Die ZEIT, 1. Juni 2017 - Ausschnitt
Wenn jemand per Internet eine Überweisung tätigt, hinterlässt er einzigartige Spuren. Anhand solcher biometrischer Merkmale identifiziert eine diskrete Firma im Auftrag von Banken Millionen von Nutzern. Die ahnen davon nichts.
Seelenruhig schaut Natia Golan zu, wie der Hacker seinen Raub vorbereitet. Er hat die Kontrolle über das Online-Konto einer ahnungslosen britischen Bankkundin übernommen, als sie gerade Geld überwies. Kaum war sie fertig, griff er aus der Ferne zu. Er tippt ihr Passwort in die Maske und gibt vor, vor dem Computer der Kundin in Großbritannien zu sitzen. Das Passwort stimmt. Auch die Summe von etwas mehr als einer Million Pfund, die er gerade überweisen will, ist nicht unüblich für die überdurchschnittlich wohlhabenden Kunden. Und doch: Ein Detail stört das Bild.
Es sind die kleinen Bögen, in denen der Hacker den Mauszeiger über den Bildschirm bewegt. Wenn er von einer Stelle des Überweisungsformulars zur nächsten wechselt, um in ein Feld die Summe und ins nächste Feld die Kontonummer einzugeben, stockt der Zeiger mehrfach kurz. "Er nutzt das Touchpad", sagt Natia Golan bei der Demonstration des Falls. Sie ist bei der Arbeit nicht nur auf ihren Scharfsinn angewiesen. Eine Software hilft ihr. Kleine rote Kringel markieren das ungewöhnliche Bewegungsmuster des Hackers auf Golans Bildschirm. Zum Vergleich werden in Blau die typischen Bewegungen des Opfers eingeblendet.
"Den haben wir geschnappt", triumphiert Golan. Automatisch wurde der Hacker ausgeloggt und der Diebstahl von mehr als einer Million Pfund vereitelt – "und das so einfach!" Golans Begeisterung gehört zu ihrem Job, sie ist Direktorin für das Produktmanagement des israelischen Start-ups BioCatch. Auch wichtig ist Diskretion, denn bei welcher Bank die beinahe betrogene Kundin ihr Konto hat, wird nicht verraten. Eigentlich zeigt Golan solche Beispiele auch nur interessierten Neukunden: anderen Banken, die mit der gleichen Leichtigkeit Hacker abweisen wollen. Für die ZEIT machte sie eine Ausnahme mit der Auflage, das Beispiel zu anonymisieren. Hier wird eine Technik entwickelt, die fürs Verborgene gedacht ist.
(Das ist nur der Anfang meiner aktuellen Geschichte über Verhaltensautentifizierung in der ZEIT 23/2017. Aus rechtlichen Gründen erscheint sie hier nicht komplett. Hier kann man weiterlesen.)