Aufschließen, um auf dem neuesten Stand zu sein: Dieses Prinzip ist am täglich geleerten Briefkasten erträglich, weniger beim häufiger benutzten Smartphone. Dennoch muss der sicherheitsbewusste Nutzer bei jedem Griff zum Handy das Gerät mit Passwort, PIN-Code oder Musterzeichnung entsperren.

Eine komfortablere Möglichkeit hat Hubert Eigner, Absolvent im Fach IT-Security an der FH Campus Wien, in seiner Masterarbeit entwickelt: Hier kommt der Handynutzer ohne Entsperren aus. Die Sicherheit wird durch ein kleines Hardwarezubehör - ein sogenanntes "Token" - gewährleistet, das man zusätzlich mitführt und das über Bluetooth mit dem Handy verbunden ist: Solange die Verbindung besteht, kann das Telefon entsperrt werden, ohne ein Passwort einzugeben. Sobald die Verbindung jedoch abreißt, die Entfernung zwischen Handy und Token eine bestimmte Distanz also überschritten hat, kann auf das Mobiltelefon erst nach Eingabe eines komplexeren Passworts wieder zugegriffen werden.

Der Benutzer kommt also ohne ständige Codeeingabe aus und muss nicht fürchten, dass es bei Verlust oder Diebstahl von unbefugten Personen genutzt wird.

"Das Problem ist der Energieverbrauch eines Tokens von dieser Größe", sagt Hubert Eigner. Er suchte nach einem "Konzept, das zum Transportieren klein genug ist, aber auch nicht jeden Tag geladen werden muss". Die Lösung: ein Authentifikationsalgorithmus, der möglichst energieeffizient ist und sich mit dieser Größe realisieren lässt.

Die Idee hatte Eigner schon vor seiner Masterarbeit, da für ihn die ständige Codeeingabe paradoxerweise ein Sicherheitsrisiko darstellt: Durch die intensive Nutzung sei man versucht, ein möglichst einfaches Passwort zu wählen, während Wischmuster und PIN-Codes bei der Eingabe wiederum leicht von Fremden zu sehen seien.

Das Konzept war aber lange aufgrund der technischen Gegebenheiten nicht umzusetzen. Mit Bluetooth 4.0 bestand dann aber eine Verbindungsmöglichkeit, mit der sich das Vorhaben realisieren ließ. Eigner entwickelte einen Algorithmus, mit dem sich Handy und Token schnell koppeln lassen und deren Funkverkehr wenig Energie verbraucht: Der einmal geladene Prototyp des zugehörigen Tokens läuft bis zu vier Monate - theoretisch wäre das sogar ein Jahr lang möglich.

Die vom Algorithmus ausgehend programmierte App, die den Sperrvorgang steuert, ist kompatibel mit Googles Betriebssystem Android - eine Wahl, die ihre Gründe hat, wie Eigners Masterarbeitsbetreuer Manuel Koschuch erklärt: "Apples iOS ist ein sehr abgeschlossenes System. Android ist etwas offener, aber auch hier kann man nicht existierende Authentifikationsmechanismen simpel aushebeln. Das wurde jedoch geschickt über existierende Schnittstellen zur Software gelöst, die es ermöglicht haben, dieses Konzept einzubauen."

Ob Eigners Entwicklung in Produktion gehen wird, ist derzeit noch offen. Da Android ständig überarbeitet wird, kann Eigners derzeitige Umgehung des Sperrmechanismus schon bald wieder schwieriger sein. Eigner: "Darauf kann man kein Geschäftsmodell aufbauen. Ein weiteres Problem sind die Kosten bei der Hardwareentwicklung - eine App zu schreiben ist dagegen kein Aufwand."

Denkbar wäre deshalb, das System ohne Token einzusetzen, indem umgekehrt Bluetoothgeräte gesperrt werden, wenn man sich mit dem Handy entfernt. Das frühere Schloss wird dann zum Schlüssel. (Johannes Lau, DER STANDARD, 25.9.2013)