Wie passive Biometrie bei der IT-Datensicherheit helfen kann

Passive Biometrie ebnet den Weg für passwortlose Sicherheit, die Hackern das Leben schwer machen kann.

In einer Zeit, in der herkömmliche Datensicherheitsmaßnahmen durch Einschränkungen wie zu große Abhängigkeit von Benutzerdiskretion und Benutzerakzeptanz eingeschränkt sind, kann die passive Biometrie ein Gleichgewicht zwischen Sicherheit und Benutzerakzeptanz bieten. Herkömmliche Sicherheitsmechanismen wie Passwörter und SMS-Codes sind nur so stark, wie der Benutzer sie macht. Es wurde festgestellt, dass viele Benutzer dazu neigen, schwache Passwörter zu setzen, weil es einfach ist, sich diese zu merken. Das widerspricht dem Hauptzweck von Passwort- oder Sicherheitscode-basierten Mechanismen. Bei der passiven Biometrie ist es nicht erforderlich, dass der Benutzer aktiv Anmeldeinformationen bereitstellt und passiv Benutzerdaten in Form von Gesichts-, Sprach- und Iriserkennungstechniken erfasst. Obwohl die passive Biometrie als IT-Sicherheitsmechanismus immer noch ihre Nische findet, kann man sagen, dass sie eine gute Balance zwischen Benutzerfreundlichkeit und Datensicherheit bietet.

Was ist Passive Biometrie?

Um Biometrie zu definieren, erklärt Tinna Hung, Marketingleiterin der Biometrie-Firma EyeVerify: “Biometrie setzt auf etwas, das man ist, und nicht auf etwas, das man kennt”.

Bei der passiven Biometrie muss man sich nicht aktiv am Verifizierungs- oder Identifizierungsprozess beteiligen, und manchmal erfordert der Prozess nicht einmal eine Benachrichtigung des Benutzers; die Authentifizierung findet einfach im Rahmen der normalen Benutzeraktivitäten statt. In diesen Fällen ist die Person nicht verpflichtet, direkt oder physisch zu handeln. Wenn das System ohne das Wissen des Benutzers läuft, bietet es die höchste Authentifizierungsstufe.

Das technologisch automatisierte System misst grundsätzlich die Verhaltens- oder physiologischen Eigenschaften eines Menschen, mit oder ohne Wissen des Benutzers. Um eine bessere Vorstellung davon zu bekommen, was passive Biometrie bedeutet, können wir uns einige vergleichende Beispiele dieses Systems im Vergleich zu aktiven biometrischen Systemen ansehen. Als aktive Biometrie wird beispielsweise jede Fingerabdruck- oder Handgeometrietechnologie angesehen, ebenso wie die Signaturerkennung und das Scannen der Netzhaut. Der Benutzer muss nämlich seine Hand anlegen oder in ein Lesegerät schauen, um ihn zu erkennen. Zur passiven Biometrie gehören jedoch Sprach-, Gesichts- oder Iriserkennungssysteme.

Wie funktioniert die Passive Biometrie?

Eine sehr gute Erklärung, wie passive Biometrie funktioniert, gibt Ryan Wilk, der Customer Success Director von NuData. In seinen Worten: “Wir betrachten, wie der Benutzer tatsächlich interagiert: wie er tippt, wie er seine Maus oder sein Telefon bewegt, wo er sein Telefon benutzt, seine Beschleunigungsmesserwerte. Wenn man anfängt, diese Daten zusammenzuführen und zu einem Profil zusammenzufassen, dann beginnt man, etwas aufzubauen, das wirklich tiefgründig und einzigartig ist, und etwas, das extrem schwer zu fälschen ist.”

Passive Biometrie bietet Unternehmen die Möglichkeit, die Identität ihrer Kunden in Abhängigkeit von ihrem natürlichen Verhalten in technologischen Interaktionen zu überprüfen. Der kontinuierliche Prozess dieser nicht-intrusiven Lösung bleibt für die Benutzer unsichtbar, da sie keine Registrierung oder Berechtigung für die Hintergrundverarbeitung erfordert; sie fordert die Kunden nicht auf, während ihres normalen Betriebs zusätzliche Aktionen durchzuführen. Die Echtzeitanalyse von Verhaltensdaten liefert den Unternehmen genaue Einschätzungen, um Eindringlinge von den authentischen Kunden zu trennen. Da personenbezogene Daten (PII) nicht aufgezeichnet werden, erhalten Hacker niemals vertrauliche Daten, um die Benutzeridentifikation zu stören. Passive Biometrie ist ein revolutionärer Fortschritt auf dem Weg der Identitätsprüfung, der jede Chance auf Betrug aus dem Kern des Authentifizierungssystems der Organisation auslöschen und ein neues Maß an Vertrauen in den gesamten Lebenszyklus des Benutzerkontos schaffen kann.

Warum ist es wichtig?

Mit der Technologie entstehen immer wieder neue Systeme und Sicherheitsbarrieren, um das gesamte Netzwerk vor bösartigen Aktivitäten zu schützen. Doch kann es auch verhindern, dass brillante Hacker und Betrüger für immer Schwachstellen im System finden? Nein. Aber wenn sie kein Wissen über einen laufenden Prozess haben, wie können sie dann den Verifizierungstest bestehen? Wenn sie nichts von einem Hintergrundsystem wissen, werden sie überhaupt keine Vorkehrungen treffen. Hier unterscheidet sich die passive Biometrie von anderen Verifikationsmethoden. So liegt auch hier die Bedeutung. Es kann keine Betrügerei stattfinden, wenn der eigentliche Verwendungsgrund von Betrügereien am Anfang ausgeräumt wird.

Datensicherheit durch passive Biometrie

Der Bedarf an ausgefeilteren und zufriedenstellenden Sicherheitssystemen steigt seit langem in die Höhe. Die Nachfrage treibt nun die Sicherheitsnetzwerke in Richtung Biometrie, insbesondere die passive Technologie, bei der die Nutzer je nach Verhaltensmerkmalen nicht mehr über den Prozess der Identifikation informiert werden müssen.

Hung erklärte: “Eine gut implementierte biometrische Lösung fügt sich natürlich in den normalen Ablauf des Nutzerverhaltens ein.” Die passive Biometrie hat den entscheidenden Vorteil, dass sie nicht nur ein Profil der Maschine selbst erstellt, sondern auch ein Profil der Person, die die Maschine benutzt. Wie Wilk erklärt, öffnet der passive Ansatz das Buch zum Verständnis des Benutzers auf “fast unbewusster Ebene”.

Ein weiterer passiver Ansatz, der von der Firma BioCatch entwickelt wurde, besteht darin, die Aktivitäten der Benutzer aufzuzeichnen und zu analysieren, von denen sie nicht einmal wissen, dass sie es tun. Physikalische Merkmale wie die Fingerabdruckmessung über einen Touchscreen, der Einsatz der aktiven Hand (links oder rechts) mit der Mouse oder die Frequenz der Hand des Benutzers, die das Gerät hält, liefern eine exakte Kombination von Daten zur akuten Identifizierung eines eindeutigen Kunden. Zusätzlich helfen kognitive Eigenschaften wie die Methode des Web-Scroll-Verhaltens (Pfeiltasten, Mouse-Rad, Seite auf und ab, etc.) oder die Technik des Haltens der Geräte (horizontal oder vertikal, der Neigungswinkel der Geräte, etc.) auch, die Authentifizierung des Systems zu stärken.

Laut Oren Kedem, Vice President of Product Management bei BioCatch, nutzen sie auch “unsichtbare Herausforderungen” für die Anwender, bei denen sich das normale Verhalten des Anwenders kaum verändert. Beispielsweise kann die Anwendung einige Pixel des Cursors in eine andere Richtung ändern oder die Geschwindigkeit des Seitenlaufs leicht verändern, um die eindeutige Reaktion der Benutzer zu testen. Ihre Reaktionen auf diese Vorfälle sind unglaublich einzigartig, was sich nicht wiederholen lässt.

Wie Kedem sagt: “Wir verfolgen nicht nur, was Sie tun, wir beeinflussen auch, was Sie tun. … Wir stellen Ihnen eine Frage, ohne dass Sie gefragt wurden, und Sie geben uns eine Antwort, ohne dass Sie es wissen. Es ist ein Geheimnis, das nicht gestohlen werden kann, wie ein Passwort oder ein Code.”

Das System ist so programmiert, dass es automatisch Keylogging-Botnets erkennt und verhindert, die die Bewegungen des Ziels aufzeichnen und wiedergeben. Denn die Nachahmung einer Benutzerantwort ist bei unsichtbaren Herausforderungen, die sich innerhalb der App ständig ändern, nahezu unmöglich.

Sind traditionelle Methoden nicht mehr sinnvoll?

Eine 90-Tage-Studie von Nudata Security im Jahr 2015 ergab ein Wachstum von 112% bei den Web-Angriffen auf Passwörter und Benutzernamen ab 2014. Was ist die Ursache dafür, dass sich die Hacker gegenüber herkömmlichen Sicherheitssystemen weiterentwickeln? Wir sollten etwas gründlicher darüber nachdenken.

Was wir alle tun, ist die Stärke unserer Passwörter zu kompromittieren, um sie leicht zu merken. Hier liegt der Täter. Es gab eine Zeit, in der eine Person nur zwei oder drei Konten online verwaltete, und es war nicht allzu schwer, sich kritische Passwörter für eine kleine Anzahl von Anwendungen zu merken. Der Prozess war also relevant, um die Identität der Person zu dieser Zeit zu schützen.

Aber jetzt hat sich das Bild deutlich verändert. Wir haben alle eine Menge Konten, so viele, dass wir manchmal nicht einmal den Überblick behalten können. Ist es nun möglich, sich für jedes Konto ein Passwort aus Zufallszahlen, Symbolen und Buchstaben zu merken? Definitiv nicht. Was wir tun, ist also die Sicherheitsvorkehrungen zu gefährden, indem wir ein Muster für alle unsere Passwörter mit einigen bekannten Informationen beibehalten, oder wir vergessen die zufällige Auswahl von starken Passwörtern und müssen sie dann die ganze Zeit wiederherstellen.

Der indirekte Weg, die Identität einer Person zu schützen, ist nun die Lösung für die Zufriedenheit und Sicherheit der Benutzer, da wir keine Wahl treffen müssen, um unser System sicher zu halten und uns daran zu erinnern. Hacker haben auch Probleme damit, herauszufinden, wo das Sicherheitssystem implementiert ist. Daher funktionieren ihre bisherigen Möglichkeiten, Zugang zu den Konten anderer zu erhalten, nicht mehr gut.

Was ist die Zukunft?

Biometrische Systeme werden laut Grissen und Hung nicht in der optionalen Phase bleiben, sondern in naher Zukunft über das gesamte Netzwerk der Sicherheitssysteme zu den Themen “Sicherheit versus Komfort” herrschen.

Die Technologie wird immer genauer und lässt sich immer einfacher in eigene Web- und Mobilanwendungen integrieren. Neue Algorithmen sind in Arbeit, um zusätzliche Telemetrie zur Erweiterung der Verhaltensprofile wie z.B. der Geräteorientierung über einen weiten Bereich von Geräten zu implementieren.

Die Konsolidierung zwischen den Marktsegmenten SIEM (Security Information and Event Management) und UEBA (User and Entity Behavior Analytics) ist die Zukunft für das Wachstum in allen Geschäftsbereichen, wie wir im Falle der SIEM-Anbieter, der Übernahme von Caspida durch Splunk, sehen können. Sie planen weitere Möglichkeiten, um ihren Kunden eine effektivere Erfahrung in ihren SIEM-Implementierungen zu bieten, indem sie die lange Geschichte der vorhandenen Daten mit einbeziehen. Die verschiedenen Formen der Verhaltensanalyse sind eine zwingende Ergänzung, um das Sicherheitsproblem zu mildern und den langfristigen Kalten Krieg gegen die Betrüger zu gewinnen.

Abschließend

Letztendlich können wir sagen, dass die Zukunft für Betrüger eine Menge schwerer Zeiten bringt, da sie durch den kombinierten Angriff von Wissensverifikation und Verhaltensanalyse in Sicherheitsverfahren niedergeschlagen werden. Im Jahr 2016 erklärte die stellvertretende Finanzministerin Sarah Bloom Raskin: “Das Systemdesign entwickelt sich weiter, um die Herausforderung der Authentifizierung durch gestohlene oder leicht zu kompromittierende Passwörter zu bewältigen: Bei der nächsten Generation der Online-Identitätsprüfung geht es darum, zu kombinieren, was Kunden wissen und haben, was sie tun und was sie nicht tun, bzw. verhaltensbiometrische Daten”.

Hilfreich? Wenn ja, würden Sie es mit anderen teilen, die es auch zu schätzen wissen? Herzlichen Dank!
Security Wiki
Previous reading
Brandenburger Tor
Next reading
Rheinsberg