FIDO- und Tokey-Authentisierung

Die Sicherheit liegt im Prozess

Immer wieder beschädigen große Datendiebstähle den Ruf von Online-Business und E-Government.

Die IT-Branche reagiert mit der Entwicklung völlig neu konzipierter Authentisierungsprozesse. Erst kürzlich forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Millionen deutsche E-Mail-Nutzer auf, ihre E-Mail-Accounts auf Verseuchung zu überprüfen und gegebenenfalls zu ändern. Der Data Breach Investigations Report 2013 des Mobilfunkanbieters Verizon erfasste 621 verifizierte Dateneinbrüche. Sogar das Mobil-TAN-Verfahren der Sparkassen, bei dem ein Einmal-Passwort während der Transaktion auf das Mobiltelefon geschickt wird, wurde gehackt.

Damit Internet- und Mobile-Business langfristig die erhofften Wachstumstreiber bleiben, müssen die Geschäfte im Cyberspace sicherer werden. "Das Problem sind die Authentisierungsverfahren", meint Phillip Dunkelberger, einst Mitentwickler des Verschlüsselungsverfahrens Pretty Good Privacy (PGP) und Gründer des gleichnamigen Unternehmens. Inzwischen gehört es Symantec.

Dunkelberger suchte sich ein anderes Betätigungsfeld: die sichere Authentisierung. Er gründete im November 2011 Nok Nok Labs, ein Startup, in dem vor allem hochkarätige Sicherheitsexperten tätig sind. "Niemand kann sich mehr die vielen Passworte merken, außerdem arbeiten die meisten Menschen an mehreren mobilen Geräten", argumentiert er. "Wir brauchen etwas, das für den Anwender extrem einfach ist und gleichzeitig Datendiebstähle in großem Maßstab verhindert."

Woanders reiften ähnliche Ideen: Ramesh Kesanupalli, Technologiechef vom Fingerabdruck-Sensorspezialisten Validity Sensors, schlug dem Paypal-Sicherheitsverantwortlichen Michael Barrett 2009 vor, Paypal solle mit Fingerabdrücken authentisieren. Barrett fand das prinzipiell gut, beharrte aber auf einer standardisierten, herstellerneutralen Lösung. Die beiden Manager begannen mit den Vorarbeiten zur Gründung der FIDO Alliance, die dieses Verfahren entwickeln sollte. Sie gewannen auch Dunkelberger für die Idee. Als die FIDO Alliance im Sommer 2012 startete, gehörten ihr Paypal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio an, inzwischen sind fast alle Authentisierungsspezialisten und noch viele andere Unternehmen dazugestoßen.

Vor einigen Wochen gab die FIDO Alliance den ersten Entwurf ihres Standards zur Kommentierung frei. Das Verfahren ist für den Endanwender kostenlos, basiert auf mindestens zwei Authentisierungsfaktoren (Zwei-Schlüssel-Authentisierung plus biometrisches Merkmal oder Dongle) und ist einfach anwendbar. Passworte muss sich der Anwender damit nicht mehr merken. Auf dem Authentisierungs-Server von Unternehmen, die FIDO nutzen, liegen nur noch öffentliche Schlüssel der Anwender, mit denen niemand etwas anfangen kann.

FIDO hat Schwachstellen: Die zur Anmeldung am Handy benutzten biometrischen Daten liegen irgendwo, Dongles können gestohlen werden. Zudem ist FIDO eine zwar internationale, aber deutlich US-lastige Initiative - derzeit nicht gerade vertrauensfördernd.

Sechs-Personen-Firma

Interessant ist daher ein Berliner Startup, das mit seinem zum Patent angemeldeten Verfahren ebenfalls das Authentisierungsproblem lösen will. Tokey ist derzeit eine Sechs-Personen-Firma auf der Suche nach Venture Capital. Die Firmengründer Jürgen Simon und Rüdiger Baumann haben jeweils mehrere Jahrzehnte DV-Erfahrung. Baumann, in den Achtzigern deutscher Vertriebschef bei Philips, war zuletzt drei Jahre lang CEO bei Zimory, einem Anbieter von Cloud-Management-Software. Der technikaffine Simon beschäftigt sich seit 1996 mit dem Thema Datenschutz. "Irgendwann habe ich begriffen, dass man dieses Thema ins Rechenzentrum zurückholen muss", sagt er. Das leuchtete Baumann ein, dem schon zweimal die Kreditkarte gehackt worden war. Sie gründeten Tokey und entwickelten zwei Jahre lang das Tokey-Verfahren. "Bei uns liegen nirgendwo Authentisierungsdaten, die man stehlen könnte, die Sicherheit steckt im Prozess", erklärt Simon. Der Nachteil: Der Benutzer braucht ein Smartphone, sonst funktioniert das Verfahren nicht.

Den Tokey-Dienst kann man über die Website www.tokey.net testen. Um die Infrastruktur mit Leben zu füllen, sucht das Unternehmen jetzt renommierte Partner, die Sicherheits-Server aufstellen würden, beispielsweise Sparkassen, oder auch Hersteller wie Wincor-Nixdorf, die sich auf Bankautomaten und Kassensysteme spezialisiert haben. Geld will Tokey mit geringen Cent-Beträgen pro Transaktion verdienen, die Shop- oder Servicebetreiber bezahlen, die den Dienst nutzen. "Wir setzen hier aufs Massengeschäft", sagt Baumann.

Vor FIDO ist dem Tokey-Management nicht bange. Bauman: "Unser Verfahren ist absolut sicher, typisch Made in Germany eben."