Verhaltensbasierte Authentifizierung

Herr Klieme, Sie beschäftigen sich mit Behavioural Authentication, also verhaltensbasierter Authentifizierung. Warum braucht es derartige Ansätze?

Werfen wir mal einen Blick auf die klassischen Verfahren: Wenn ich mich für einen Online-Service einloggen möchte, gebe ich meinen Benutzernamen und mein Passwort ein, wenn ich Zutritt zu einem Gebäudeteil will, halte ich mein Token an die Tür. Schon bin ich authentifiziert, habe also dem System gezeigt: Ich bin eine der hinterlegten Personen, die zum Zugang oder Zutritt berechtigt sind. Doch wenn mir jemand mein Passwort oder Token stiehlt, dann kann die Person einfach Zugang zu dem Service oder dem Büro erlangen und mit meiner Identität agieren. Bei Verfahren mit Zwei-Faktor-Authentifizierung kommt noch die Abfrage einer PIN oder meines Fingerabdrucks hinzu. Das ist zwar etwas sicherer – aber noch nicht das Ende der Fahnenstange. Beim sogenannten Shoulder Surfing etwa kann die PIN leicht ausgespäht werden. Und theoretisch können Kriminelle mich zwingen, am Handy meinen Fingerabdruck zur Authentifizierung zu nutzen. Dieses Szenario haben ja schon verschiedene Filme und Serien verarbeitet.

Hier setzt die verhaltensbasierte Authentifizierung an …

Genau. Die Idee dahinter ist, dass ich die ganze Zeit mit dem System interagiere, an dem ich mich authentifizieren möchte: Am PC bewege ich die Maus, tippe auf den Tasten. Mit meinem Smartphone bewege ich mich. Die Annahme: Bei jeder dieser Interaktionen verhält sich der Mensch wahrscheinlich einzigartig – derart unbewusste Verhaltensweisen eins zu eins zu kopieren oder unter Druck zu erzwingen, dürfte sehr schwer werden. Es braucht sicher noch ein paar Studien, um diese Annahme zu stützen. Aber der bisherige Forschungsstand legt zumindest nahe, diese Verhaltensweisen zur Authentifizierung zu nutzen. Ein PC, der den Tipprhythmus kennt, merkt, wenn dieser sich ändert, und kann in diesem Fall die Nutzenden noch einmal nach einer Authentifizierung fragen. Damit wird die verhaltensbasierte Authentifizierung sicher und nutzerfreundlich zugleich: Die Sicherheit steigt, ohne dass sich die nutzende Person von ständigen Eingabe-Aufforderungen nerven lassen muss.

Ist die verhaltensbasierte Authentifizierung also der klassischen Zwei-Faktor-Authentifizierung überlegen?

Im Idealfall wahrscheinlich ja. Jedenfalls spricht man ja auch von Zwei-Faktor-Authentifizierung, wenn als zweiter Faktor ein Transaktionscode dient. Generell glaube ich jedoch, die verhaltensbasierte Authentifizierung wird eher ein weiteres Element in einem Mehrfaktor-Verfahren sein. Gewissermaßen ist das schon gelebte Realität: Wenn ich in Berlin Geld abhebe, meine Karte aber kurze Zeit später plötzlich in Toronto zum Einsatz kommt, wird mich schnell ein Dienstleister meiner Bank anrufen und mir einen Missbrauchsverdacht schildern. Auch dieser Sicherheitsmechanismus ist eine Form von verhaltensbasierter Authentifizierung

Welche Ansätze für verhaltensbasierte Authentifizierung haben Sie in Ihrer Forschung untersucht?

Da wäre zum einen die laufbasierte Behavioural Authentication (BA) mit einem Smartphone. Es existieren hier viele Studien, die sich auf das klassische Laufen konzentrieren, ohne dass das Handy jedoch die Hosentasche verlässt. Neue Ansätze gehen einen Schritt weiter und knüpfen an das viel zitierte Phänomen der Smartphone-Zombies, kurz Smombies, an. Der Gedanke: Das Smartphone erkennt die autorisierte Person auch dann, wenn sie beim Laufen beispielsweise tippt oder Sprachnachrichten aufzeichnet. Zum anderen gibt es die geräuschbasierte BA, bei der Töne während des Tippens auf der Tastatur über das Mikrofon des Laptops oder des Smartphones gesampelt werden. Dieser Ansatz ist mit vielen Herausforderungen verbunden. Erstens legen Betriebssystemhersteller großen Wert darauf, die Tastaturgeräusche herauszufiltern, zweitens ist der Webstandard des Verfahrens in diesem Spezialfall noch nicht vollkommen ausgereift. Ein sehr neues Feld ist die verhaltensbasierte Authentifizierung an Türen: Smarte Klinken erkennen am Druckverhalten und an der Beschleunigung, ob jemand einen Raum betreten darf. 

Wie würde beispielsweise die geräuschbasierte Authentifizierung funktionieren?

Gehen wir mal von einem Negativszenario aus: Ich verlasse kurz meinen Platz und habe meinen Laptop nicht gesperrt. Ein Krimineller möchte das ausnutzen, beispielsweise eine Phishing-Mail an wichtige Kontakte versenden. Nun erkennt der Laptop jedoch: Die Tippgeräusche sind auf einmal anders! Dann würde er den Dieb daran hindern, die Nachricht abzuschicken, oder ihn zumindest nach einem anderen Authentifizierungsmerkmal fragen. Eine weitere Option: Die E-Mail wird verschickt, aber bei allen Empfangenden erscheint die Warnung, dass diese Nachricht womöglich nicht von mir stammt.

Stichwort laufbasierte Authentifizierung: Es kann ja passieren, dass ich aufgrund einer Verletzung humple oder mich einfach im Sitzen authentifizieren möchte.

Der Klassiker: Was ist, wenn ich mir den Fuß breche? Entweder könnte ich dann meinem Mechanismus sagen, dass ich gerade verletzt bin, oder das System lernt einfach neu. In beiden Fällen springen die anderen Faktoren ein und es muss natürlich sichergestellt werden, dass diese dann nicht als Angriffsvektor dienen können. Und zum Punkt mit dem Hinsetzen: Eigentlich müsste das ideale System solche Veränderungen erkennen. Die Lösung dafür liegt allerdings noch in weiter Ferne.

Der Idealfall wäre doch, unterschiedliche Ansätze miteinander zu kombinieren: Wenn ein Gerät möglichst viele Verhaltensweisen einer Person lernt und weiß, wie sie tippt, wie sie sich bewegt und welche Gesten sie macht, ist die Authentifizierung enorm robust und passt sich unterschiedlichen Situationen an …

Absolut. Es gibt in der Forschung einige Systementwürfe, die Verhaltensweisen bei verschiedenen Geräten kombinieren. Ich habe ja nicht nur mein Smartphone, sondern auch noch meinen Laptop – und die beiden tauschen Informationen zum Nutzerverhalten miteinander aus. Ich glaube sogar, die verhaltensbasierte Authentifizierung braucht einen Geräteverbund, um sich durchzusetzen. Das Smartphone könnte als eine Art zentraler Aggregator dienen, über den die Authentifizierung am Ende stattfindet. Es ist jedoch ebenso denkbar, dass alle Geräte gleichberechtigt sind.

Welcher der Ansätze, die Sie untersucht haben, gefällt Ihnen am besten?

Am spannendsten finde ich das Beispiel mit der Türöffnung. Wir nutzen bei uns am Institut aktuell ein System, bei dem eine Person die Tür mit einem Token öffnet. Aber das wird vielleicht bald nicht mehr nötig sein. Mittlerweile gibt es biegsame Touch-Sensoren. Die erlauben es zum Beispiel, das Druckverhalten an der Klinke zu nutzen, um zu entscheiden, ob jemand einen Raum betreten darf. Außerdem arbeiten wir gerade mit einem Schließsystemhersteller zusammen, um auch Daten eines Türknaufs in den Authentifizierungsvorgang einzubeziehen. Dann bräuchte man für die „klinkenlose“ Seite gar kein Token mehr, sondern könnte die Tür mit einer Geste öffnen. 

Können die Ansätze, die Sie untersucht haben, mittelfristig denn zur Marktreife kommen?

Das ist wirklich schwer zu sagen. Es gibt schon ein paar Anbieter, die ihre Lösungen vor allem für ausgewählte Szenarien im Banking-Bereich anbieten. Jedoch gilt es beim Thema Behavioural Authentication, noch einige Probleme zu lösen. Zum Beispiel scheint mir die Lage bei der Haftung noch unklar. Also: Was passiert, wenn jemand die Lösung aushebelt? Haftet der Anbieter der Dienstleistung – oder der Anbieter der Authentifizierungslösung? Oder haftet am Ende der Kunde? Die größte Herausforderung ist für mich allerdings, dass die BA-Forschung sehr fragmentiert ist.

Fragmentiert?

Es existiert viel Forschung zu den einzelnen Ansätzen, meist bezogen auf einen bestimmten Kontext. Die ersten Veröffentlichungen zur Authentifizierung mittels Tippverhalten auf einer Tastatur stammen aus den 1970er-Jahren. Aber es existiert keine zentrale Liste oder Datenbank der bislang evaluierten Ansätze mitsamt Datensets und Machine-Learning-Pipelines. Vereinfacht ausgedrückt läuft es derzeit so: Eine Wissenschaftlerin, die zur geräuschbasierten Authentifizierung forschen möchte, muss sich mühevoll alle Studien zusammensuchen. Ihre Erkenntnisse landen am Ende in einem weiteren unstrukturierten Paper; für den nächsten Forscher beginnt die Recherche wieder von vorne.

Die Forschungspraxis müsste sich Ihrer Meinung nach ändern, damit die verhaltensbasierte Authentifizierung relevant wird?

Richtig. Meine aktuelle Forschung schlägt eine übergreifende Plattform vor. Diese bräuchte zuallererst ein zentrales Datenmodell mit allen Ansätzen und deren Evaluationen, zudem eine Datenbank, die alle Evaluationen schnell auffindbar macht, sowie eine Implementierungsplattform, mit der verschiedene modellierte Systeme verglichen und letztlich weiterentwickelt werden können. Mit einer solchen Plattform würden wir das vorhandene Inselwissen endlich sinnvoll verknüpfen. Dann wüssten wir eben nicht nur, ob ein Ansatz zur verhaltensbasierten Authentifizierung in einem bestimmten Kontext funktionieren könnte. Wir wüssten ebenso, ob er für eine große Anzahl „echter“ Anwendungsfälle taugt.