Sicheres Authentisierungsverfahren Tokey Tokey bringt sichere Authentifizierung Made in Germany

Autor / Redakteur: Ariane Rüdiger / Peter Schmitz

Gerade machte mit der FIDO Alliance eine internationale Initiative zur Etablierung einer sicheren Authentisierungslösung für mobile Dienste und das Internet of Things von sich reden. Das Startup Tokey hat keine Angst vor großen Tieren und möchte der FIDO Allianz eine europäische Variante der sicheren mobilen Authentisierung als Alternative an die Seite stellen – der erste Kunde arbeitet bereits damit.

Anbieter zum Thema

Geht es nach dem Berliner Startup-Unternehmen Tokey, sollen sich Benutzer bei Transaktionen künftig nur noch mit dem Smartphone, statt mit Bank- und Kundenkarten ausweisen.
Geht es nach dem Berliner Startup-Unternehmen Tokey, sollen sich Benutzer bei Transaktionen künftig nur noch mit dem Smartphone, statt mit Bank- und Kundenkarten ausweisen.
(Bild: Tokey)

Sichere und unkomplizierte Authentisierung ist der Schlüsselfaktor für das Mobile Business. Dazu reichen Verfahren, die auf Benutzername und Passwort setzen, nicht mehr aus, wie die immer wieder auftretenden Sicherheitszwischenfälle zeigen. US-lastigen Lösungen aber mag in Europa im Moment niemand mehr so recht vertrauen, viele fürchten versteckte Hintertürchen und heimliche Abhöraktionen.

Wenn Entwicklungsarbeit und Geschäftsmodell des Berliner Startups Tokey die erhofften Früchte tragen, gibt es tatsächlich eine Chance, ein selbständiges sicheres Authentisierungsverfahren für Deutschland und Europa zu realisieren – einfach und kostenlos für den Endanwender am Smartphone, sicher und kostengünstig für die Unternehmen, die das Verfahren einsetzen.

Tokey hat derzeit sechs Mitarbeiter und eine Methode, die nach zweijähriger Entwicklungsarbeit nunmehr in der Offenlegungsphase des Patentverfahrens steckt. Die Firmengründer, Rüdiger Baumann und Jürgen Simon, bringen beide Jahrzehnte IT-Erfahrungen mit: Baumann war unter anderem drei Jahre lang CEO beim Cloud-Management-Anbieter Zimory, der Cheftechnologe und Datenschutz-Spezialist Simon gründete den Dienstleister Rent-a-Brain und programmierte mit diesem unter anderem die Banking-Software für das Bankhaus Sal. Oppenheim.

Nun also setzen sie auf Tokey. Das Unternehmen versucht gerade, eine Million Euro für die Geschäftsentwicklung im deutschsprachigen Raum einzuwerben. Später sollen Millionen Transaktionen, an denen Tokey jeweils mit kleinen Centbeträgen verdienen will, Geld in die Kasse spülen. Bezahlen sollen die Betreiber von Diensten oder Shops, die Tokey als Infrastruktur verwenden.

Die ersten Kunden gibt es bereits: die gedruckte Ausgabe des Tagesspiegel lässt die Bestellung der kostenlosen Probeausgabe eines Genussmagazins über diesen Service laufen, die Bavaria Filmstudios werden das Login der Mitarbeiter in ihre ERP- und CRM-Lösungen demnächst über Tokey abwickeln, und ein Startup, der die digitale Abwicklung von Spenden für Gemeinschaftsgeschenke im mobilen und festen Web anbieten will und im April an den Start geht, wird ebenfalls Tokey verwenden.

Verschlüsselte Server-Infrastruktur

Gegenwärtig sucht Baumann gewichtige und renommierte Geschäftspartner für den Aufbau der sicheren Server-Infrastruktur im Hintergrund, in der grundsätzlich verschlüsselt die Daten der einzelnen Transaktionen fließen werden – auf dem Smartphone des Anwenders befindet sich keine nutzbaren Authentisierungdaten mehr. Die Idee, das Endgerät des mobilen Kunden von allen sicherheitsrelevanten Daten zu entlasten, ist das Grundprinzip von Tokey.

„Mir ist irgendwann klar geworden, dass man Sicherheit nicht den Endanwendern überlassen, sondern sie in den Prozess und eine sichere Hintergrund-Infrastruktur verlagern muss“, erklärt Simon, wie er auf Tokey kam.

Die wichtigste Komponente des Verfahrens ist eine App auf den Smartphones der Nutzer. Ohne sie geht es nicht - eine Variante, die beispielsweise ausschließlich mit einem PC funktioniert, ist nicht vorgesehen. Bei der rasanten Verbreitung der mobilen Intelligenzbestien scheint das aber kein allzu großes Risiko zu sein.

Smartphone als Schlüssel

Endanwender, die mit ihrem Smartphone Tokey nutzen wollen, müssen sich zunächst über einen der Tokey-Infrastrukturanbieter registrieren, und zwar einmalig, egal, wie viele unterschiedliche Tokey-Services sie später nutzen. Derzeit geht das nur bei Tokey selbst, das soll sich aber bald ändern.

Die Registrierung läuft entweder nach dem Herunterladen der App direkt am Smartphone oder aber über eine sichere Registrierungsseite am PC mittels einer Registrierungs-E-Mail. In der Antwort steckt ein Link, das der Anwender anklickt. Es führt zur eigentlichen Registrierungsseite. Dort werden dann Daten eingegeben, die üblicherweise für die Abwicklung von Geschäftsvorfällen nötig sind, beispielsweise Kreditkartennummer, Adresse, Name und andere Details. Diese Details werden verschlüsselt auf Servern aufbewahrt, die später zum Beispiel bei großen Banken, Versicherern, Dienstleistern oder Einzelhändlern stehen sollen.

Daten herausgeben dürfen diese Server nur an die zweite Komponente der Hintergrund-Infrastruktur, sogenannte Schlüssel- und Applikationsserver, und zwar ebenfalls verschlüsselt. Von den Key-/Applikationsservern werden die transaktionssspezifischen Daten dann über sichere Verbindungen an die Server der Unternehmen, die Tokey nutzen, versendet. Letztere können sie nunmehr beispielsweise in ihre CRM- oder ERP-Datenbanken einarbeiten.

Sichere Transaktionen mit Smartphone App

Der Ablauf einer Transaktion beginnt in der Regel damit, dass der Nutzer des Smartphones beim Einschalten des Geräts die Tokey-App aufruft und durch die Eingabe zweier beliebiger Passworte aktiviert. Sieht er dann einen der Tokey-QR-Codes, beispielsweise auf einem Plakat, einer Zeitungsanzeige, einem Kassenbon, auf einem Bildschirm und so weiter, fotografiert er diesen mit dem Smartphone.

Die Tokey-App verrechnet nun die beiden Anwenderpassworte mit der vom Hersteller des Smartphones stammenden einmaligen Gerätekennziffer (UDI) und dem Inhalt des QR-Codes zu zwei unterschiedlichen Hash-Werten. Der eine geht zu dem Datenserver, an dem dieser spezifische Endkunde sich registriert hat, der andere an einen Schlüssel/App-Server.

Der Datenserver erkennt anhand des Hash-Codes, der anwender- und prozessspezifisch ist, um wen und welchen Prozess es sich handelt und sucht aus dem Datensatz dieser Person diejenigen Daten heraus, die für den Ablauf des gewünschten Prozesses nötig sind, bei einem Kauf zum Beispiel Kontoverbindung und Lieferadresse. Diese verrechnet er mit dem Hashcode, den er vom Endkunden-Smartphone erhalten hat, zu einem neuen Hashcode, der über eine sichere Verbindung an den zuständigen Key/Applikationsserver verschickt wird.

Der Key-/App-Server hat mittlerweile seinen Hash-Code empfangen, der ihm mitteilt, zu welchem Unternehmen die bei ihm eintreffenden Daten vom Datenserver gehören und leitet sie nun immer noch verschlüsselt an den Applikationsserver des Unternehmens weiter. Dort können sie weiter verarbeitet, in CRM/ERP-Systeme eingespeist etc. werden. Der Anwender bekommt von alledem nichts mit. Er muss nur den QR-Code scannen, der Rest läuft im Hintergrund. Tokey geht davon aus, dass in Zukunft viele gerade kleinere Unternehmen ihre Kundendaten gar nicht mehr auf eigenen Servern aufbewahren, sondern dies großen Dienstleistern mit entsprechenden Sicherheitsinfrastrukturen überlassen werden. In diesem Fall erhalten sie über die Transaktion nur noch einen Token.

Zusätzliche Sicherheitsmechanismen

Um die Sicherheit weiter zu erhöhen, sind zusätzliche Schutzmechanismen eingebaut. So sinkt der Sicherheitslevel der App mit der Aktivierungsdauer, nach zwei Stunden muss man sie neu aktivieren: Wurde sie gerade eingeschaltet, ist sie auch für hochsichere Transaktionen beispielsweise am Bankautomaten gut, nach anderthalb Stunden kann man ohne neues Einloggen vielleicht nur noch ein kostenloses Probeheft bestellen. Welches Sicherheitsniveau erwünscht ist, legen die Unternehmen, die Tokey nutzen wollen, selbst individuell für jeden Prozess fest.

Zudem gibt es einen weiteren Sicherheitsmechanismus, der vor allem gegen die beliebte Gewohnheit schützt, Passworte in die Gerätettasche zu stecken oder gar aufs Gerät zu schreiben. „Picturity“ ist ein optionales Tokey-Dienstmerkmal, bei dem jeder Endanwender bis zu 50 selbstgemachte Fotografien auf den Tokey-Server laden kann. Dort werden sie unter die Bilder gemischt, die andere Teilnehmer auf den Server geladen haben. Authentisiert sich ein Anwender, werden ihm jeweils fünfmal Blocks mit 20 beliebigen Fotos gezeigt, unter denen sich jeweils nur eines findet, das er selbst hochgeladen hat. Dieses Bild (es ist in jedem Bildersatz ein anderes) muss er mindestens zweimal erkennen. „Das ist eine individuelle Gedächtnisleistung und damit nicht fälschbar“, ist Simon überzeugt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:42574204)