Verhaltensbasierte Biometrie – Mausschubsen für mehr Sicherheit (27)




Biometrie ist mehr als nur das Vermessen von Körpereigenschaften. Verhaltensbasierte Biometrie identifziert Dich anhand Deines Tippverhaltens oder der Art wie Du die Maus bewegst.

Selbst wie Du den Mauszeiger suchst, kann Dich identifizieren.



Subscribe on Android





Physiologische Biometrie

In der vorherigen Folge Nummer 26 hatten wir das Thema Biometrie ja schon mal. Da ging es jetzt mehr um Biometrie in dem vielleicht klassischen Sinne, nämlich der physiologischen Biometrie, also dem Messen von direkt messbaren Körpereigenschaften.

Was wir uns da angeschaut hatten, waren Fingerabdrücke oder Gesichtserkennung als Zugriffskontrolle, zum Beispiel, um das Smartphone zu entsperren.


Verhaltensbasierte Biometrie

Heute geht es um verhaltensbasierte Biometrie, also wie unser Verhalten messbar gemacht wird, zum Beispiel, indem angeschaut wird,

  • wie tippen wir,
  • wie bewegen wir die Maus auf dem Bildschirm oder
  • wie benutzen wir einen Touchscreen.

Muster in menschlichem Verhalten

Das heißt, es wird versucht, ein Muster in unseren menschlichen Aktivitäten zu finden und dieses Muster zu verwenden, um uns zu identifizieren, um zu erkennen, wer wir sind.

Wir schauen uns jetzt im Folgenden an,

  • was ist verhaltensbasierte Biometrie,
  • was für Beispiele gibt es dafür,
  • aber natürlich auch, welche Gefahren erwachsen daraus,
  • und am Ende, wie kann man mit dem Ganzen sinnvoll umgehen?

Die Historie verhaltensbasierter Biometrie

Jetzt klingt das Thema verhaltensbasierte Biometrie hier erst mal so, als wäre es eine relativ neue Geschichte, aber eigentlich gibt es das schon relativ lange.


Telegrafen

Wir haben von 1860 zum Beispiel ein Beispiel, wo Telegrafen einander anhand des Rhythmus, mit dem Morsesignale geschickt wurden, erkannten. Das heißt, diese Abfolge von Lang und Kurz blieb immer gleich, aber der Takt, der Rhythmus, in dem das kam, erlaubte halt jemandem mit etwas Erfahrung zu erkennen, wer auf der Gegenseite saß.


Unterschriften

1977 gab’s auch ein Patent, wo Unterschriften auf ihre Gültigkeit hin untersucht werden sollten, nicht nur aufgrund des äußeren Erscheinungsbildes, wie sieht diese Unterschrift aus, sieht die richtig aus oder nicht, sondern aufgrund des Drucks, der beim Schreiben der Unterschrift ausgeübt wurde.

Vergleich Unterschrift vs. Passwort

Wenn man sich das dann heute mal anschauen würde, dann wäre dieses Unterschriftenbeispiel sowas wie euer Passwort.

Wenn euer Passwort richtig ist, also der richtige Text, dann wäre die Unterschrift optisch richtig.

Wenn aber der Druck der Unterschrift auch noch richtig sein soll, heißt das, euer Passwort muss auch noch genauso eingegeben werden, wie es sich gehört. Das heißt also, in der richtigen Geschwindigkeit, vielleicht mit den richtigen Pausen bei den komplizierten Zeichen, wo ihr erst gucken müsst, wo ist denn noch mal das $, das %, das &-Zeichen auf Tastatur. Diese pausen, diese Geschwindigkeitsunterschiede, die machen eure Passworteingabe genauso individuell wie die Druckverteilung bei eurer Unterschrift.


Kundschaft: der Finanzsektor

Ihr merkt schon, hier geht es tatsächlich um solche Eigenschaften, die auch viel damit zu tun haben, wirklich die Identität von Personen nachzuweisen. Und da verwundert es vielleicht nicht, dass viele der Beispiele, die man aus dieser verhaltensbasierten Biometrie hört, aus dem Umfeld Finanzen-, Bezahlwesen kommen.

Also man möchte vermeiden, das Geld im Prinzip gestohlen wird, dass ihr betrogen werdet mit euren Konten oder dass generell irgendwie Transaktionen stattfinden von Leuten, die sich als jemand anders ausgeben.


Beispiel Kreditkarte

Wie läuft das heute ab, wenn ihr mit der Kreditkarte bezahlt? Ihr benutzt die vielleicht vorwiegend in Deutschland, vielleicht mal, um den Urlaub damit zu bezahlen oder den Mietwagen, aber wenn jetzt auf einmal eure Karte im tiefsten Hinterland Chinas eingesetzt wird, um damit irgendwelche dubiosen Sachen in irgendeinem russischen Online-Shop zu kaufen, dann ist eine gute Chance, dass eure Kreditkarten-Firma sich bei euch meldet, weil ihr einfach ein Muster, das über euch angelegt wurde, verlassen habt beziehungsweise eure Kreditkarte und einfach gefragt wird, seid ihr das, wollt ihr das wirklich und war vielleicht das Muster vorher einfach nicht umfassend genug?

Dasselbe kann man jetzt natürlich auch mit dieser verhaltensbasierten Biometrie sich überlegen, halt einen Schritt weiter.


Welche Verhalten können zur Identifikation verwendet werden?

Das heißt, jetzt geht es da drum,

  • wie sind eure Tastatureingaben, wenn ihr zum Beispiel eure Kreditkartennummer eingebt, wenn ihr euer Passwort eingebt, aber auch,
  • mit welcher Hand haltet ihr euer Telefon einfach aufgrund der Lagesensoren in eurem Telefon und
  • wie zittert ihr zum Beispiel ganz leicht, wenn ihr euer Telefon haltet und vielleicht immer charakteristisch oder
  • wie bewegt ihr euer Telefon, wenn ihr mit dem Daumen da eure PINs eingebt.

Solche Sachen werden untersucht und es wundert dann vielleicht nicht, dass so Firmen wie NuData, die solche Biometrie-Lösungen anbieten, von Mastercard gekauft werden, und dass in dem Bereich halt relativ viel Bewegung ist.

Die Firma BioCatch behauptet von sich zum Beispiel, dass sie über 500 verschiedene Kriterien im Zugriff hat, um jemand zu identifizieren. Da sind die Sachen bei, das Tippverhalten, aber auch, wie scrollt ihr zum Beispiel über eine Webseite, wie benutzt ihr die Maus, wie benutzt ihr das Touchpad.

Es wird dann geschaut, bei welchen Kriterien seid ihr am signifikantesten, und auf Basis dessen wird dann halt so ein Fingerabdruck für euch erstellt, woran man euch erkennen kann.


Die versprochenen Vorteile verhaltensbasierter Biometrie

Jetzt werden solche biometrischen Lösungen natürlich auch mit gewissen Vorteilen angepriesen.

bessere Sicherheit?

Zum einen wird gesagt, diese Identifikation über euer Verhalten ist natürlich viel, viel feingranularer und individueller als nur über ein Passwort. Ein Passwort kann geklaut werden, dieses feingranulare Verhalten, wie gesagt, 500 Kriterien, das muss erst mal jemand nachmachen beziehungsweise es wird behauptet, das kann ein Mensch nicht nachmachen, das kann man nicht kopieren.

kontinuierliche Überwachung?

Der 2. Vorteil, der oft genannt wird, ist diese kontinuierliche Überwachung.

Der Punkt beim Einloggen ist halt, ihr werdet einmal überprüft, nämlich beim Einloggen, und wenn man dann danach zum Beispiel euch durch einen Kriminellen, euch durch eine Malware ersetzen würde, wird das niemand merken.

Beim Verhalten seid ihr im Prinzip die ganze Zeit hier unter Beobachtung. Ihr scrollt ja die ganze Zeit, ihr benutzt die Maus die ganze Zeit, ihr tippt immer mal wieder was ein und jede einzelne dieser Interaktionen ist dann natürlich genau ein weiteres Puzzle-Steinchen in diesem „seid ihr es oder seid ihr es nicht“-Bewertungsverfahren.

Zweifel durch Tests ausräumen?

Genau in diesem Bewertungsverfahren können ja auch Zweifel auftreten und das ist ein 3. Vorteil, der genannt wird, man kann Zweifel durch Tests ausräumen, BioCatch nennt es Invisible Challenges.

Dann werden Tests eingestreut, um zu gucken, seid ihr es wirklich, wenn man zum Beispiel daran zweifelt gerade.

Mögliche Tests

Solche Tests können sein wie, euer Verhalten darauf,

  • wenn die Maus verschwindet oder
  • die Maussteuerung sich leicht ändert.

Typischerweise scheint es so zu sein nach deren Publikationen, wenn der Maus-Cursor verschwindet, gibt es unterschiedliche Arten die Maus wiederzufinden. Ich schrubble halt typischerweise so von links nach rechts, andere fahren scheinbar Kreise oder machen von oben nach unten.

Dieses verhalten, wie suchst du deinen Maus-Cursor ist offensichtlich sehr individuell und kann ein Kriterium sein, um zu gucken, ist er es oder ist er es nicht.

Wenn jetzt die Bank Zweifel hat oder diese BioCatch-System bei der Bank-Webseite Zweifel hat, ob ich wirklich da vorm Rechner sitze, verschwindet vielleicht mal kurz der Maus-Cursor, ich fang an zu schrubbeln von links nach rechts und dann taucht er wieder auf und die Bank denkt sich, okay, der hat die Maus genauso gesucht, wie er sie normalerweise auch sucht, dann passt das.

Ein anderes Verfahren, was da wohl eingesetzt wird, ist, wenn die Maussteuerung leicht abweicht, also im Prinzip die Maus nicht genau das macht, was sie eigentlich tun soll, sondern leicht nach oben oder nach unten zieht. Da müsst ihr gegensteuern, um euer Ziel zu treffen, wo ihr hin klicken wollt, und dieses Gegensteuern ist wohl auch sehr individuell.

Und auch bei diesen Auswahlrädern, was ihr von den Smartphones kennt, wo ihr Datum oder sonst was auswählt, da kann man offensichtlich leichte Verzögerungen, leichte Beschleunigungen einbauen, und die Art wie das korrigiert wird, ist halt wohl ziemlich individuell pro Person.


Grund zum Mißtrauen: „Fehler“ auf Webseiten

Das heißt, wenn ihr in Zukunft mal über solche Vielleicht-Fehler auf Webseiten stolpert, auf Bedienungen in Apps, könnt ihr euch fragen, ob das eigentlich gerade ein Fehler ist oder ob ihr gerade getestet werden sollt auf eure Identität.

Wenn ihr da was beobachtet, schreibt mir an mitch@datenwache.de, finde ich superspannend.


Gefahren durch verhaltensbasierte Biometrie

Aber wir wären nicht bei der Datenwache, wenn ich bei solchen Verfahren nicht auch Gefahren sehen würde.

Wir haben jetzt die ganze Zeit darüber gesprochen, wie wir auf Basis unseres Verhaltens identifiziert werden.

Jetzt muss man natürlich sagen, mein Verhalten, wie ich was auf der Tastatur eingebe, wie ich eine Maus bediene und wie ich auf einer Webseite scrolle, ist ja nicht nur bei meinen Banken so, sondern das ist genauso, wenn ich Google bediene, wenn ich auf irgendwelchen Webseiten surfe, wenn ich im Forum unterwegs bin oder wenn ich in irgendeinem Online-Shop was einkaufe.


Mein Verhalten kann mich überall identifizieren, nicht beim beim Online-Banking

Das heißt, es spricht natürlich nichts dagegen, dass ich auf Basis meines Verhaltens irgendwo identifiziert würde, wo ich das vielleicht gar nicht will. Bei meiner Bank hätte es den Vorteil, es wird Betrug verhindert.

Aber will ich zum Beispiel, dass Google mich anhand meines Verhaltens identifiziert oder irgendein Web-Shop mich auf Basis meines Verhaltens identifizieren kann?

Bei den technischen Identifikationen, die wir im Augenblick haben, meine IP-Adresse, mein Browser, irgendwelche Cookies, sowas kann ich löschen, sowas kann man entfernen.

Da kann ich den Browser wechseln, da kann ich eine andere IP nehmen, ich kann einen anderen Rechner nehmen, da habe ich zumindest Möglichkeiten.


Mein Verhalten kann ich nicht ändern

Wenn es um mein Verhalten geht, und da sind wir genau bei diesen Themen wie letztes Mal bei der physiologischen Biometrie, mein verhalten kann ich nicht ändern, ich kann mir nicht angewöhnen, in Zukunft anders zu tippen und anders die Maus zu bewegen.

Und selbst, wenn ich die beiden Sachen ändern kann, BioCatch sagt, 500 verschiedene Kriterien, die ich ja noch nicht mal kenne, also wie soll ich das ändern?

Keine Chance. Also de facto, das würde eine Überwachung ermöglichen, von der ich überhaupt nicht weiß, wo sie stattfindet.


Was, wenn mein Verhalten kopiert oder gestohlen wird?

Die andere Gefahr, die natürlich existiert, ist, solche Daten können geklaut werden oder gefälscht werden. Auch wenn natürlich gesagt wird, sowas kann nicht nachgemacht werden, sowas wird sicher aufbewahrt, das typische Blabla, das alle die gesagt haben, denen Passwörter und Daten im großen Stil geklaut wurden.

Ihr könnt auf der Datenwache im Newsletter KLARTEXT! durchaus ja solche Sachen immer mal wieder erfahren. Wir hatten vor ein paar Wochen auch den Fall, wo Fingerprint Informationen gestohlen wurden beziehungsweise im Darknet gehandelt wurden, um genau solche Identifikationsverfahren bei Kreditkartentransaktionen halt zu umgehen.

Also die Wahrscheinlichkeit, dass sowas gestohlen wird, die Wahrscheinlichkeit, dass es Methoden gibt, um sowas zu umgehen, solche Sicherheitsverfahren, die Wahrscheinlichkeit ist ja durchaus da und die ist bei weitem nicht klein.

Wie beweise ich dann meine Unschuld?

Dann ist natürlich die Frage, wenn jetzt mit so einem komplexen Verfahren Betrug ausgeübt wird, wie leicht ist es mir dann noch zu beweisen, dass ich das nicht war? Wenn meine Karte geklaut wird und ich irgendwie überzeugend sagen kann, meine PIN stand da nicht drauf, dann bin ich, glaube ich, bei der Haftung einigermaßen auf der guten Seite. Genauso vielleicht, wenn mein E-Mail-Account irgendwo entwendet wurde.

Aber wenn jetzt am Tatort ein Fingerabdruck von mir auftaucht, dann bin ich vielleicht schon ein bisschen mehr am Diskutieren.

Wenn solche Verfahren hier behaupten, auf Basis von 500 Kriterien rausgefunden zu haben, dass ich das war und irgendwelche Menschen vielleicht auch noch Gutachten rausziehen, die sagen, sowas kann man gar nicht fälschen und geklaut wurde 3-mal nichts, dann muss ich erst mal beweisen, dass ich das nicht gewesen bin.

Ich kriege mit diesen extrem komplexen Verfahren, um meine Identität darzustellen, auch eine gewisse Beweislastumkehr, wo wir fast nicht mehr in der Lage sind zu beweisen, ob wir etwas gemacht haben oder nicht.

Das ist natürlich auch die Idee im Prinzip von diesen Identifikationsverfahren, aber man muss halt auch immer die Schattenseite sehen, dass sowas halt auch missbraucht werden kann.


Wie gehen wir mit Biometrie um?

Damit stellt sich natürlich auch die Frage, wie gehen wir mit sowas um? Es gibt natürlich erst mal so die rein technische Vorgehensweise zu sagen, wenn wir verhindern wollen, dass Daten über uns erfasst werden, dann sollten wir zumindest mal ein paar Gegenmaßnahmen treffen.


Berechtigungen der Smartphone-Sensoren

Ganz wichtig, die Berechtigung irgendwelcher Apps auf euerm Smartphone, auf welche Sensordaten dürfen die zugreifen, sowas gebt ihr halt dann der App nur frei, wenn die App auch irgendwie sinnvollerweise was damit machen kann.

Eine Wasserwaagen-App braucht vielleicht einen Lagesensor, eure Banking-App … nun ja.


Tracker blockieren

Genauso solltet ihr Skripte, Tracking-Skripte im Netz blockieren mit uBlock Origin, dass ihr einfach solche Skripte, die euch im Netz nachverfolgen wollen, blockiert.

Denn wenn sowas mit der verhaltensbasierten Biometrie auch weitergeht über Bank-Seiten hinaus, dann müssen das ja auch Applikationen auf der Webseite sein, und die wollt ihr dann entsprechend rausfiltern.

Wenn jetzt allerdings eure Bank beschließt sowas einzusetzen und ich hab den Eindruck, noch ist das einigermaßen selten der Fall, aus Amerika gibt es ein paar Fälle, dass das gemacht [1] wurde, aber die Wahrscheinlichkeit, dass das rüber schwappt, ist natürlich relativ groß, aber wenn eure Bank jetzt sagt, sie will das einsetzen, dann nutzt euch Blockieren da halt typischerweise recht wenig, weil das macht eure Bank als Voraussetzung dafür, dass ihr das Online-Banking verwenden, benutzen könnt, und wenn ihr das blockiert, funktioniert die Webseite nicht.

Das Problem hat man schlicht und ergreifend, wenn man auch viele von diesen Trackern oder viele von diesen JavaScripts blockieren möchte.


Mit den Füssen entscheiden: Meidet Unternehmen, die solche Technologien einsetzen

Das heißt, dann müsst ihr eigentlich mit den Füßen abstimmen. Dann müsst ihr sagen, okay, dann will ich zu einer Bank gehen, die sowas nicht einsetzt oder ihr versteht es halt und ihr akzeptiert, dass es für euch okay ist und setzt es da ein, lasst es da halt geschehen und verwendet die Bank halt weiter.

Wichtig ist aber, wenn euch das stört, achtet drauf und vor allen Dingen sagt etwas. Wenn nichts passiert, denkt jede Bank, sie machen ja nur was Gutes, man muss halt schon entsprechend auch ein bisschen Widerstand leisten, damit zumindest klar wir, dass wir damit nicht einverstanden sind, wenn dich das Thema stört.

Ich denke, das ist ein einigermaßen kontroverses Thema, es geht halt um Sicherheit, es geht um Geld, aber es ist halt auch ein Verfahren, das viel mehr Nachverfolgung ermöglicht als zum Beispiel nur so reine Fingerabdruckverfahren oder irgendwie Gesichtserkennung. Und selbst das sind ja schon Eigenschaften, die wir nicht mehr ablegen können, aber das Verhalten, es wird halt immer komplexer, solchen Systemen zu entgehen.

Mich würde es sehr interessieren, wie du darüber denkst. Wenn du eine Meinung dazu hast, hinterlasse gerne einen Kommentar im Blog oder schreibe mir eine Nachricht an mitch@datenwache.de.

Dein Mitch


LINKS

[1] NatWest implementiert Verhaltensbiometrie für Online-Banking

Verhaltensbiometrie: Websiten und Apps lernen, wie Sie tippen, um Ihr Telefon und Ihre Maus zu verwenden

Verhaltensbiometrie ist nicht neu. Warum sind sie gerade jetzt so heiß?



Leave a Reply 2 comments