1.2.3 Benutzeridentifikation

Erkennen Sie sich auch manchmal morgens im Spiegel nicht? Nicht so schlimm. Allerdings kann es problematisch werden, wenn eine Person zweifelsfrei identifiziert werden muß. Schon im Alltag spielen wir dieses Spiel ständig beim Telefonieren. Wenn zwei Personen miteinander telefonieren, dann wollen beide sicher sein, daß am anderen Ende auch die Person sitzt, mit der man sprechen wollte. Normalerweise macht man das in mehreren Phasen. Zunächst wird der Name abgefragt, dann achtet man auf die Stimme, auf typische Phrasen oder auf die Stimmlage. Daß dies alles nicht immer zuverlässig ist, davon leben Hollywood und die Autoren von Kriminalromanen.

Bei der Kommunikation über Leitungsnetze kann man nun nicht zuverlässig nach Gesichtszügen oder anderen rein visuellen Eigenschaften prüfen. Selbst oder auch gerade Videoübertragungen erlauben vielfältigste Manipulationen.

Es gibt deswegen ein ganze Reihe von Verfahren, die es erlauben mehr oder weniger sicher eine Identifikation durchzuführen.

Paßworte

Das einfachste kennen Sie alle und wenden sie wohl auch häufig an. Mit Hilfe von Paßworten identifiziert man sich in der Regel gegenüber automatisierten Dienstleistungen wie Geldautomaten, Mobiltelefonkarten, Kreditkarten oder Computerterminals.

Aber schon hier werden die Schwächen von Paßworten offensichtlich:

• Ist das Paßwort gut im Gedächtnis zu behalten, so ist es leicht kompromittierbar. Wird es an offensichtlicher Stelle ungesichert notiert, so ist es ebenfalls angreifbar. Ein sicheres Paßwort ist kompliziert und nicht leicht auswendig zu lernen.
  Vor allem im Computerbereich wird immer noch allzu oft der Fehler gemacht, kurze gut zu behaltende Worte zu benutzen. So zum Beispiel der eigene Vor- oder Nachname, Namen von Freund, Freundin, Geliebter, Hund, Papagei, etc. Oder von Lieblingshelden, Dichtern oder Komponisten. Auch derbe Bezeichnungen aus dem erotischen Bereich werden gerne genutzt, weil "sich sonst keiner traut" - Hacker prüfen das als erstes nach. Und wie oft hat man Erfolg damit! Gute Paßworte bestehen aus zufälligen Zeichenfolgen, die auch Ziffern oder Sonderzeichen enthalten.
  
• Ein Paßwort kann beim Eintippen oder Sprechen leicht ausgespäht werden.
  Gerade bei Kredit- oder Scheckkarten passiert das recht häufig. Beliebter Tummelplatz zum Ausspähen sind Tankstellen am Samstagmittag. Wenn die Tankstelle voll ist und an der Kasse viele Leute stehen, läßt sich gar nicht vermeiden, daß einem beim Eintippen über die Schulter geschaut wird. Und schon ist die Geheimnummer (das Paßwort) nicht mehr geheim. Gleiches gilt für Büros, in denen einige Computer stehen. Tippt ein Angestellter sein Paßwort ein, können es die in der Nähe sitzenden sehen.
  
• Bei der Übertragung des Paßwortes vom Terminal zum Rechner kann die Leitung angezapft sein. Das Paßwort kann dann mitprotokolliert werden.
  Bei heute üblichen LANs gibt es genügend Möglichkeiten, die Paßwörter, die über die Leitungen laufen, mitzuprotokollieren. Es gibt eine große Auswahl von Software für diesen Zweck. Deswegen werden in modernen Systemen Paßworte vor der Übermittlung verschlüsselt.
  
• Um das Paßwort zu prüfen, muß es irgendwo abgespeichert sein. Solche Paßwortdateien sind extrem angreifbar.
  Auch hier werden in modernen Systemen Paßworte verschlüsselt und für die Allgemeinheit unzugänglich aufbewahrt. Das Paßwort wird dabei in keinem Fall im Klartext abgespeichert, sondern nur in seiner verschlüsselten Form. Wird ein Paßwort eingetippt, so wird es zunächst verschlüsselt und das Resultat dann mit dem gespeicherten Muster verglichen. Trotzdem gibt es auch hier Programme, die unter bestimmten Voraussetzungen zumindest schlechte Paßworte sehr schnell finden [D].
  

Identifikationskarten

Die nächste Stufe sind Identifikationskarten. Hierbei wird damit gerechnet, daß die Kopie der Karte äußerst schwierig ist. Man kennt zur Zeit vor allem Magnetstreifen- und verschiedenartige Chipkarten. Möchte man sich gegenüber einer anderen Instanz ausweisen, so benutzt man die Karte entsprechend. Man läßt den Magnetstreifen auslesen oder den Chipinhalt. An dieser Stelle wäre das System noch sehr angreifbar, denn Karten können verloren gehen oder werden gestohlen.

Als letzte Sicherheit verlangt dann die Karte, daß sich die Person ihr gegenüber ausweist. Das geschieht üblicherweise mit einer PIN (persönliche Identifikationsnummer, meist vierstellig), also einem kurzen Paßwort. Und an dieser Stelle greifen wieder die Schwächen von Paßworten - das Problem wurde nur eine Ebene weiter angesiedelt. Daß dieses Problem tatsächlich existiert, kann man an den Schlagzeilen ablesen, die solche gestohlene Karten mitunter verursachen.

Aus diesem Grunde werden Systeme gesucht, die wirklich die Person identifizieren können, nicht ihr Wissen prüfen (Paßworte prüfen Wissen, nicht persönliche Eigenschaften). Als Absicherung sind deswegen schließlich nur biologische oder physiologische Eigenschaften des Eigentümers eines Schlüssels geeignet.

Fingerabdrucksysteme, Netzhautabtastung

So werden in der Computertechnik Fingerabdrucksysteme eingesetzt. Diese fertigen Fingerabdruckanalysen an, wobei zusätzlich nach dem Hämoglobingehalt gesucht wird. Denn man könnte ja sonst einen Wachsabdruck oder den toten Finger des Besitzers benutzen. Solche Systeme werden dort eingesetzt, wo eine wirklich persönliche Identifikation gebraucht wird. Fingerabdrucksysteme gibt es schon länger für den PC-Bereich.

Auch wenn es ziemlich utopisch und nach James Bond klingt, auch das Muster der Netzhaut im Auge kann eine persönliche Identifikation ermöglichen. Im Auge kann man noch weniger manipulieren und Fälschungen werden deswegen noch unwahrscheinlicher.

Stimmanalyse

Ein weiteres Element der menschlichen Persönlichkeit ist die Stimme. Deswegen können Identifikationssysteme auch nach charakteristischen Mustern in der Stimme suchen. Angriffspunkte sind natürlich Tonbandaufnahmen. Deswegen wird auch mit der Kombination von Stimmenanalyse und optische Analyse der Mundbewegungen experimentiert. Die Erfolge der ersten Versuche geben dieser Methode bisher recht. Es ist zuverlässiger als die Stimmanalyse allein.

Bei all dem kann man eine Erkenntnis gewinnen: Wie sicher auch die Mechanismen oder Verfahren sein mögen, der menschliche Faktor ist das Problem. Wenn ich mit meinem Paßwort nicht richtig umgehen kann, wenn mir meine Identifikation gestohlen wird oder wenn ich meine Identifikationen zu unsicher verwahre, dann mache ich jedes Sicherheitssystem zunichte.

Zunächst aber ein wenig aus der Vergangenheit ...