IT-Sicherheit und Usability
Was ist Usable Security?
Security ohne menschliche Interaktion
Professor Alt von der Universität der Bundeswehr ist überzeugt: Security ist dann am besten, wenn der User sie - zumindest in der oberflächlichen Anwendung - nicht mehr wahrnimmt. Er forscht beispielsweise an Authentifizierungs-Szenarien via Verhaltensbiometrie. Während in der physischen Biometrie beispielsweise ein Fingerabdruck genutzt wird, um Menschen zu identifizieren, versucht man in der Verhaltensbiometrie einem Menschen bestimmte Verhaltensmuster zuzuordnen. Ein ähnliches Konzept setzen Finanzdienstleister ein, um durch verdächtige Bezahlvorgänge Kreditkartenmissbrauch zu erkennen.
Dies lässt sich theoretisch auf andere Technologien übertragen: Zum Beispiel kann mit der genauen Tippgeschwindigkeit eines Nutzers und den Abständen zwischen dem Drücken der Tasten auf dem Smartphone oder der Tastatur festgestellt werden, wer das Gerät gerade nutzt. Diese Verhaltensmuster können Systeme mithilfe von Machine-Learning-Methoden erlernen, speichern und vergleichen. Stimmt das Verhalten nicht mit dem des richtigen Nutzers überein, kann das System den Zugriff verweigern.
In der Praxis setzt auch Alt für seine Forschung im ersten Schritt bei den Nutzern an, um zu verstehen, wie diese sich im Umgang mit Maschinen verhalten. Erst dann kann er festlegen, welche Parameter geeignet sind, um einen Menschen für ein System identifizierbar zu machen.
Räumliche vs. zeitliche Parameter
Ein Fallbeispiel ist der Zugang zu einem Gebäude: Wie läuft der Nutzer auf den Eingang zu? Stellt man beispielsweise eine Pflanze in den Weg, wird die Vorhersage genauer: Umgeht der Nutzer sie von rechts oder links? Bringt man ein Display im Außenbereich an, wie reagiert die Person dann? Riskiert sie einen Blick, zwei, drei?
Ein wichtiger Aspekt sei zudem die Frage, wie leicht diese Muster von anderen Menschen imitiert werden können. Erstes Ergebnis: Beim Tippen auf Smartphones sind räumliche Parameter besser als zeitliche. Zwar könne man laut Alt einen Benutzer mit der Tippgeschwindigkeit genauer identifizieren als mit der Analyse der exakten Stelle, an der er auf den Bildschirm tippt. Doch die Tippgeschwindigkeit sei auch leichter nachzuahmen.
Die Sache mit dem Datenschutz
Das Sammeln der Verhaltensdaten ist im Anwendungsfall vor dem Hintergrund des Datenschutzes nicht unbedenklich. "Natürlich überlegen wir auch, wie die Systeme an relevante Daten kommen, ohne sensitive Daten zu verarbeiten", erklärt Alt. Ein Ansatz sei die Entwicklung von Filtermechanismen.
Die Verhaltensbiometrie funktioniere aber zum Beispiel auch mit Blickdaten, die, so die Meinung des Wissenschaftlers, in naher Zukunft nicht mehr privat bleiben: Große Unternehmen wie beispielsweise Apple und Facebook interessierten sich für Eye-Tracking-Technologien, um durch Blickbewegungen mehr über die Interessen der Nutzer zu erfahren. Laut Alt sei klar, dass die nächste Hardware-Generation damit ausgestattet sein wird. "Das ist eine Technologie, die kommt, das ist nicht aufzuhalten."