Die IT-Branche reagiert mit der Entwicklung völlig neu konzipierter Authentisierungsprozesse. Erst kürzlich forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Millionen deutsche E-Mail-Nutzer auf, ihre E-Mail-Accounts auf Verseuchung zu überprüfen und gegebenenfalls zu ändern. Der Data Breach Investigations Report 2013 des Mobilfunkanbieters Verizon erfasste 621 verifizierte Dateneinbrüche. Sogar das Mobil-TAN-Verfahren der Sparkassen, bei dem ein Einmal-Passwort während der Transaktion auf das Mobiltelefon geschickt wird, wurde gehackt.
Damit Internet- und Mobile-Business langfristig die erhofften Wachstumstreiber bleiben, müssen die Geschäfte im Cyberspace sicherer werden. "Das Problem sind die Authentisierungsverfahren", meint Phillip Dunkelberger, einst Mitentwickler des Verschlüsselungsverfahrens Pretty Good Privacy (PGP) und Gründer des gleichnamigen Unternehmens. Inzwischen gehört es Symantec.
Dunkelberger suchte sich ein anderes Betätigungsfeld: die sichere Authentisierung. Er gründete im November 2011 Nok Nok Labs, ein Startup, in dem vor allem hochkarätige Sicherheitsexperten tätig sind. "Niemand kann sich mehr die vielen Passworte merken, außerdem arbeiten die meisten Menschen an mehreren mobilen Geräten", argumentiert er. "Wir brauchen etwas, das für den Anwender extrem einfach ist und gleichzeitig Datendiebstähle in großem Maßstab verhindert."
Woanders reiften ähnliche Ideen: Ramesh Kesanupalli, Technologiechef vom Fingerabdruck-Sensorspezialisten Validity Sensors, schlug dem Paypal-Sicherheitsverantwortlichen Michael Barrett 2009 vor, Paypal solle mit Fingerabdrücken authentisieren. Barrett fand das prinzipiell gut, beharrte aber auf einer standardisierten, herstellerneutralen Lösung. Die beiden Manager begannen mit den Vorarbeiten zur Gründung der FIDO Alliance, die dieses Verfahren entwickeln sollte. Sie gewannen auch Dunkelberger für die Idee. Als die FIDO Alliance im Sommer 2012 startete, gehörten ihr Paypal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio an, inzwischen sind fast alle Authentisierungsspezialisten und noch viele andere Unternehmen dazugestoßen.
Vor einigen Wochen gab die FIDO Alliance den ersten Entwurf ihres Standards zur Kommentierung frei. Das Verfahren ist für den Endanwender kostenlos, basiert auf mindestens zwei Authentisierungsfaktoren (Zwei-Schlüssel-Authentisierung plus biometrisches Merkmal oder Dongle) und ist einfach anwendbar. Passworte muss sich der Anwender damit nicht mehr merken. Auf dem Authentisierungs-Server von Unternehmen, die FIDO nutzen, liegen nur noch öffentliche Schlüssel der Anwender, mit denen niemand etwas anfangen kann.
FIDO hat Schwachstellen: Die zur Anmeldung am Handy benutzten biometrischen Daten liegen irgendwo, Dongles können gestohlen werden. Zudem ist FIDO eine zwar internationale, aber deutlich US-lastige Initiative - derzeit nicht gerade vertrauensfördernd.
Sechs-Personen-Firma
Interessant ist daher ein Berliner Startup, das mit seinem zum Patent angemeldeten Verfahren ebenfalls das Authentisierungsproblem lösen will. Tokey ist derzeit eine Sechs-Personen-Firma auf der Suche nach Venture Capital. Die Firmengründer Jürgen Simon und Rüdiger Baumann haben jeweils mehrere Jahrzehnte DV-Erfahrung. Baumann, in den Achtzigern deutscher Vertriebschef bei Philips, war zuletzt drei Jahre lang CEO bei Zimory, einem Anbieter von Cloud-Management-Software. Der technikaffine Simon beschäftigt sich seit 1996 mit dem Thema Datenschutz. "Irgendwann habe ich begriffen, dass man dieses Thema ins Rechenzentrum zurückholen muss", sagt er. Das leuchtete Baumann ein, dem schon zweimal die Kreditkarte gehackt worden war. Sie gründeten Tokey und entwickelten zwei Jahre lang das Tokey-Verfahren. "Bei uns liegen nirgendwo Authentisierungsdaten, die man stehlen könnte, die Sicherheit steckt im Prozess", erklärt Simon. Der Nachteil: Der Benutzer braucht ein Smartphone, sonst funktioniert das Verfahren nicht.
Den Tokey-Dienst kann man über die Website www.tokey.net testen. Um die Infrastruktur mit Leben zu füllen, sucht das Unternehmen jetzt renommierte Partner, die Sicherheits-Server aufstellen würden, beispielsweise Sparkassen, oder auch Hersteller wie Wincor-Nixdorf, die sich auf Bankautomaten und Kassensysteme spezialisiert haben. Geld will Tokey mit geringen Cent-Beträgen pro Transaktion verdienen, die Shop- oder Servicebetreiber bezahlen, die den Dienst nutzen. "Wir setzen hier aufs Massengeschäft", sagt Baumann.
Vor FIDO ist dem Tokey-Management nicht bange. Bauman: "Unser Verfahren ist absolut sicher, typisch Made in Germany eben."
FIDO-Authentisierung im Detail
Auf den mobilen oder stationären Endgeräten läuft ein FIDO-Client. Will sich ein Anwender bei einem Online-Dienst oder -Shop authentisieren, der FIDO verwendet, registriert der Authentisierungs-Server beim Dienstleister oder Shop-Inhaber die Eingabe des bisherigen Passworts. Er sendet nun die Anfrage an einen FIDO-Server weiter. Dieser FIDO-Server fragt bei dem Endgerät, das der Anwender nutzt, dessen Sicherheitsmerkmale ab.
Der FIDO-Client meldet die sicheren (biometrischen oder Dongle-basierenden) Authentisierungsmethoden, die das Endgerät des Anwenders unterstützt. Je nachdem, ob diese Merkmale den vorher festgelegten Sicherheitsrichtlinien des Servicebetreibers entsprechen, wird das Endgerät zur Authentisierung am Service/Shop zugelassen oder abgewiesen. Verdächtige, unsichere Geräte werden also schon hier von der weiteren Zulassung ausgeschlossen. Erst wenn das Endgerät als ausreichend sicher qualifiziert wurde, tritt der FIDO-Client am Endgerät in Aktion und verlangt vom Anwender, dass er sich, beispielsweise durch das Auflegen des Fingers oder das Aussprechen des Sicherheitskennworts, am Gerät ausweist. Ist diese Authentisierung erfolgreich verlaufen, erzeugt der FIDO-Client im Endgerät ein individuelles Schlüsselpaar, das ausschließlich für diesen Service und das benutzte Gerät gilt, und schickt den öffentlichen Schlüssel an den Authentisierungs-Server des Dienstes.
Der Server erkennt nun den passenden privaten Schlüssel im FIDO-Client des Endgeräts, womit die Kommunikation mit dem Dienst freigeschaltet wird. Will der Anwender sich später noch einmal bei demselben Dienst authentisieren, wird er aufgefordert, sich beispielsweise per Spracherkennung anzumelden. Der Schlüsselabgleich erfolgt dann automatisch. Bei jedem Dienst muss der Anwender dieses Prozedere erneut durchlaufen, wobei der Agent jeweils ein neues Schlüsselpaar erzeugt. Befreit ist er aber vom Passwort-Wust: Er nutzt nur noch das im Gerät vorhandene biometrische oder Dongle-basierende Authentisierungsverfahren für die Anmeldung bei allen Diensten. Server- und Client-Produkte für FIDO werden von der FIDO Alliance zertifiziert, was die Kompatibilität mit dem Standard sichert.
Tokey-Authentisierung im Detail
Tokeys Methode erfordert zunächst eine Registrierung auf einer sicheren Website mit der Angabe von für Online-Prozesse üblichen Daten wie Name, Adresse, Kontoverbindung etc. Sie erfolgt entweder am PC übers Web oder nach Herunterladen der Tokey-App direkt am Smartphone, jeweils mit Bestätigungs-E-Mail. Bei der folgenden Authentisierung verrührt die Tokey-App die Endgerätenummer (UDI), die beiden Passwörter und den servicespezifischen QR-Code zu zwei verschiedenen Hash-Codes. Der QR-Code kann sich auf Plakaten, Zeitungsanzeigen, Bildschirmen, Verpackungen, Kassenzetteln etc. befinden. Einer der Codes geht an den Daten- und einer an den Key-Server.
Der Daten-Server erkennt anhand des Hashs, wessen und welche Daten für diesen spezifischen Geschäftsvorfall an den Key-Server geschickt werden müssen, wobei diese Daten vor Versendung wiederum mit dem Hash verrechnet werden. Der Key-Server erkennt, dass er gleich Daten vom Daten-Server bekommt, die für einen Geschäftsvorfall bei einem bestimmten Endkunden vorgesehen sind. Er versendet die bei ihm angekommenen Daten über eine SSL-Verbindung an den Applikations-Server des Geschäftskunden, sofern dieser seine Daten noch auf einem eigenen Server aufbewahrt, statt sie einem Dienstleister mit sicherer Server-Infrastruktur zur Aufbewahrung zu überlassen. In letzterem Fall bekommt der Kunde nur noch ein Token, das die Transaktion repräsentiert. Unterschiedliche Tokey-Daten- und Schlüssel/App-Server können untereinander kommunizieren. Liegen also die Daten eines speziellen Endkunden beim Daten-Server X, erkennt die Tokey-Infrastruktur das und sorgt dafür, dass die aktivierte App auf dem Smartphone sich exakt mit diesem Server in Verbindung setzt, um die Abwicklung der Transaktion anzustoßen.
Daten von Tokey-Servern zu stehlen, hilft nicht, denn nur die App auf dem individuellen Endgerät berechnet den richtigen Wert, auf den der Server mit wiederum verschlüsselter Datenversendung reagiert. Der Anwender muss sich für alle Tokey-Authentisierungen lediglich zwei beliebige Passwörter merken. Will man die Tokey-Passwörter nicht direkt an der Kasse eingeben, kann man sie auch schon vor dem Laden aktivieren. Sie sind dann bis zu zwei Stunden betriebsbereit, aber mit stetig sinkendem Sicherheitsniveau. "Jeder Anbieter bestimmt, welches Sicherheitsniveau er will", sagt Tokey-Gründer Jürgen Simon. Für besonders sichere Dienste, etwa Bankautomaten, gibt es QR-Codes, die alle paar Sekunden ausgetauscht werden. Während der Aktivierungszeit muss man nur noch einen Tokey-QR-Code scannen, um den entsprechenden Service zu nutzen, der Rest läuft im Hintergrund. Bei der Berliner Tageszeitung "Tagesspiegel" ist die Tokey-App im Abobereich im Einsatz, Kunden können das kostenlose Probeexemplar eines Genussmagazins darüber bestellen.