Kaufen mit der Fingerkuppe

Nach Apple ermöglicht nun auch Samsung mit seinem neuen Smartphone, dass sich Nutzer per Fingerabdruck anmelden oder Käufe bestätigen. Branchenexperten erwarten, dass die biometrische Authentifizierung in diesem Jahr den Durchbruch schafft.

Lange als die Lösung zur Authentifizierung im digitalen Zeitalter gehandelt, war es zwischenzeitlich um Biometrie-Technologien wie Fingerabdruck-Scanner still geworden. Jedenfalls für private Nutzer. Mit dem iPhone 5 hat das Verfahren den Mainstream erreicht, wenn Nutzer sich nun im iTunes Store mit ihrer Fingerkuppe ausweisen können. Doch das ist erst der Anfang: Samsung will die Technologie im neuen Galaxy S5 gemeinsam mit Paypal auf breiter Front einsetzen. Ob Webseiten-Anmeldung oder Paypal-Zahlungen, eine Bewegung mit dem Finger über den Home-Button soll künftig genügen. Mit der App von Paypal kann man auf diese Weise dann auch in ersten Geschäften in den USA bezahlen.

Samsung setzt dabei als erster Hersteller ein Protokoll ein, das von der FIDO Alliance entwickelt wurde. Das Konsortium aus IT-Firmen hat sich vorgenommen, der bisherigen Passwort-Kultur ein Ende zu setzen. Der aktuelle Diebstahl von Passwörtern von 18 Millionen deutschen E-Mail-Konten bestätigt die Dringlichkeit des Problems erneut.

„Zurzeit müssen die Menschen überall Kennwörter eintippen, auch einhändig etwa in der U-Bahn“, sagt Joel Yarbrough, Leiter für globale Produktlösungen bei Paypal. Die meisten Nutzer wählen deshalb eher einfache Kennwörter, die sie sich leicht merken können, und verwenden sie auch noch bei vielen verschiedenen Diensten. Für Kriminelle sind sie oft nicht allzu schwer zu knacken. „Eine biometrische Lösung aufzubauen, verbessert nicht nur die Bedienbarkeit, sondern erhöht auch drastisch das Sicherheitsniveau“, sagt Yarbrough.

Um auf dem neuen Samsung-Gerät bei Paypal-Zahlungen das Fingerabdruck-Verfahren einzusetzen, muss der Nutzer eine kurze Anmeldeprozedur durchgehen. In der wird nicht nur der Abdruck aufgenommen, sondern auch die Identität des Gerätes auf Grundlage von dessen Kryptographie-Chip. Beides wird dann mit dem Paypal-Konto verknüpft.

Das FIDO-Protokoll ist dabei so angelegt, dass die Aufnahme des Fingerabdrucks niemals von dem Gerät an ein anderes übertragen wird. Der Fingerabdruck-Leser generiert vielmehr Daten, aus denen ein kryptographischer Schlüssel erstellt wird. Kombiniert mit dem Schlüssel des Krytopchips entsteht ein dritter Schlüssel, aus dem sich der Fingerabdruck nicht mehr rekonstruieren lässt.

Ob bald weitere Hersteller nach Samsung das Paypal-System übernehmen werden, will Yarbrough noch nicht verraten. Sein Eindruck sei jedoch, dass auch „viele andere Hersteller in die Technologie investieren“. Brett McDowell, Sicherheitsberater bei Paypal und Vizepräsident der FIDO Alliance, bekräftigt, es sei das „Kernanliegen“ des Konsortiums, dass die Technologie eine große Verbreitung finde.

Die FIDO Alliance war Anfang 2013 gegründet worden. Inzwischen hat sie über 100 Mitglieder, darunter IT-Branchengrößen wie Microsoft, Google, Lenovo oder LG. Neben Paypal gehören außerdem Finanzdienstleister wie Mastercard dazu. Apple ist nicht dabei, die Kalifornier haben eine eigene Lösung für die Anmeldung mittels Fingerabdruck entwickelt.

Für Sebastien Taveau, ehemals CTO von Validity, das Fingerabdrucksensoren entwickelt hat, ist es ausgemacht, dass die Technologie sich in Kürze durchsetzt. Nun, da die Marktführer bei Smartphones, Apple und Samsung, vorgelegt haben, werden die Konkurrenten nachziehen, erwartet Taveau. „Auch andere Geräte wie Tablet-Rechner werden solche Sensoren haben.“

Dass die Technologie – die im Großen und Ganzen seit Jahren steht – nun endlich auch beim Verbraucher ankommt, liegt für Taveau an einem kulturellen Wandel in der digitalen Welt. Immer mehr Transaktionen würden nicht mehr lokal, sondern Cloud-basiert abgewickelt, und das Vertrauen in herkömmliche Authentifizierungssysteme schwinde. Hierzu hätten in den USA vor allem die Enthüllungen über die NSA-Überwachung und der jüngste Diebstahl von Kundenkarten-Daten der Einzelhandelskette Target beigetragen. „Das Vertrauen in Sicherheit und Anmeldesysteme muss nun wiederhergestellt werden“, sagt Taveau. (nbo)