen. Auch Behörden können versucht sein, die Technik einzusetzen, um Individuen wiederzuerkennen.

Selbst die Nutzer von Anonymisierungsdiensten wie Tor seien davon nicht ausgeschlossen. Thorsheim beschreibt, wie er mit dem Tor-Browser die Demo-Applikation von BehavioSec besucht hat und dem Dienst mit seinem Tastaturverhalten fütterte. Als er anschließend im normalen Internet mit seinem Chrome-Browser die Seite besuchte, konnte sie ihn richtig identifizieren.

Ein fiktives Szenario: Eine Website im Deep Web, ein Schwarzmarkt beispielsweise, könnte ein Skript im Hintergrund laufen lassen, damit die Tastatureingaben aufnehmen und anschließend mit einer bestehenden Datenbank abgleichen. Je mehr Eingaben die Besucher tätigen, desto genauer wird ihr Profil, bis es schließlich zur Identifizierung reicht – etwa durch Behörden wie Darpa oder das FBI. Dass zumindest letztere Interesse daran haben, Tor-Nutzer zu identifizieren und dabei auch vor fragwürdigen Methoden im Deep Web nicht zurückschrecken, ist spätestens seit dem Ende der Silk Road bekannt.