Sollen Anwender eindeutig erkannt werden, gilt die Biometrie als starkes Authentifizierungsverfahren. Doch ist die Hürde einmal überwunden, steht dem Angreifer meist Tür und Tor offen. Netzpalaver sprach mit Sebastian Mayer, Director Sales DACH bei Behaviosec, über ein Verfahren, dass den Anwender während des gesamten Eingabeprozesses biometrisch überwacht.
#Netzpalaver: Fingerabdruck-, Gesichts- oder Venenscanner sind als biometrische Authentifizierung bekannt. Doch die Authentifizierungs-Lösung von Behaviosec beruht auf ganz anderen Eigenschaften. Was genau erkennt die Lösung von Behaviosec?
Sebastian Mayer: Im Gegensatz zu den herkömmlichen biometrischen Verfahren setzen wir auf das Verhalten des Nutzers: Dabei analysieren wir unter anderem das Tippverhalten und die Mausbewegungen des Users und erkennen so, ob es sich um die Person handelt, die er vorgibt zu sein. Dieser Prozess ist nicht nur auf den Login beschränkt, das Verhalten wird die gesamte Session überwacht und somit ist ein hoher Sicherheitslevel bis zum Logout gegeben.
#Netzpalaver: Welche Vorteile bietet dieses Verfahren im Gegensatz zu den bekannten Alternativen?
Sebastian Mayer: Es wird keine zusätzliche Hardware benötigt und die Authentifizierung erfolgt kontinuierlich vom Login bis hin zum Ausloggen. Für den Endbenutzer ist der Einsatz dieser Lösung komplett transparent, d.h. er muss keine zusätzlichen Authentifizierungsschritte durchführen, während die Sicherheit steigt. Darüber hinaus lassen sich Verhaltensweisen kaum kopieren, weil sie von vielen verschiedenen und unterbewussten Faktoren beeinflusst werden.
#Netzpalaver: Welche Angriffsszenarien kann das Tippverhalten zuverlässiger erkennen und verhindern als die bekannteren Alternativen?
Sebastian Mayer: Klassische biometrische Verfahren werden meist nur beim Login eingesetzt, danach kann der Endbenutzer alle Änderungen und Transaktionen vornehmen. Durch eine kontinuierliche Überwachung fallen Remote-Session-Übernahmen, Bots oder Trojaner sofort auf. Des Weiteren können wir sicherstellen, dass falls die Zugangsdaten in falsche Hände geraten, zum Beispiel eine unerlaubte Überweisung oder Bestellung nicht ausgeführt wird, da diese von einem Betrüger getätigt wurde, dessen Verhalten nicht zum gespeicherten Profil passt.
#Netzpalaver: Wo ist diese Lösung zur Authentifizierung bereits im Einsatz? Können sie die Vorteile genauer beziffern und welche konkreten Vorteile bringt sie ihren Kunden?
Sebastian Mayer: Der große Teil unserer Kunden sind Banken, diese setzen unsere Lösung ein, um Betrügereien zu unterbinden. Wir stellen sicher, dass sich nur der tatsächlich berechtigte User im System der Bank befindet. Kunden aus dem E-Commerce verhindern mit unserer Lösung zum Beispiel, dass die Betrüger mit geklauten Logindaten Bestellungen auf Rechnung oder die hinterlegte Kreditkarte tätigen und sich diese dann an eine neue Lieferadresse senden lassen.
#Netzpalaver: Heißt das nicht, dass sie die sensiblen Bank-Login-Daten der Nutzer sammeln?
Sebastian Mayer: Wir sammeln lediglich das Nutzerverhalten, die Logindaten, konkreten Eingaben während der Sitzung und Ähnliches wird nicht auf unseren Systemen gespeichert. Das Verhalten ist wiederum in einer Art Hashwert gespeichert und selbst wir sind nicht in der Lage, ausgehend von diesem Wert zurückzurechnen, welche Eingaben der Endnutzer getätigt hat und wie er seinen Login getippt hat.
#Netzpalaver: Wie lange dauert das Training des Profils, um einen Nutzer identifizieren zu können? Bedeutet die Trainingsphase für den Nutzer Umstände in seinen Nutzungsgewohnheiten?
Sebastian Mayer: Die Trainingsphase ist unterschiedlich lang, je nachdem wie viel der Nutzer während einer Session tippt und mit dem System interagiert. In der Regel ist ein Nutzerprofil nach 5 bis 7 Sessions komplett trainiert. Für den Nutzer ist diese Lösung komplett ohne Aufwand möglich, d.h. er macht das, was er sonst auch macht und braucht sich nicht umzustellen.
#Netzpalaver: Was passiert, wenn sich zwei Nutzer einen Account teilen? Kommt es dann zu Fehlermeldungen und falschen Ablehnungen?
Sebastian Mayer: Wenn zwei Nutzer mit einem Login arbeiten, erkennen wir dies zuverlässig, vorausgesetzt dies wurde in der Trainingsphase bereits so gemacht. Wenn das Training abgeschlossen ist, würde ja der zweite Nutzer mit dem gleichen Login als unberechtigter Nutzer erkannt. Letztendlich entscheidet das Unternehmen, was es mit der Information anfangen will. Banken haben in ihren Nutzungsbedingungen Accountsharing verboten, deshalb können diese dann den Kunden auf die Einhaltung der Vertragsbedingungen hinweisen.
#Netzpalaver: Ist es möglich, dass sich das Tippverhalten ändert, sodass ein Nutzer nicht mehr zuverlässig erkannt wird?
Sebastian Mayer: Da unsere Lösung kontinuierlich lernt, auch nach der Trainingsphase, werden kleinere Veränderungen mit in das Userprofil übernommen. Ein gutes Beispiel ist hierfür ein neu erstelltes Passwort: Hier wird der Nutzer von Eingabe zu Eingabe immer schneller werden und diese schleichenden Abweichungen akzeptiert das System.
#Netzpalaver: Banken nutzen meist mehrere Systeme zur Authentifizierung, entstehen durch Behaviosec zusätzliche Latenzen und lassen sich die bestehende Authentifizierungssysteme mit Behaviosec integrieren?
Sebastian Mayer: Natürlich können unsere Kunden die Lösungen kombinieren, wir ergänzen die Werte „Besitz (Fingerabdruck/Token) und Wissen (Passwort)“ mit dem biometrischen Verhalten. Unsere Kunden haben in der Regel eine Risikobewertung laufen, für die wir nützliche zusätzliche Informationen bereitstellen, wie Bot-Detection oder bewerten, ob das Tippverhalten zu dem User passt. Die Latenzen bewegen sich im Bereich von Millisekunden, der Nutzer wird dies nicht merken. Viele unserer Herstellerpartner haben unsere Lösung bereits in ihre bestehenden Authentifizierungslösungen eingebaut.
#Netzpalaver: Im Bankensektor wird wohl eine On-Premise-Lösung favorisiert, gibt es auch Cloud-Lösungen für weniger kritische Branchen?
Sebastian Mayer: Behaviosec bietet sowohl eine On-Premise-Lösung als auch eine Cloudlösung in hochsicheren Rechenzentren an.
#Netzpalaver #Behavoiosec
