Der neueste Trend in der Computersicherheit verzichtet auf Passwörter und identifiziert den Menschen anhand seines Verhaltens. Millionen von Nutzern werden eindeutigen Profilen zugeordnet – ohne ihr Wissen.

Tel Aviv - Natia Golan schaut dem Hacker seelenruhig zu. Er hat die Kontrolle über das Online-Konto einer ahnungslosen britischen Bankkundin übernommen, die gerade eine Überweisung tätigt. Kaum ist sie fertig, greift er aus der Ferne auf ihr Konto zu. Er ist jetzt mit ihren Daten eingeloggt und gibt vor, vom Computer der Kundin aus zu agieren. Das Passwort stimmt. Auch die Summe, die er gerade überweist, etwas mehr als eine Million Pfund, ist nicht unüblich für die überdurchschnittlich wohlhabenden Kunden dieser Bank. Und doch ist etwas anders.

 

Es sind die kleinen Bögen, in denen der Hacker den Mauszeiger über den Bildschirm bewegt. Wenn er von einer Stelle des Überweisungsformulars zur nächsten wechselt, um in ein Feld die Summe und ins nächste Feld die Kontonummer einzugeben, stockt der Zeiger mehrfach kurz. „Er nutzt das Touchpad“, erkennt Natia Golan. Sie weiß nicht, wo der Hacker sitzt. Sie beobachtet seine Bewegungen an einem Computer in Tel Aviv. Ihrem Scharfsinn hilft eine Software nach: Kleine rote Kringel markieren das Bewegungsmuster des Hackers auf Golans Bildschirm. Zum Vergleich werden in Blau die typischen Bewegungen der Kundin, des Opfers, eingeblendet. „Den haben wir geschnappt“, triumphiert Golan. Der Hacker wird zwar nicht gefangen, aber er wird vom Konto ausgeloggt. „Wir haben der Bank mehr als eine Million Pfund gespart – so einfach!“

Die Kundin weiß gar nicht, dass ihr Konto Ziel einer Attacke war

Die Begeisterung gehört zum Job: Golan ist Direktorin für das Produktmanagement des israelischen Start-ups Biocatch. Bei welcher Bank die betrogene Kundin ihr Konto hat, wird nicht verraten. So weiß die Kundin nichts davon, dass ihr Konto Ziel einer Attacke war. Und auch nichts davon, dass ihre Bank ein Unternehmen aus Israel dafür bezahlt, ein Profil von ihr anzufertigen. Darin steht, wie lang ihr Unterarm und wie beweglich ihre Hand ist, ob sie einen leichten Tremor hat, wie dick ihr Daumen und wie groß ihr Smartphone ist, mit dem sie ebenfalls die Webseite ihrer Bank besucht, ob sie eher geschickt im Handling des Telefons mit einer Hand ist und wie schnell ihr Gehirn auf unerwartete Herausforderungen reagiert. „All das berechnen wir aus den Bewegungen und Aktivitäten“, erklärt Golan. Mit anderen Worten: Allein durch den Besuch der Online-Banking-Website erzeugt die Kundin die Daten für das Profil, von dem sie nichts ahnt.

Die Firma aus Tel Aviv ist Pionier einer neuen Technik: 600 Faktoren haben die israelischen Entwickler identifiziert, woraus sich aus der Ferne berechnen lässt, wie ein Mensch eine Webseite bedient. „20 bis 30 davon definieren dich“, sagt Avi Turgeman, der Gründer von Biocatch, „eindeutig und einzigartig.“ Für den 37-jährigen Physiker ist die britische Kundin eine unverwechselbare Nummer. Eine von 40 Millionen aktiven Online-Bankkunden aus aller Welt, die seine Firma stets im Auge hat, sobald sie sich bei ihrer Bank einloggen. Der Mann mit Brille und Bart sieht aus wie viele junge Kreative in Tel Aviv. Doch seine Idee hat ihn zum Chef eines Unternehmens mit Filialen in Boston, London und New York gemacht. Die Idee sei naheliegend, findet er: „Die einzige wirksame Lösung gegen Angriffe im Netz ist, wenn man die Kunden ununterbrochen authentifiziert.“

Schon nach 20 Minuten hat das System ein akkurates Profil gebildet

Das geschieht meist durch Passwörter. Doch alle Passworte haben eines gemein: Nutzer können sie sich nicht merken. Schon gar nicht für jeden Dienst ein eigenes. Darum nutzen die meisten einfache Passworte für all ihre Log-ins. Diese zu stehlen ist die einfachste Übung für Hacker. „Ein Passwort schützt dein Konto vor deiner Familie“, sagt Turgeman, „aber nicht vor professionellen Angreifern.“ Turgeman führt in den Besprechungsraum, an dessen Tür ein Zettel hängt: „Hast du daran gedacht, deinen Bildschirm zu sperren?“ Misstrauen als Firmen-DNA.

Sein System lernt ununterbrochen, erklärt der Gründer: Immer wenn der Nutzer online ist, analysiert es dessen Bewegungen und Interaktionen. „Nach 20 Minuten Lernen können wir ein akkurates Profil bilden“, sagt Turgeman. Beim nächsten Mal genügen 40 Sekunden Aktivität, um zu unterscheiden, ob es sich um den Kontoinhaber oder einen Angreifer handelt. Mit welcher Wahrscheinlichkeit Diebe erkannt werden, korreliert mit der Zahl der legitimen Nutzer, die fälschlich abgewiesen werden. Das entscheiden die Banken individuell, erklärt Turgeman. Er zeigt auf Grafiken an der Wand. Er tippt auf einen Punkt, an dem sich zwei Linien einer Grafik treffen: „Das ist eine typische Kombination“. 91 Prozent aller Angreifer werden entdeckt, während 0,5 Prozent aller legitimen Bankkunden fälschlich abgewiesen werden. „Damit können die meisten Banken leben.“

Die Software ermittelt Reaktionen

Solche Rechenspiele beziehen sich auf eine große Menge realer Menschen. Mit der Royal Bank of Scotland zählt die drittgrößte Bank Europas zu Biocatchs Kunden. Keine andere Bank hat der Firma gestattet, mit ihrem Namen zu werben. Aber es soll sich um drei der fünf größten Banken Großbritanniens handeln sowie die größten Banken in Spanien, Italien, Brasilien und Nordamerika. Nicht alle verraten dem Biocatch-Chef, wie viele Betrugsversuche sein System vereitelt. Er geht von Tausenden Fällen jede Woche aus. Aktuell überwachen seine Algorithmen zwei Milliarden Transaktionen pro Monat, sagt Turgeman, das sind rund 66 Millionen pro Tag. Anders gerechnet: Während dieser Artikel gelesen wird, haben die Biotech-Systeme das Verhalten von Hunderttausenden Bankkunden überwacht, gelernt und ausgewertet.

Seinen liebsten Trick hat der Firmengründer sich patentieren lassen. Als Turgeman die „unsichtbare Herausforderung“ präsentiert, grinst er stolz: Diese hilft, in unklaren Situationen schnell eine Entscheidung zu treffen. Dafür lässt die Software den Mauszeiger kurz verschwinden oder verzögert minimal die Zeit, nach der ein Buchstabe nach einer Eingabe auf dem Bildschirm erscheint. „Der Nutzer merkt das gar nicht, aber sein Gehirn reagiert automatisch darauf“ – und diese Reaktion ist höchst individuell, wenn man sie misst.

Der ehemalige Geheimdienst-Hacker weiß, wie Terroristen und Angreifer denken

„Ich weiß, wie Terroristen und Angreifer denken“, sagt Turgeman. Bevor er Digitalunternehmer wurde, hat er sechs Jahre lang Hacker gejagt, in der Eliteeinheit 8200 des israelischen Geheimdienstes. In der Truppe zur Abwehr digitaler Spionage hat Turgeman viel gelernt: Nachdem er seinen Dienst quittiert hatte, entwickelte er eine Technologie, die Gespräche aus lauten Umgebungen herausfiltern kann, danach entwickelte er eine App zum mobilen Bezahlen. Als er dabei die ersten Betrugsversuche beobachtete, kam ihm die Idee für Biocatch. „Ich hatte vom Geheimdienst das Wissen, wie man Angreifer online verfolgt und identifiziert.“

Die Geheimdienst-Einheit hat Israel zum Hotspot für Cybersicherheit gemacht. Es gibt dort viele Entwickler wie Turgeman. So hat auch Trusteer, ein israelisches Start-up mit Computerspionage-Hintergrund, ein System zur Verhaltensauthentifizierung entwickelt („Trusteer Pinpoint Detect“). Der Konzern IBM hat Trusteer 2013 gekauft und das System vor einem Jahr vorgestellt – nach Biocatch. Turgeman fühlt sich wie David, der nicht nur schneller war, sondern dem Goliath IBM schon die ersten Kunden abgejagt hat.

Vielleicht haben die deutschen Banken Angst vor der Reaktion

Deutschland fehlt eine solche Geheimdienst-Einheit – und eine gewisse Hemdsärmeligkeit in Bezug auf Privatsphäre. Den Unterschied in den Sicherheitskulturen erlebt Turgeman gerade bei den Verhandlungen mit einer deutschen Bank: „Die haben Sorgen, weil unser Service in der Cloud liegt“ – und nicht auf dem eigenen Server. Das ließe sich ändern. Vielleicht haben diese Banken aber Angst vor der Reaktion ihrer Kunden. Wollen sie, dass ein Ex-Geheimdienstler ihre kognitiven Fähigkeiten berechnet und einen digitalen Fingerabdruck erstellt? Sowohl Avi Turgeman von Biocatch als auch ein Sprecher von IBM-Trusteer betonen, dass sie keine privaten Informationen der Bankkunden hätten, zumindest nicht deren Namen. Deshalb benötigten sie deren Einverständnis nicht, es handle sich ja nicht um persönliche Daten.

„Es ist verlogen zu behaupten, das seien keine persönlichen Daten“, sagt Angela Sasse, Professorin für nutzerzentrierte Sicherheit am University College London. Wer genug Informationen habe, der könne auf das Individuum schließen. Zudem wecke eine Technologie, die Menschen ohne deren Wissen eindeutig im Internet identifiziere, leicht Begehrlichkeiten, warnt Sasse. Zum Beispiel für zielgerichtete Werbung. Die Informatikerin hat schon oft beobachtet, dass Firmen ihre Systeme mit scheinbar harmlosen Anwendungsfällen aufgebaut haben, um diese danach für viel Geld der Werbeindustrie anzubieten. „Solche Technologien werden durch die Hintertür eingeführt, ohne die gesellschaftlichen Kosten zu berücksichtigen.“ Und spätestens seit Edward Snowden kann man sich zudem weitaus heiklere Anwendungen vorstellen als penetrante Werbung.

Bei diesem Thema fängt Avi Turgeman plötzlich an, sich zu winden. Es geht um die Frage, wie intim die Daten jener Bankkunden sind, die in seiner Cloud lagern. Seine Antwort klingt ausweichend: „Sie sind immerhin nicht komplett mit der DNA verwoben.“ Ein schwacher Trost.