„Da blickt kein Mensch mehr durch“: Ein Berliner Start-up will das Passwort-Chaos abschaffen

Das Zeitalter der Passwörter und Zugangskarten könnte ziemlich leise und unspektakulär enden – so wie im Büro des Berliner Start-ups Nexenio am Gendarmenmark in Mitte. Am Eingang befindet sich eine Schleuse, die den Weg zu den Arbeitsplätzen freigibt. Wer hier durchwill, muss keinen Token aus der Tasche kramen oder den Fingerabdruck hinterlassen. 

Die Mitarbeiter und Mitarbeiterinnen werden über ein Gerät identifiziert, das sie ohnehin immer dabeihaben – nämlich ihr Smartphone. Wer zugangsberechtigt ist, läuft einfach durch das Gate hindurch. Kontaktlos. Das spart nicht nur Zeit, sondern könnte auch eine datensichere Alternative zu bisherigen Authentifizierungssystemen sein.

Möglich macht das eine Technologie, die Nexenio entwickelt hat. Die App seamless.me ermöglicht eine Zwei-Faktoren-Authentifizierung. Das Smartphone und die App funktionieren als Token. Als zusätzliches Sicherheitsmerkmal kann die Identifizierung über die auf dem Gerät generierten Bewegungsdaten freigeschaltet werden. So ergibt sich ein individuelles Profil, das dezentral auf den Smartphones hinterlegt ist. 

Die App gleicht das Profil mit den zum Zeitpunkt der Authentifizierung vom Handy generierten Daten ab und signalisiert der Schleuse, dass der derzeitige Besitzer des Smartphones auch tatsächlich die Person ist, die Zutritt bekommen soll. Die Bewegungsdaten verlassen das Smartphone dabei nicht.

„Die große Herausforderung in den nächsten Jahren wird sein, sich frei und sicher durch das Leben zu bewegen“, sagt Patrick Hennig, einer der beiden Gründer von Nexenio. „Der Nutzer soll sich keine Gedanken mehr um Authentifizierung machen. Das Leben interagiert mit ihm – aber komplett kontaktfrei.“ 

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere runderneuerte App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Ziel des Start-ups sei es, Sicherheit und Usability zusammenzubringen. „Wir haben so viele Passwörter, so viele Schlüssel, so viele Zugangsdokumente: Da blickt kein Mensch mehr durch. Es geht den ganzen Tag nur noch darum: Wer bin ich? 40 bis 50 Mal am Tag muss ich mich authentifizieren“, sagt Hennig. Perspektivisch könne seamless.me als eine Art „universelle ID“ dienen, die eine ganze Reihe von Authentifikationsprozessen überflüssig machen soll: beispielsweise das Einchecken an Flughäfen, Übergabeprozesse an Fließbändern oder die Eingabe von Passwörtern.

© Nexenio

Die Idee für Nexenio ist am Potsdamer Hasso-Plattner-Institut (HPI) entstanden. Dort hatten Hennig und sein Mitgründer Philipp Berger studiert und gründeten das Start-up mit dem Ziel, Forschungsergebnisse schneller in die praktische Anwendung zu bringen. Ein Thema, mit dem sie bereits während ihres Studiums Kontakt hatten, sind die Probleme, die bisher gängige Authentifizierungsprozesse mit sich bringen. Der wohl geläufigste Prozess ist die Eingabe eines Passworts. 

Es stellt ein vereinbartes Geheimnis zwischen Nutzer und System dar, das der Absicherung von Zugriffs- oder Zugangsprozessen dienen soll. Mit der Einführung des Personal Computers in den 1970er und 1980er Jahren wurde diese Sicherheitsmaßnahme populär. Die Zahl der Systeme, die eine Identifikation per Passwort abfragten, war sehr überschaubar. Nutzer hatten oft nur zu einem einzigen Rechner Zugang. Folglich nutzten sie ein Passwort auch nur zu einem Zweck.

Aus Passwörtern ergeben sich Sicherheitsrisiken

Das änderte sich, als ab den 1990er Jahren auch im Netz Passwörter abgefragt wurden. Bald schon brauchte man zu sehr vielen verschiedenen Online-Diensten einen passwortgeschützten Zugang. „Einfache Passwörter sind das Ergebnis der Angst, es sich nicht merken zu können. Und viele Menschen sind sich gar nicht bewusst, wofür ein Passwort eigentlich da ist: Sie halten es nur für ein einfaches Zugangsritual“, sagt Christoph Meinel, Leiter des HPI. Daraus ergeben sich Sicherheitsrisiken. Vor allem dann, wenn die Zugangsdaten bei Hackerangriffen erbeutet werden. Nicht nur die Nutzung einfacher Passwörter ist dabei eine Gefahr, sondern auch die Datenverarbeitung seitens der Dienstanbieter: Denn das gemeinsam vereinbarte Geheimnis ist nur dann sicher, wenn beide Seiten die Geheimhaltung gewährleisten.

In der Datenbank „Identity Leak Checker“, in der das HPI frei im Netz verfügbare Nutzeridentitätsdaten speichert, finden sich mittlerweile 11,2 Milliarden Einträge. „Was wir dabei sehen: Passwörter werden von Dienstanbietern oft unsachgemäß im Klartext gespeichert. Das betrifft etwa ein Drittel aller Datensätze“, sagt Meinel. „Ein weiteres Drittel wird mit veralteten Hash-Verfahren verschleiert gespeichert, die einfach zu entschlüsseln sind.“

[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]

Selbst moderne Mehr-Faktoren-Verfahren hätten Schwachstellen, sagt Meinel. Ein Iris-Scan ermögliche zwar eine eindeutige Identifizierung. Das Muster des eigenen Auges existiert jedoch nur einmal, und wenn es bei einem Hackerangriff geraubt und öffentlich wird, kann man sich nie wieder damit authentifizieren. Die Frage „Wer bin ich?“ kann dann nicht mehr sicher beantwortet werden. Auch bei Token gebe es Probleme. Hier stehe die Frage „Was besitze ich?“ im Mittelpunkt. Einen separaten Token kann man aber auch verlieren

„Verhaltensbasierte Authentifizierung funktioniert dagegen anders“, beschreibt Meinel. „Man kann aus den Daten, die ein Smartphone sammelt, im Smartphone ein Verhaltensprofil erstellen und daraus einen Trustwert errechnen. Ohne dass das Profil nach außen gegeben wird, kann der Nutzer anhand des Trustwerts identifiziert werden.“ Und wenn das Smartphone gestohlen wird, kann sich der Dieb damit keinen Zugang verschaffen, weil sein Bewegungsprofil anders ist als das des Eigentümers.

Auch bei Nexenio sind Schwachstellen denkbar

Nexenio hat mittlerweile 60 Beschäftigte und kooperiert unter anderem mit der Bundesdruckerei und SAP. Ihre Lösung arbeitet zwar datensparsam und dezentral. Doch auch in diesem System sind Schwachstellen denkbar. Etwa bei der Speicherung des Bewegungsprofils auf dem Smartphone. Hennig sagt, dass seamless.me künftig „so viel wie möglich im Sicherheitsbereich“ des Smartphones arbeiten wolle. Die Hersteller öffneten sich langsam für solche technologischen Lösungen. Darüber hinaus lasse sich mit dem Profil, selbst wenn es erbeutet würde, wenig anfangen. Man müsse sich den Datensatz vorstellen wie einen Hash oder einen Schlüssel, sagt Hennig.

Das Krypto-Konzept wurde in Zusammenarbeit mit Marian Margraf entwickelt, Informatiker an der Freien Universität Berlin und Inhaber der Stiftungsprofessur der Bundesdruckerei für ID-Management. „Mit ihm haben wir auch unser Grundproblem diskutiert, das wir mit dieser Technologie lösen wollen: Wie kann man sicherstellen, dass sich die richtige Person authentifiziert, ohne dass ein System in Besitz des Geheimnisses ist? Das ist eine ganz elementare Datenschutzfrage“, sagt Hennig.

Bei der Authentifizierungsmeldung zwischen App und Responder hat Nexenio eine eigene Lösung entwickelt: 16 Mikrocontroller bauen ein eigenes Funknetz auf, das für Smartphones wie Bluetooth aussieht. „Wir hatten auch anfangs Probleme mit dem Stromverbrauch, ähnlich wie bei der Corona-Warn-App“, sagt Hennig. „Aber da wir das nun seit fünf Jahren machen, haben wir diese Probleme nun nicht mehr. Die Corona-Warn-App muss die ganze Zeit scannen, das muss unser System nicht.“

Auch in der Praxis findet seamless.me bereits Anwendung. Das Start-up arbeitet nun am nächsten Schritt: Unter anderem sollen viel frequentierte Gewerbeimmobilien mit der Technologie ausgestattet werden. Der Zugang zum Gebäude und bestimmten Bereichen könnte dann kontaktlos erfolgen – so wie bereits im Büro von Nexenio selbst.