Leonardo DiCaprio and the real Frank Abagnale Jr.
© By DreamWorks - [1] From the production of US American movie Catch Me If You Can, Fair use, https://en.wikipedia.org/w/index.php?curid=8271538

Sicherheit durch Biometrie - Eine neue Perspektive

Von Oliver Krist

Erinnern Sie sich an den jungen Leonardo DiCaprio, der 2002 in Stephen Spielbergs Gaunerkomödie als Betrüger Frank Abagnale gejagt vom FBI in schicker Pilotenuniform die Welt bereiste?

Tatsächlich hat Frank Abagnale im zarten Alter von 16 Jahren seine Identität verändert. Er datierte das Geburtsdatum in seinem Führerschein um zehn Jahre zurück, um glaubwürdiger zu wirken. Dann fälschte er mit zunehmendem Aufwand Schecks und bestritt so seinen Lebensunterhalt. Als ihm das FBI auf die Schliche kam, wurde es in seinem Wirkungskreis New York eng. Er musste also seinen Aktionsradius vergrößern, was ihm mit einer weiteren Manipulation seiner Identität gelang. Eine Pilotenuniform verschaffte ihm weitere Glaubwürdigkeit. Er konnte damit leicht sogenannte Dead-Head-Flüge dazu nutzen, seinen Häschern zu entkommen. Gleichzeitig nutzte er die „optimierte“ Identität um sein Kerngeschäft, den Scheckbetrug, zu optimieren und zu vergrößern. Bis er 1969 in Frankreich gefasst wurde, hatte er in allen 50 Bundesstaaten der USA sowie in 26 weiteren Ländern einen Schaden von insgesamt rund 2,5 Millionen US-Dollar verursacht.

Sein Straferlass in 1974 ging einher mit einem Deal mit dem FBI. Er sollte sein Wissen bis zum eigentlichen Ende seiner Haftzeit dem Dienst zur Verfügung stellen. Tatsächlich tut er das bis heute und warnt dabei eindringlich, dass die Fälschungen, die er in den 60ern getan hat, heute viele tausend Mail einfacher durchzuführen sind. Die wenigsten von uns werden das bezweifeln.

Blicken wir nun in die Gegenwart. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befindet in seinem jüngsten Bericht zur Lage der IT-Sicherheit in Deutschland diese als "angespannt bis kritisch". Dabei ist die Informationstechnologie für unsere moderne Gesellschaft so elementar wie etwa die Strom- oder medizinische Versorgung. Die Tragweite der Angriffe und Bedrohung ist also imens. Ein Beispiel:

Am 18. Oktober 2021 wurde öffentlich, dass Hacker in die IT der Argentinischen Regierung eingebrochen waren. Sie stahlen die Identitätsdetails der gesamten Bevölkerung. Zum Beweis des Erfolges der Aktion wurden die Ausweisfotos und persönlichen Daten von Lionel Messi und 43 weiteren Persönlichkeiten unter @AnibalLeaks auf Twitter veröffentlicht.

Besondere Dramatik: Der typische Angriff auf Unternehmensdaten findet oft zweistufig statt. Zunächst werden umfangreich unternehmenskritische Daten verschlüsselt und die Entschlüsselung gegen eine Lösegeldzahlung erpresst. Fruchtet dies nicht, drohen die Cyberkriminellen anschließend mit der Veröffentlichung der Daten. So legte Anfang November ein Verschlüsselungstrojaner angeblich Tausende Server bei MediaMarkt und Saturn lahm. Zum Glück für das Unternehmen meldete Europol unmittelbar nach dem Erpressungsversuch die Festnahme mehrerer Täter.

Und beinahe täglich erreichen uns Schlagzeilen über gefälschte Impfzertifikate, die für ein paar hundert Euro im Internet angeboten werden. Dies stellt freilich eine komplett neue Bedrohung dar, nämlich die eingeschränkte Wirksamkeit der Pandemiebekämpfung und daher schlichtweg ein Risiko für unser aller Gesundheit.

Aber auch die klassischen Datendiebstähle betreffen jeden Einzelnen. Diebe von Massendaten verwahren diese üblicherweise drei bis vier Jahre, bevor sie zur Nutzung kommen. Gestohlene Kreditkartendaten sind dabei eine harmlose Bedrohung. Ist der Diebstahl dem Benutzer bekannt, kann er die Karte einfach sperren. Es verbleiben überschaubarer Ärger und Aufwand. Eine gestohlene Identität hingegen, eventuell angereichert mit einem Frontfoto aus einer anderen Goldgrube für Hacker, den sozialen Netzwerken, ist weit schwerwiegender. Vermögensschäden jeder Art sind Folgerisiken. Zumal die Betroffenen nicht wissen, wann und wo die Daten missbräuchlich zum Einsatz kommen. Und die Möglichkeiten für die Diebe sind vielfältig, ist unsere Identität doch der primäre Schlüssel zu unseren Bankkonten und Depots, Onlinediensten, Versorgungsunternehmen, Behördenleistungen uvm. Wir haben also genügend Anlass und hoffentlich auch Motivation, uns über den Schutz unserer Daten und Applikationen nachhaltig Gedanken zu machen.

Nun ist das populärste Mittel hierfür nach wie vor die Kombination aus Benutzername und Passwort, idealerweise individuell für jeden Dienst und zusätzlich komplex, also aus einer beliebigen Mischung aus Sonderzeichen, Buchstaben und Ziffern. Um sich die Vielzahl der nun notwendigen Kombinationen aus Benutzernamen und Passwort nicht merken zu müssen, eignen sich der Einsatz von Passwort-Safes wie 1Password, LastPass, SafeInCloud, DashLane, etc.. Und dennoch, Passwörter werden gestohlen und missbräuchlich genutzt. Laut World Economic Forum sind schwache oder gestohlene Passwörter weltweit für etwa vier von fünf Datenlecks verantwortlich. Kein Wunder, handelt es sich doch um eine Methode, die die alten Römer bereits kannten. Als technisches Werkzeug gibt es das Passwort bereits seit 1964.

Wie wäre es nun, Benutzername und Passwort komplett zu ersetzen, also stattdessen passwortlose Technologien einzusetzen? Alleine aus Sicht der IT-Betriebskosten scheint die Idee sinnvoll. Laut Forester Research betragen die Personalkosten für ein einzelnes Passwort-Zurücksetzen 70 US-Dollar. Der Pioneer in der passwortlosen Authentifizierung Trusona bietet beispielsweise Lösungen für den App-gestützten sicheren Zugang zu zahlreichen Anwendungen und Diensten ohne Verwendung von Benutzername und Passwort an.

Businessman hand chooses IT wording on interface screen. internet technology service concept. can used for cover page presentation and web banner.
© stock.adobe.com/# 137909513

Die Hersteller von Smartphones und Tablets begegnen dieser Herausforderung mit dem Einbau von Fingerabdruck-, Gesicht- oder Stimmerkennung zur Entsperrung von Gerät und installierten Apps. Microsoft baut hierzu Hello in sein Windows-Betriebssystem ein. Doch wiederum stellt sich die Frage nach der Sicherheit. Diese gilt es aus diversen Blickwinkeln kritisch zu betrachten. Kann die Gesichtserkennung mit einem Foto überlistet werden? Wissen Sie, ob Ihr Smartphone eine 2D- oder eine 3D-Gesichtserkennung verwendet? Kommt zusätzlich eine Infrarot-Unterstützung für schlechte Lichtverhältnisse zum Tragen? Kann mit einem von einem anderweitig berührten Gegenstand "gestohlener" Fingerabdruck der Fingerabdrucksensor des Gerätes ausgetrickst werden? Und was nutzt die ausgereifteste dieser Methoden, wenn als Rückfall wieder eine Entsperrung per PIN, Muster oder eben auch per Passwort dient, die allesamt eben ausgespäht werden können?

Eine weitere Schwachstelle der zuvor genannten Lösungen ist die Tatsache, dass sie auf Geräte laufen, die mehr oder weniger dauerhaft online sind. Und genau diesen Kanal machen sich Cyberkriminelle für Ihre Angriffe zunutze und stehlen - während eines vom Besitzer unbemerkten Zugriffs aus dem Netz - die auf dem Gerät typischerweise schlecht geschützten Zugangsschlüssel.

Überraschend unbekannt und doch ein weit verbreitetes Angriffsszenario ist das SIM-Swapping. Hierbei verwendet der Hacker die Mobiltelefonnummer des Opfers, um dessen Online-Identität anzunehmen. Konkret verschafft sich der Betrüger zunächst persönliche Daten seines Opfers, um sich als dieses beim Mobilfunkprovider eine Ersatz-SIM-Karte zu erschleichen. Mit der auf diese Weise gekaperten Mobiltelefonnummer des Opfers kann der Betrüger nun an diese Nummer gekoppelte Applikationen (z.B. Banking-Apps) verwenden oder Passwortrücksetzungen vornehmen, die Einmal-Passworte per SMS verwenden. Für Crypto Assets scheint diese Betrugsmethode besonders lukrativ. Der Crypto-Investor Michael Terpin wurde um 24 Millionen US Dollar durch einen SIM-Swapping Angriff bestohlen, mittlerweile jedoch per Gerichtsurteil von seinem Provider AT&T entschädigt. In einem anderen Fall übernahmen Hacker den Twitter-Account des (kürzlich zurückgetretenen) Twitter-Chefs JackDorsey und posteten in seinem Namen beleidigende Kommentare.

SIM swapping
© stock.adobe.com/# 291667223Wir kommen wir also nicht umhin, über den Einsatz eines getrennten Gerätes nachzudenken. Ein Gerät, das ausschließlich der Sicherheit dient und keine Daten enthält, zudem offline, also nicht mit dem Internet verbunden ist. Dies könnte ein USB-Stick oder eine Smartcard zur Erzeugung von Einmalpasswörtern sein, idealerweise biometrisch durch einen Fingerabdruckleser geschützt. Beispiele hierfür sind manche Modelle des YubiKey oder die Smartcards von TrustSec oder Quardlock, die per Fingerabdruck passwortlose Authentifizierungen ermöglichen. Entweder batterielos als USB-Stick für den PC (YubiKey) oder flexibel per Smartcard mit NFC (TruSec) oder gar zusätzlich per Einmalpasswort auf dem Display mit wiederaufladbarem Akku (Quardlock), idealerweise abgesichert durch serverseitige Mechanismen zur sicheren Verfizierung der erzeugten Einmalcodes, wie durch den Quardlock Authentication Server.

Nun sind jedoch die Methoden der biometrischen Absicherung von persönlichen Daten höchst unterschiedlich. Hierzu zwei Beispiele:
Für Ihren Personalausweis ist seit August 2021 die Abgabe von Fingerabdrücken verpflichtend. Spätestens wenn sie also einen neuen Personalausweis beantragen müssen, sind Sie von dieser Neuregelung betroffen. Die biometrischen Daten sind im Personalausweis vollständig gespeichert. Das Auslesen derselben dient offiziell ausschließlich der Identitätsfeststellung und soll nur einigen staatlichen Behörden (Polizeivollzugsbehörden, Zollverwaltung, Steuerfahndungsstellen sowie Personalausweis-, Pass- und Meldebehörden) erlaubt sein. Für andere Anwendungen, z.B. beim Online-Shopping wird der Fingerabdruck die automatische Bereitstellung von persönlichen Daten absichern.

Quardlock geht mit seiner Advanced Card hier einen komplett anderen Weg. Ein paar geometrische Merkmale der Fingerabdrücke im Secure Element der Karte werden dazu verwendet, noch in diesem Chip einen dynamischen Schlüssel zu erzeugen. Dieser wird erneut verschlüsselt, bevor er das Secure Element verlässt, um dann einmalig verwendet zu werden. Weder biometrische noch andere persönliche Daten verlassen jemals die Karte, sie sind nicht einmal vollständig darauf hinterlegt.

Dieser Ansatz scheint aktuell der sicherste zu sein. Mit der geringen Komforteinbuße, ein weiteres Gerät einsetzen zu müssen. Das liebgewonnene Smartphone alleine reicht nicht mehr aus. Das sollte uns der Zugewinn an Sicherheit wert sein! Die Anwendungsfälle sind jedenfalls zahlreich. Im Unternehmen kann die Lösung als Mitarbeiterausweis dienen, der morgens die Tür öffnet, die Anmeldung am PC und Unternehmensanwendungen ermöglicht, digitale Freigaben gestattet, die Bezahlung in der Kantine authorisiert uvm.. Für Online-Banking-Kunden wird der Zugang zum Konto und die Authorisierung von Transaktionen deutlich sicherer. Das Risiko des Verlustes von Crypto-Assets wird deutlich reduziert. Sicherheitspersonal kann effektiver und dennoch schnell überprüft werden. Zugänge zu kritische Infrastrukturen im zivilen und militärischen Bereich lassen sich besser absichern. Der Fantasie sind keine Grenzen gesetzt.