Unsere Vorfahren hatten vielleicht keine Computer, aber eines steht außer Frage: sie wussten bestens über die Sicherheit ihrer Kinder Bescheid. Wir haben das altbekannte Märchen Rotkäppchen bereits als Leitfaden für die Erklärung von Man-in-the-Middle-Angriffen, Handshakes und Phishing verwendet. Heute möchten wir deshalb über die bekannte Zwei-Faktor-Authentifizierung (2FA) und biometrische Sicherheit sprechen. Veranschaulichen möchten wir diese Themen anhand des etwas weniger bekannten Märchens Der Wolf und die sieben Geißlein.
Der Wolf und die sieben Geißlein
Das Konzept der Authentifizierung wird im Märchen Der Wolf und die sieben Geißlein anschaulich beschrieben. Für diejenigen, die mit der Geschichte nicht besonders vertraut sind, hier eine kurze Inhaltszusammenfassung: Das Märchen handelt von einer kleinen Ziegenfamilie, bestehend aus der Mutter und ihren sieben jungen Geißlein. Als die Geißenmutter das Haus verlässt, fordert sie ihre Kinder auf, während ihrer Abwesenheit niemanden ins Haus zu lassen – vor allem einen nicht: den bösen Wolf. Bevor sie geht, bringt sie ihren Geißlein bei, den Wolf an seiner rauen, tiefen Stimme und seiner dunklen Fellfarbe zu erkennen. Nachdem die Mutter das Haus verlassen hat, klopft der Wolf an die Tür. Als die Geißlein ihm antworten, dass seine Stimme viel zu rau sei, frisst er Kreide, um diese zarter klingen zu lassen. Zurück am Haus der jungen Geißlein, klopft der Wolf erneut an die Tür. Doch dieses Mal fällt den Geißlein die dunkle, pelzige Pfote auf, die der böse Wolf versehentlich auf dem Fensterbrett abgelegt hat. Wieder verweigern sie ihm den Eintritt. Daraufhin bestäubt der Wolf seine Tatzen mit Mehl, damit diese den weißen Hufen der Ziegenmutter ähnlicher sehen. So gelingt es ihm nun, die Geißlein zu täuschen, die daraufhin die Tür öffnen und gefressen werden. Das folgende Video erzählt die ganze Geschichte:
Im echten Leben neigen Cyberkriminelle allerdings nicht dazu, ihre Opfer zu fressen. Daher interessieren wir uns lediglich für den ersten Teil, in dem der Wolf versucht, in das Ziegenhaus zu gelangen. Schauen wir uns Schritt für Schritt an, was hier wirklich vor sich geht.
- Die Ziegenmutter verlässt das Haus und gibt ihren Kindern die Aufgabe, während ihrer Abwesenheit niemanden ins Haus zu lassen.
- Der Wolf nähert sich dem Haus, klopft an die Tür und bittet die Geißlein ihn hereinzulassen. Diese merken jedoch sofort, dass es sich nicht um ihre Mutter, sondern um den bösen Wolf handelt und lassen ihn vor verschlossener Türe stehen.
Ein perfektes Beispiel der biometrischen Authentifizierung. Obwohl der Wolf genau weiß, was er sagen muss (er kennt also die Passphrase), reicht das allein nicht aus. In diesem Fall muss der tierische „Nuzter“ auch die Sprecherauthentifizierung erfolgreich passieren, um das Ziegenhaus betreten zu dürfen.
- Der Wolf frisst daraufhin Kreide, um seine Stimme zarter klingen zu lassen. Danach steht einer erfolgreichen Sprecherauthentifizierung tatsächlich nichts mehr im Wege. Doch die jungen Ziegen verweigern ihm erneut den Eintritt, dieses Mal, weil sie seine dunkle Wolfspfote auf dem Fensterbrett ruhen sehen.
Mit anderen Worten: Es reicht nicht aus, das Passwort zu kennen und die Sprecherauthentifizerung erfolreich zu bestehen, um sich Zutritt zum Haus zu verschaffen. Darüber hinaus muss der richtige Fingerabdruck der richtige Pfotenabdruck vorgezeigt werden. Auch hierbei handelt es sich im Grunde genommen um einen weiteren biometrischen Faktor. Selbst wenn es jemand schafft, die Stimme des Hausbesitzers nachzuahmen, darf nur ein Nutzer, der ein weiteres Unterscheidungsmerkmal aufweist, auch tatsächlich eintreten.
- Der Wolf bestäubt seine Pfoten mit Mehl und versucht erneut ins Haus zu gelangen – dieses Mal mit Erfolg.
Dies ist ein gutes Beispiel für einen gängigen Hacker-Trick zur Umgehung der Multi-Faktor-Authentifizierung, bei dem die biometrischen Daten „Stimme“ und „Fingerabdruck“ „Pfotenabdruck“ gefälscht werden. Solche Szenarien sind mehr als real und werden von Betrügern im echten Leben gerne und häufig verwendet. Dieses Märchen hilft also nicht nur dabei Ihren Kindern zu erklären, was hinter dem Konzept der Multi-Faktor-Authentifizierung steckt, sondern zeigt auch, dass die biometrische Sicherheit tatsächlich nicht so zuverlässig ist, wie es scheint.
Cybersicherheitsmärchen für Kinder
Wie Sie sehen, können Märchen als hervorragender Leitfaden für jegliche Fragen rund um das Thema Cybersicherheit dienen. Stellen Sie ganz einfach die richtige Analogie her, und verabschieden Sie sich von wortreichen Erklärungen oder generellen Verboten. Wir sind uns ziemlich sicher, dass Rotkäppchen und Der Wolf und die sieben Geißlein keineswegs die einzigen Märchen sind, aus denen wichtige Lektionen über böswillige Tricks und Verteidigungsmöglichkeiten in der digitalen Welt hervorgehen. Und wenn wir schon dabei sind, werfen Sie doch einmal einen genaueren Blick auf die Lieblingscartoons Ihres Kindes – vielleicht kann man auch hier etwas über Cybersicherheit lernen?