E-Mail-Abruf, Zugang zu Bank- und Kundenkonten, zum Firmennetzwerk und immer öfter zur virtuellen Festplatte im Internet – unsere Welt ist voller Passwörter. Bestenfalls voller verschiedener! Denn wer immer das gleiche benutzt, handelt grob fahrlässig. Wer hingegen verschiedene verwendet (und diese auch noch häufig wechselt), steht schnell vor verschlossenen Accounts. Zettel oder USB-Sticks, auf denen Passwörter, PINs und TANs notiert sind, gehen verloren, um den Fingerabdruck oder gar die Iris auszulesen, ist Hardware erforderlich, die gerade dann nicht zur Hand ist, wenn man sie am nötigsten braucht: weit weg von zu Hause auf Dienstreise oder im Urlaub.

Doch es gibt einen Schlüssel für die virtuelle Welt, den man nicht vergessen kann. Er ist unverwechselbar, man hat ihn immer dabei, er kann weder ausgespäht noch gestohlen werden: der persönliche Rhythmus, mit dem jeder Mensch die Computertastatur bedient. Das eigene Tippverhalten als Passwortersatz?

Das habe ihm zunächst niemand geglaubt, sagt Edmund Weber vom Rechenzentrum der Universität Regensburg. Inzwischen ist das System der Regensburger Firma Psylock seit mehr als drei Jahren im Einsatz. "Und es gab noch nie ein Problem", sagt Weber. Die Uni nutzt es, um vergessene Passwörter schnell zu ersetzen. Früher waren dafür lange Telefonate oder ein persönlicher Besuch im Rechenzentrum nötig, jetzt reicht das Eintippen eines einzigen Satzes im Internet.

Für weitere Artikel der Serie klicken Sie auf das Bild

Auf der Psylock-Website kann das jeder ausprobieren. Neunmal muss man einen Satz mit sieben Wörtern abschreiben, damit das System ausreichend Informationen sammeln kann. Millisekundengenau erkennt die Software, wann eine Taste gedrückt und wieder gelöst wird, in welchem Tempo die Buchstaben getroffen werden, ob man die linke oder rechte Großstelltaste nutzt. Tippfehler sind dabei kein Problem, auch sie gehören zur individuellen Signatur.

Der Satz, den man abschreibt, ist hingegen kollektives Gut. Jeder darf ihn sehen, es geht nicht darum, was man tippt. Wie man tippt, das kann ohnehin niemand nachmachen. Auch das heimliche Mitschneiden mit einem Keylogger-Programm (wie bösartige Trojaner es beinhalten) nützt nichts. Denn hundertprozentig übereinstimmende Eingaben erkennt das System und verweigert den Zugang. Deshalb kann es selbst in suspekten Internetcafés sicher genutzt werden.

Die Systeme einiger amerikanischer Anbieter erkennen das Tippverhalten sogar kontinuierlich und kappen die Verbindung, wenn es nicht mehr mit dem hinterlegten Profil des angemeldeten Nutzers übereinstimmt. Ab- und Wiederanmeldung für jede Zigarettenpause kann man sich dann sparen.

 

Im Unterschied zu Username und Passwort kann das Tippverhalten nicht einmal freiwillig weitergegeben werden. Apraxa, eine Genossenschaft von über 2000 Anwälten, nutzt Psylock, um sicherzustellen, dass ihre teure juristische Datenbank wirklich nur von zahlenden Mitgliedern und nicht auch von deren Freunden und Verwandten aufgerufen wird. Beim Download von Musik und Filmen oder bei der Nutzung kostenpflichtiger E-Learning-Angebote wäre eine eindeutige Identifizierung berechtigter Nutzer ebenso interessant.

"Am Anfang war der Widerstand extrem hoch", erinnert sich die Apraxa-Prokuristin Christel Pfeil. Doch selbst die kritischen Juristen überzeugte die Zuverlässigkeit des Systems schnell.Es lernt sogar mit. Wenn ein Erstsemester im Verlauf des Studiums immer schneller tippt oder die Finger eines alternden Anwalts unter Rheuma zu leiden beginnen, erkennt die schlaue Software die schleichende Veränderung und stellt sich darauf ein. Selbst ein Wechsel des Computers oder der Tastatur macht kein Problem.

Anders sieht es allerdings bei einem gebrochenen Finger aus – oder beim Umstieg von zwei auf zehn Finger. Auch auf den winzigen Knöpfen eines Handys oder mit der ungewohnten Buchstabenanordnung auf einer französischen oder spanischen Tastatur lässt sich das gewohnte Tippverhalten nicht mehr reproduzieren. Und wer beim Sektempfang im Büro zu tief ins Glas blickt, scheitert anschließend womöglich am eigenen Login. Wahrscheinlich ist das dann aber auch besser so.