Die neuen Codes

Manche Anlässe lassen Zweifel daran aufkommen, ob der Mensch wirklich die Krone der Schöpfung ist oder ob er nicht eines Tages seiner gedanklichen Faulheit zum Opfer fallen wird. Die künstliche Intelligenz macht beeindruckende Fortschritte. Bei der menschlichen Intelligenz kann man sich nicht so sicher sein.

Ein Beispiel zeigte sich im Frühjahr 2019 in Großbritannien. Da veröffentlichte das staatliche National Cyber Security Centre eine Studie, für die die Sicherheitsforscher:innen die Passwörter von geknackten Onlinekonten zusammengetragen hatten. Welches Codewort am häufigsten gekapert worden war? „123456“. Mit weitem Abstand folgte: „123456789“.

„Mir ist vollkommen klar, dass Cybersicherheit für viele Menschen ein kompliziertes Thema ist“, sagte NCSC-Direktor Tom Levy, „aber es ist wirklich ziemlich simpel, Hackern das Leben zu erschweren.“ Dazu gehört in erster Linie ein professioneller Umgang mit den Zugangscodes zu den eigenen Daten, auch Passwörter genannt. Eine Umfrage des US-Meinungsforschungsinstituts Pew Research Center ergab vor einigen Jahren allerdings: Nur 39 Prozent der Nutzer:innen verändern ihr Passwort überhaupt irgendwann mal. Bei so viel Indifferenz können selbst die einfachsten Tipps nichts ausrichten.

Gibt es denn keine andere, bessere Lösung als die nervigen Passwörter? Und ob, behauptet zumindest eine Reihe von Start-ups. Auf der ganzen Welt tüfteln Cybersecurity-Firmen derzeit daran, das Passwort zu disruptieren, finanziell unterstützt von prominenten Venture-Capital-Gesellschaften und intellektuell ausgestattet mit viel Codekompetenz.

Die einen wollen bestimmte Eigenschaften der Geräte oder der Benutzer:innen – etwa Zertifikate oder biometrische Daten wie Fingerabdruck oder Irisabdruck – zur Identifizierung nutzen; die anderen setzen auf KI-fähige Technologien wie Gesichts- oder Spracherkennung; wieder andere basteln an grundlegenden Alternativen zum Konzept des Passworts. Klar ist jedoch schon heute: Das Codewort von morgen dürfte anders aussehen.

Alter Menschheitstraum

Die Idee eines Passworts zur Sicherstellung einer Identität ist bereits mehrere Jahrtausende alt. Schon im Peloponnesischen Krieg nutzten die Truppen vorab ausgemachte Stichwörter, um Freund und Feind voneinander zu unterscheiden. Im antiken Rom mussten sich Soldaten bei der Wachablösung Holztafeln mit eingravierten Wörtern übergeben – damit der Tribun sichergehen konnte, dass niemand desertierte.

Die Geschichte der digitalen Passwörter begann in den Sechzigerjahren am Massachusetts Institute of Technology. Dort hatten Forscher:innen um Fernando Corbató einen Computer namens Compatible Time-Sharing System (CTSS) konstruiert. Die Terminals sollten von mehreren Personen genutzt werden, aber niemand wollte seine eigenen privaten Daten mit allen anderen teilen – und so entstand die Idee, Passwörter zu vergeben. Hübsche Pointe der Historie: Schon wenige Jahre nach der Einführung sorgte eine Softwarestörung dafür, dass nach der Anmeldung alle Nutzer:innen die gesamte Liste aller Passwörter sahen. So richtig sicher war das System also noch nie.

Opfer ihres Erfolgs

Da wundert es kaum, dass alleine im Jahr 2019 mehr als 7000 data breaches bekannt wurden. Erst im vergangenen Juli knackten Hacker die Twitterkonten von etwa 130 prominenten Personen und Unternehmen, darunter Barack Obama, Joe Biden, Bill Gates, Jeff Bezos, Kanye West, Apple und Uber. Was solche Fälle gemein haben: Bei etwa 80 Prozent aller Datendiebstähle werden Zugangsdaten gestohlen und wiederverwendet.

In gewisser Weise sind Passwörter Opfer ihres eigenen Erfolgs. Weil sie so weit verbreitet sind, müssen sich Menschen immer mehr Passwörter merken – doch weil sichere Versionen kryptisch und daher schwierig zu merken sind, nutzen die meisten gerne dasselbe und noch dazu ein naheliegendes Codewort für verschiedene Konten.

Aber wenn die Menschen so beratungsresistent sind, die Sicherheit unserer Onlinekonten gleichzeitig jedoch immer wichtiger wird, dann muss man vielleicht konstatieren: Das Passwort ist nicht mehr zeitgemäß. Es stammt aus einer Zeit, als noch nicht alle Computer miteinander vernetzt waren und sich permanent austauschten; als kaum Daten in der Cloud lagen und alle nur ein E-Mail-Konto hatten, kurzum: als es für Hacker wenig Anreize gab, die Konten von Individuen zu knacken.

Schon seit Jahren behaupten Menschen, das Passwort stehe kurz vor dem Aussterben. Lange Zeit mangelte es jedoch an echten Alternativen, auch weil die Technologie noch nicht ausgereift war. Doch das ändert sich langsam. „Das Passwort wird künftig immer uninteressanter, unrentabler und ineffektiver“, sagt zum Beispiel Brett McDowell. Er ist Gründungsdirektor der Fido Alliance, eine Abkürzung für Fast Identity Online. Die Organisation mit Sitz in Kalifornien setzt sich bereits seit einigen Jahren für Alternativen zum herkömmlichen Passwort ein. Und eine der am höchsten gehandelten Firmen wurde gegründet von einem Deutschen, der vor einigen Jahren nach Kalifornien zog.

Mathias Klenk, gebürtiger Schwabe, zog nach seinem Studium an der TU München nach Stanford und ließ sich in der Nähe des Silicon Valleys vom Gründerfieber anstecken. Zuerst erfand er einen KI-gesteuerten medizinischen Ratgeber, dann eine App, mit der jeder sein Auto vermieten kann. Im Jahr 2018 wiederum programmierte er ein digitales Portemonnaie (Wallet) für Kryptowährungen – und dort kam ihm die Idee für sein heutiges Start-up Passbase.

Und so funktioniert dessen Geschäftsmodell: Klenk hat eine Software programmiert, die sich gewissermaßen zwischen Kunde und Website schaltet, den Verifizierungsprozess automatisiert und den Austausch von personenbezogenen Daten reguliert. Die Vision: Wenn alle Nutzer:innen Passbase nutzen, könnte man langfristig komplett auf Passwörter verzichten und sich mittel biometrischer Daten eindeutig auf Internetseiten und in Apps identifizieren. Damit konnte er bereits einige renommierte Investorengruppen überzeugen, darunter Business Angels von Kleiner Perkins Caufield & Byers und das Risikokapitalunternehmen Lakestar. Inzwischen nutzen die Software bereits mehr als 100 Unternehmen.

Das Timing für Klenks Idee könnte schlechter sein. Auch das Weltwirtschaftsforum (WEF) in Davos glaubt an eine Zukunft ohne Passwörter: „Wegen der Verfügbarkeit biometrischer Daten und neuer Technologien erwarten die Verbraucher:innen eine bessere digitale Erfahrung und wollen gleichzeitig online sicher sein“, sagt Adrien Ogee, der sich am WEF mit Cybersicherheit und digitalem Vertrauen auseinandersetzt. „Bessere Authentifizierung ist nicht nur eine Möglichkeit“, so Ogee, „sondern eine Notwendigkeit.“

Da wären zum einen die finanziellen Vorteile einer passwortfreien Welt. Umfragen zufolge verbringt jede:r Angestellte im Schnitt elf Stunden pro Jahr damit, das eigene Passwort einzugeben oder zurückzusetzen. Neben diesem Produktivitätsverlust ist Passwortmanagement ein erheblicher Kostenfaktor. Bis zu 50 Prozent aller Anrufe bei IT-Hotlines von Unternehmen betreffen das Zurücksetzen von Passwörtern, und die geschätzten Kosten für jedes Zurücksetzen liegen zwischen 30 und 70 Dollar. Zum anderen sollen die Kund:innen mehr Freude haben, wenn sie keinen Notizblock voller Codewörter mit sich herumtragen oder im Gedächtnis behalten müssen, sondern sich stattdessen reibungs- und mühelos überall akkreditieren, registrieren und verifizieren können, ohne die viel zitierte „friction“.

Das geteilte Geheimnis

Ein Nutzungserlebnis ohne solche Verzögerungen verspricht das New Yorker Start-up Beyond Identity, hinter dem unter anderem der Netspace-Mitgründer Jim Clark und Taher Elgamal stecken, der Erfinder des Datenübertragungsprotokolls Secure Sockets Layer (SSL). Die Firmengründer gehen das Thema in gewisser Weise grundsätzlicher an. Das Problem aller Passwörter sei das „geteilte Geheimnis“. Egal, ob kryptische Zahlen- und Buchstabenfolge oder Fingerabdruck: Alle Passwortsysteme basieren darauf, dass immer zwei Parteien – Nutzer:in auf der einen, Datenbank des Anbieters auf der anderen Seite – den sprichwörtlichen Schlüssel für das Tor kennen. Und weil dieses Geheimnis immer irgendwo abgelegt werden muss, ist es dort anfällig für Missbrauch und Diebstahl. Beyond Identity setzt daher auf digitale Zertifikate. Das funktioniert, grob vereinfacht, wie folgt: Unternehmen kaufen Lizenzen für eine App, die sich die Angestellten auf ihre Geräte herunterladen, egal, ob Smartphone, Tablet oder Laptop. Wenn sie sich nun bei einem Onlinedienst anmelden, erstellt die App von Beyond Identity einen digitalen Schlüssel in Form eines Codes aus Ziffern und Buchstaben, der die Identität überprüft. Im vergangenen Jahr erhielt das Start-up im Rahmen einer Finanzierungsrunde 30 Millionen Dollar. Mit dem Geld will das Gründerteam vor allem um Privatkunden werben, die das lästige Passwortverfahren leid sind.

Beim Erfinder des Passworts wären sie damit auf Verständnis gestoßen. Passwörter seien „eine Art Albtraum“, sagte Fernando Corbató dem „Wall Street Journal“ in einem seiner letzten Interviews. Er glaube nicht, dass sich irgendjemand all seine Passwörter merken kann, und damit blieben nur zwei Möglichkeiten: „Entweder Sie führen eine Art Spickzettel, oder Sie verwenden einen Passwortmanager. Beides ist ein Ärgernis.“

Dieser Text ist erstmals im ada-Printmagazin 03/2020 erschienen. Titelbild: Getty