Registrieren, anmelden, Passwort merken: Das Einkaufen im Internet kann ganz schön mühsam sein. Die Berner Unternehmer Roman Schmidt und Kaspar Riesen haben deshalb ein Programm entwickelt, das die Authentifizierung mittels persönlicher Skizze ermöglicht. Die Nutzung ihrer Sketch-ID sei nicht nur praktischer als das Erfinden und Merken komplizierter Passwörter, sondern auch sicherer, sagen die beiden. In Tests seien die persönlichen Skizzen erst nach 2500 Anläufen geknackt worden.
Interview: Mathias Morgenthaler
Was haben Sie gegen Passwörter?
KASPAR RIESEN: Nichts Grundsätzliches. Passwörter sind derzeit ein notwendiges Übel, um sich Zugang zu personalisierten digitalen Angeboten zu verschaffen. Ich bin aber überzeugt, dass wir in einigen Jahren nicht mehr so viele Passwörter brauchen werden wie heute – oder gar keine mehr. Die Handhabung ist sehr mühsam.
Wie sind Sie auf die Idee gekommen, selber eine Alternative zu entwickeln?
KASPAR RIESEN: Als Wissenschafter befasse ich mich seit Jahren mit den neusten Entwicklungen in der Muster- und Handschrifterkennung. Als ich vor gut einem Jahr wieder einmal von einem Portal aufgefordert wurde, ein neues 12-stelliges Passwort zu wählen mit Sonderzeichen und ohne Verwendung bekannter Wörter, ärgerte ich mich und dachte: da müsste es bessere Lösungen geben. Den Gedanken, man könnte sich durch eine persönliche Skizze identifizieren und einloggen, hatte ich schon länger im Hinterkopf. Nach dem neuerlichen Passwortärger sagte ich bei Bratwurst und Bier zu meinem Geschäftspartner, dass wir ein eigenes Projekt starten sollten.
ROMAN SCHMIDT: Ich war sofort Feuer und Flamme und dachte: Endlich ein Thema, das fürs breite Publikum verständlich und attraktiv ist. Bis dahin hatten Kaspar und ich immer Mühe, zu erklären, was wir tun mit unserer Firma.
Der Firmenname Intelligent Insights hilft da nicht wirklich weiter.
ROMAN SCHMIDT: Ganz einfach gesagt: Wir analysieren grosse Datenmengen und ziehen daraus Schlüsse. Amazon-Kunden sind es gewohnt, darauf hingewiesen zu werden, was Käufer eines bestimmten Produkts sonst noch erworben haben. Wir helfen unseren Kunden zu erkennen, was oft im Verbund gekauft wird, welche Dinge in Webshops wie angeboten werden sollten, welche Kaufmuster die Kunden kennzeichnen. Das alles ermöglicht dem Anbieter, die Kunden direkter anzusprechen und jedem Kundentyp die richtigen Produkte anzubieten.
Ich suche jeweils rasch das Weite, wenn mir dauernd gesagt wird, was ich auch noch kaufen sollte.
KASPAR RIESEN: Wenn die Ansprache zu plump und zu aufdringlich erfolgt, ist es kontraproduktiv. Ich erschrecke auch, wenn ich einmal nach Bluejeans google und auf den nächsten 10 Seiten, die ich besuche, Werbung für Bluejeans vorgesetzt erhalte, denn das zeigt, wie bereitwillig viele Firmen Daten weitergeben. Wir arbeiten rein analytisch und helfen Unternehmen, ihre Kunden besser zu verstehen und anzusprechen. Wir bauen keine Software, sondern werten nach wissenschaftlichen Kriterien Daten aus und geben unsere Erkenntnisse nur an diese Firmen weiter.
Zurück zu Ihrem Projekt Sketch-ID. Warum soll ich mich mit einer Skizze identifizieren, wenn das iPhone mich anhand meines Fingerabdrucks erkennt?
ROMAN SCHMIDT: Die Fingerabdruck-Sensor-Technologie funktioniert tatsächlich sehr zuverlässig – zumindest für Apple-Kunden. In meinem Umfeld nutzen allerdings viele diese Möglichkeit nicht, weil sie ihren Fingerprint ebenso wenig einem Apple-Gerät anvertrauen wollen wie den Scan ihrer Iris oder gesundheitsrelevante Daten. Der Vorteil von Skizzen ist, dass man damit nichts Persönliches preisgibt, die Erkennung aber gleichzeitig viel sicherer ist als beispielsweise bei der Handschrift.
Gilt das auch für schlechte Zeichner? Ich halte es für wenig wahrscheinlich, dass ich dreimal eine auch nur annähernd gleiche Sonne mit dem Finger auf dem Smartphone-Display zeichnen könnte.
KASPAR RIESEN: Das war die grosse Herausforderung beim Programmieren. Das Programm muss Abweichungen von der gespeicherten Skizze zulassen, aber das Charakteristische erkennen. Dabei geht es nicht nur um die Form, sondern etwa auch um die Reihenfolge und Geschwindigkeit der Strichfolgen. Wir haben unsere Software im Rahmen eines Forschungsprojektes an der Fachhochschule Nordwestschweiz mit 1000 Probanden getestet, und das Einloggen gelang den Skizzenautoren in über 95 Prozent der Fälle problemlos.
Und wie anfällig ist die Technologie für Angriffe von Hackern?
KASPAR RIESEN: Ein Herz oder eine Sonne sind unsicherer als komplexere oder überlagerte Skizzen. Generell ist das Sicherheitslevel sehr hoch. Wir haben im Test alle Skizzen-Log-ins mit Tausenden von Fälschungen bombardiert. Nur 0,4 Promille liessen sich so knacken. Anders gesagt: Jemand braucht 2500 Anläufe, um sich als Unberechtigter Zugriff zu verschaffen, das Konto würde aber schon nach 3 ungültigen Versuchen gesperrt. Wir wissen aus Wissenschafts- und Patentrecherchen, dass wir betreffend Benutzerfreundlichkeit und Sicherheit besser sind als die Konkurrenzprodukte, die Microsoft und andere entwickelt haben. Deshalb erwarten wir nun voller Spannung die Nachricht vom europäischen Patentamt. Es ist immer schwer abzuschätzen, was man alles schützen kann bei einer Eigenentwicklung.
Die wichtigere Frage dürfte sein, ob Sie einen grossen Partner finden, der auf Ihre Technologie setzt. Ist es ein Nachteil, dass die Sketch-ID nicht an klassischen Computern genutzt werden kann?
ROMAN SCHMIDT: Smartphones und Tablets werden im Alltag immer dominanter, das Einloggen in Webshops ist an solchen Geräten aber oft mühsam. So gesehen gibt es einen grossen Markt. Es ist sicher kein Zufall, dass Giganten wie Google seit einiger Zeit IT-Firmen kaufen, die Technologien entwickeln zur Ablösung der Passwort-Identifizierung. Wir wollen einen Beitrag dazu leisten, dass das Surfen und Bestellen von unterwegs einfacher wird – auch wenn man die entsprechenden Portale nur selten besucht und daher das Passwort nicht mehr im Kopf hat.
KASPAR RIESEN: Derzeit gibt es grob drei Felder der Authentifizierung: via Passwort, an das man sich erinnern muss; via Kartenlesegerät, Stick oder ein anderes technologisches Hilfsmittel; und via biometrische Daten wie Fingerprint oder Iris-Scan. Jede Technologie hat ihre Stärken und Nachteile. Wir rechnen damit, dass sich bald ein vierter Weg durchsetzen wird, vielleicht eine Kombination bestehender Ansätze, vielleicht etwas ganz Neues. Unsere Sketch-ID-Technologie wäre gut geeignet als Element einer zweistufigen Authentifizierung, also in Kombination mit einem Passwort oder Kartenleser.
Als Nächstes gehen Sie nun also Klinken putzen bei Schweizer Grossunternehmen?
ROMAN SCHMIDT: Bis zum Ende des KTI-Forschungsprojekts im August 2017 werden wir die Technologie weiter perfektionieren, parallel dazu aber sicher auch Gespräche mit möglichen Kunden führen. Vielleicht fällt der Startschuss für den Markteintritt gar nicht in der Schweiz, sondern beispielsweise im asiatischen Raum, wo Zeichen eine noch viel grössere Bedeutung haben. Oder in Kooperation mit einem Smartphone-Hersteller. Die Sperrmuster zum Entsperren vieler Android-Handys sind beispielsweise sehr anfällig für unberechtigte Zugriffe. Auch Passwörter sind mit entsprechender Software gut zu knacken. Für ein achtstelliges Passwort gibt es eine zwölfstellige Anzahl Möglichkeiten. Bei der von uns entwickelten Sketch-ID ist die Kombinationsvielfalt beinahe unbegrenzt.
Sketch-ID, ein Berner KTI-Projekt
Die beiden Erfinder der Sketch-ID kennen sich vom Studium an der Universität Bern: Kaspar Riesen (37) hat sein Informatikstudium mit einer Dissertation über Mustererkennung abgeschlossen. Neben seiner unternehmerischen Tätigkeit arbeitet er als Professor für Wirtschaftsinformatik an der Fachhochschule Nordwestschweiz. Roman Schmidt (36) hat in Wirtschaftsinformatik promoviert und danach in mehreren Firmen in der Unternehmensentwicklung und Strategieberatung gearbeitet. 2014 gründeten die beiden die Firma Intelligent Insights in Bern-Liebefeld, die Kunden bei der Analyse von komplexen Datenmassen unterstützt.
Die Entwicklung und Erforschung der Sketch-ID wird von der Kommission für Technologie und Innovation (KTI) und von der Standortförderung des Kantons Bern unterstützt und an der Fachhochschule Nordwestschweiz erforscht. Das Forschungsprojekt läuft im Sommer 2017 aus, der aktuelle Prototyp kann unter www.sketch-id.ch getestet werden. (mmw)