Der IAM-Spezialist (Identity- und Access-Management) BehavioSec mit Sitz in Stockholm bietet unter dem Namen BehavioSense for Risk-based Authentication 4.3 eine Lösung für die verhaltensbasierte biometrische Authentifizierung: Die selbstlernende Software nutzt Verhaltensmuster des Endanwenders wie Tippverhalten, Mausbedienung oder auch das Handling des Smartphones als Authentifizierungsfaktor. Die echtzeitnahe biometrische Authentifizierung läuft kontinuierlich im Hintergrund und ist für den Endanwender transparent, betont BehavioSec.

Biometrieverfahren nutzen zur Identifizierung eines Anwenders entweder Körpermerkmale (Fingerabdruck, Iris, Handvenen etc.) oder Verhaltensweisen (Sprachmuster, Tippverhalten, Gang oder auch die klassische Unterschrift). BehavioSecs Lösung BehavioSense fällt in die zweite Kategorie und ist dabei auf die Gerätebedienung spezialisiert: Sie erfasst das Tippverhalten auf der Tastatur ebenso wie die Mausbedienung oder auch Gerätehaltung, Beschleunigung und Tastendruckverhalten auf dem Smartphone.

BehavioSense lerne den Benutzer im Lauf der Zeit immer besser kennen, so der Hersteller. Zur Verhaltensanalyse ziehe es neben Standardparametern wie Gerät, Lokation und gegebenenfalls IP-Adresse zum Beispiel heran, ob ein PC-Anwender lieber den Zahlenblock oder die Zahlen auf der obersten Tastaturreihe benutzt oder sich lieber per Maus oder Tab-Taste zwischen Anwendungen bewegt.

Diese Verhaltensdaten übermittelt BehavioSense an den zugehörigen Server im Unternehmens-RZ. Auf Server-Seite (beim Unternehmen oder auf Wunsch auch im Rahmen einer Hybrid-Cloud-Architektur) wird dann laut Hersteller in Millisekunden der Gesamt-Score der ermittelten Parameter errechnet.

Da die Lösung kontinuierlich im Hintergrund mitläuft, erkennt sie laut Herstellerangaben auch laufende Angriffe während Transaktionen (Session Takeover, Man-in-the-Middle-Angriffe). Zudem eigne sie sich für die Erkennung von Bots, Replay-Angriffen und illegalem Fernzugriff.

Sobald sich die selbstlernende Lösung ausreichend sicher ist, den Score für einen Benutzer zuverlässig ermitteln zu können, setze sie das Scoring als zusätzlichen Authentifizierungsfaktor selbsttätig ein. Die Equal Error Rate (Optimalverteilung zwischen False Positives und False Negatives) liegt dabei laut Bekunden BehavioSecs zwischen 0,2 und 0,3. Der Administrator könne aber die Lösung auch „schärfer“ konfigurieren. Dies kann zum Beispiel sinnvoll sein, wenn es um den Zugriff auf kritische Daten geht und man deshalb nicht davor zurückscheut, den Endanwender gegebenenfalls durch eine Aufforderung zur erneuten Authentfizierung zu verärgern.

Auch bei einem unerwarteten Gerätewechsel schlage die Software Alarm. Die IT-Organisation des Unternehmens könne stets vorgeben, was im Fall von Alerts zu geschehen hat. Der „Confidence Score“ (ab wann vertraut die Lösung darauf, dass es sich um den jeweiligen Benutzer handelt?) sei werksseitig vorgegeben, die IT des Anwenderunternehmens könne aber auch dies per Schieberegler beeinflussen.

Bei einer plötzlichen Veränderung des Nutzerverhaltens, etwa durch einen Armbruch, müsse der Anwender sich eben an das Service-Center des jeweiligen Unternehmens wenden. Schleichende Veränderungen des Nutzerverhaltens – etwa durch einen sich verschlimmernden Tennisarm – erkenne und berücksichtige die Software hingegen.

BehavioSec zielt mit seiner Lösung auf Unternehmen mit mindestens 10.000 Endkunden; es gehe aber vor allem um den Schutzbedarf der Datenbestände, so der schwedische Security-Spezialist, deshalb finde man unter der Kundschaft vorrangig Banken, Versicherungen, E-Commerce-Anbieter oder auch Service-Provider im Bereich Steuerberatung.

Zu den Hardwareanforderungen erklärte der Hersteller gegenüber LANline, ein Bank mit 2,5 Millionen Konten betreibe die Lösung auf zwei Multi-Core-Maschinen. Bei einer anderen Bank mit neun Millionen Kunden belege die Lösung ein halbes Server-Rack.

Architektur der BehavioSec-Lösung BehavioSense für die risikobasierte Authentifizierung anhand des Benutzerverhaltens. Bild: BehavioSec

Architektur der BehavioSec-Lösung BehavioSense für die risikobasierte Authentifizierung anhand des Benutzerverhaltens. Bild: BehavioSec

Auf Web-Server-Seite nutzt die Software JavaScript, für iOS- und Android-Apps gibt es einen SDK (Software Development Kit). BehavioSense for Risk-based Authentication liegt derzeit in Version 4.3 vor. Neu in Version 4.3 sind eine Timeline-Ansicht, Training-Management sowie ein Risiko-Scoring (unabhängig vom oben beschriebenen User-Scoring) auf der Basis einer Risk Rule Engine.

BehavioSec ist seit 2007 am Markt, seit 2010 vertreibt man die Lösung BehavioSense. Der Hersteller, der Teile seiner Produktentwicklung in Magdeburg unterhält, verstärkt nun seine Vertriebsaktivitäten in Deutschland. Der Vertrieb erfolgt direkt, über Channel-Partner sowie über OEM-Partner wie Gemalto. Als Referenzpreis nannte der Hersteller gegenüber LANline 1 Euro pro Endanwender oder Konto pro Jahr, es gibt eine Mengenstaffel.

Weitere Informationen finden sich unter www.behaviosec.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.