Sicherheit klingt gut
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen.
Futuraes Sicherheits-Suite bietet dynamisch verschiedene Verfahren an, um in jeder Situation Zugang zu gewähren. (Quelle: Futurae)
Google Mail illustriert das Dilemma: Obwohl Zwei-Faktor-Authentifizierung (2FA) möglich ist, haben nur 6,4 Prozent der Nutzer die Funktion aktiviert, wie das Sicherheitskonsortium Necoma berichtet. Wo der gesetzliche Zwang fehlt, wie es zum Beispiel beim E-Banking der Fall ist, tut sich nicht viel. Gängige Lösungen sind vielfach unpraktisch, unsicher oder gleich beides zugleich.
Ändern will dies das Start-up Futurae, das aus der ETH Zürich heraus entstand. Die Firma hat eine clevere Alternative zu gängigen Lösungen wie M-Tan, Biometrie oder Tokens entwickelt: Soundproof, so der Name, vergleicht Umgebungsgeräusche von Computer und Handy. Ein Match entsperrt den angesprochenen Dienst oder die Webseite. Dafür muss der Nutzer vorher eine App herunterladen. Ausser einer aktiven Bestätigung bei der Erstnutzung läuft der Vorgang anschliessend aber im Regelfall ohne weiteres Zutun.
2FA ohne Hand anzulegen
Der Ablauf ist wie folgt: Nach Eingabe des ersten Faktors (z.B. Name, Passwort, Vertragsnummer) kontaktiert der angesprochene Dienst das durch die Erstanmeldung bekannte Handy. Zeitgleich aktivieren Computer und Handy ihre Mikrofone und machen eine Sekundenaufnahme der Umgebungsgeräusche. Die Computeraufnahme wird an das Smartphone übermittelt, wo der Vergleich der beiden Samples erfolgt. Die Daten werden nicht gespeichert und der Vorgang ist verschlüsselt. Ausser einer Bestätigung verlassen keine Daten das Handy. Der Nutzer muss dabei weder das Smartphone aus der Hosentasche nehmen noch Zahlenfolgen eingeben oder QR-Codes scannen. Das System "weiss" einfach, das sich der Nutzer in der Nähe des Computers befindet und reagiert entsprechend.
Die Idee für Soundproof entstand 2015 im Rahmen einer Doktorarbeit am ETH-Institut für Informationssicherheit von Professor Srdjan Capkun. Ein Prototyp konnte in Folge die Experten an der prestigeträchtigen Usenix-Security-Konferenz überzeugen, denen es damals nicht gelang, die Lösung auszuhebeln. "Absolute Sicherheit gibt es nicht. Uns ist es aber gelungen, die Latte um einige Sprossen anzuheben und zwar ohne die Usability einzuschränken", sagt Sandra Tobler, Mitgründerin von Futurae.
Eine Suite möglicher Verfahren
Dabei setzt das Unternehmen aber nicht nur auf Soundproof, sondern bietet eine ganze Suite verschiedener Authentifzierungsoptionen an – inklusive QR-Code, M-Tan und Zahlenblocks. "Die meisten Anbieter haben sich auf eine Variante festgelegt. Wir haben klar Präferenzen, geben dem Kunden aber auch Optionen", so Tobler. Dies ist auch nötig, damit eine Authentifizierung erfolgen kann, wenn das Handy keine Verbindung zum Internet hat. In diesem Fall liefert die App One-Time-Codes als Alternative. Zu guter Letzt gibt es sogar eine reine Mobil-Lösung.
Bei Futurae sieht man den Mehrwert also nicht nur im neuen Verfahren zur Authentifizierung, sondern in der Optionenvielfalt der Suite, die sich sowohl den Kundenwünschen als auch der Situation anpasst. Die Integration erfolgt via Restful API. Auch preislich kann Futurae so punkten, da keine Kosten für teure Hardware-Tokens oder SMS-Gebühren für M-TANs anfallen.
Soundproof eignet sich auch noch für ein weiteres Einsatzszenario – Continous Authentification. Hier geht es um ärgerliche System-Abbrüche, etwa mitten in einer E-Banking-Session. Soundproof kann in regelmässigen Abständen überprüfen, ob der Nutzer noch am Computer ist und so vorschnelle Abbrüche verhindern.
Zu guter Letzt dürfte Futurae von den 2018 kommenden EU-Richtlinien PSD2 oder GDPR profitieren. Unter anderem müssen dann alle EU-Transaktionen ab 30 Euro via 2FA bestätigt werden. "E-Commerce wird für Firmen wie uns ab nächstem Jahr ein grosser Wachstumsmarkt", meint Tobler.
More articles on General Security
- Tuesday 22.11.2022
Die eigene Recovery-Box
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante. - Thursday 09.12.2021
Das Passwortarchiv bleibt in der Schweiz
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen. - Thursday 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Monday 26.08.2019
Einfach zertifizieren
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung. - Tuesday 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Friday 01.12.2017
Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt. - Friday 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist. - Friday 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Friday 24.11.2017
Sicherheit hat Mehrwert – am Computer und im Geschäft
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen. - Friday 24.11.2017
Security for international payments
In 2016, hackers attempted to steal more than 950 million dollars from accounts held at Bangladesh’s central bank, Bangladesh Bank. While automated systems managed to stop the transfers at 81 million, this was still an impressive demonstration of the vulnerability of the SWIFT system. - Friday 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz.