Die Cybersicherheit durchläuft einen Wandel, der mehr Aufmerksamkeit verdient, als er bekommt. Die Grundfrage der Online-Authentifizierung verschiebt sich: nicht mehr „was weißt du?“ (Passwort, PIN), nicht mehr „was hast du?“ (Token, Smartphone), nicht mehr „wie siehst du aus?“ (Fingerabdruck, Gesichtserkennung), sondern „wie verhältst du dich?“
Die Idee ist elegant, der zugrundeliegende Aufsatz solide. Brandon Janes’ Beitrag „Behavior is the New Credential“ auf Towards Data Science erzählt, wie Systeme der Verhaltensbiometrie zum Standard im Bankensektor werden. Ausgangspunkt ist eine Berkeley-Studie von 2012, Touchalytics: elf Scrolls auf einem Smartphone genügen, um einen bestimmten Nutzer in einer Gruppe von 41 fehlerfrei zu identifizieren. Dreißig einzigartige Verhaltensmerkmale: Gestenlänge, Geschwindigkeit, Krümmung, Trajektorie, Zeit zwischen Scrolls, sogar die genutzte Fingerfläche.
Theoretische Grundlage: das Computational Motor Control, ein interdisziplinäres Feld zwischen Neurowissenschaft, Biomechanik, Informatik. Die unbewussten Korrekturen, die unser Gehirn bei jeder Geste ausführt — Mikroanpassungen im Millisekundenbereich — sind so individuell, dass das Verhaltensprofil einer Person kaum zu reproduzieren ist. Paradoxerweise ist gerade das, was wir als „roboterhaft“ empfinden (diese automatischen neuralen Korrekturen), das, was uns einzigartig menschlich macht.
Warum die alten Verteidigungen nicht mehr reichen
Der Kontext, der diesen Wandel notwendig macht, ist konkret und dokumentiert. Moderne Malware hat Fähigkeiten erreicht, die klassische Verifikationsmechanismen veralten lassen. Tools wie ProKYC — ein im Cybercrime genutzter Deepfake — umgehen 2FA, Gesichtserkennung und sogar Echtzeit-Videoverifikation. BingoMod, ein über Phishing-SMS verbreiteter Remote-Access-Trojaner, tarnt sich auf Android als Antivirus und erlaubt Angreifern, Zugangsdaten, Nachrichten und OTPs abzufangen — bis zu Überweisungen aus dem infizierten Gerät.
Wenn das Gerät kompromittiert ist, sieht aus Sicht der Bank alles normal aus: korrekter Device-Fingerprint, korrekte IP, gültige MFA-Codes. Die klassische Verifikation, die in einem einzigen Augenblick erfolgt (beim Login), reicht nicht mehr. Der Sicherheitsperimeter ist nicht mehr das Eingangstor. Er ist die ganze Sitzung.
Hier kommt die Verhaltensbiometrie ins Spiel, als kontinuierliche Authentifizierung. Auf das spezifische Profil jedes Nutzers gestützte Anomaly-Detection-Modelle überwachen die Sitzung von Anfang bis Ende. Steigen die Risiko-Signale, kann das System zusätzliche Verifikationen verlangen oder die Transaktion blockieren. Bleibt das Verhalten konsistent, läuft die Sitzung ohne Unterbrechungen weiter. Ergebnis, ironischerweise: bessere UX — weniger OTPs, weniger Unterbrechungen, mehr Fluss. Passive statt aktive Sicherheit.
Die andere Seite
Soweit die Erzählung der Cybersecurity-Industrie. Erzählung, die funktioniert: technisch fundiert, operativ effektiv. Aber Erzählung, die systematisch eine Frage vermeidet: Was bedeutet es aus Sicht der Grundrechte, menschliches Verhalten in ein Credential zu verwandeln?
Beginnen wir mit einem normativen Punkt, den Janes’ Artikel nicht erwähnt. Die DSGVO definiert in Artikel 4 Nr. 14 biometrische Daten als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“. Schlüsselwort: verhaltenstypisch. Der EU-Gesetzgeber hat Verhaltensdaten ausdrücklich in die Definition einbezogen. Artikel 9 ordnet biometrische Daten dann der „besonderen Kategorie“ zu, deren Verarbeitung im Grundsatz untersagt ist — außer bei expliziter Einwilligung, erheblichem öffentlichem Interesse, Schutz lebenswichtiger Interessen.
Das heißt: jedes System der Verhaltensbiometrie in der EU verarbeitet Daten besonderer Kategorie. Keine generischen personenbezogenen Daten. Daten, die explizite Einwilligung, eine DSFA, Zweckbindung, Datenminimierung und ein Recht auf Löschung erfordern.
Die Frage, der kein Cybersecurity-Vendor begegnen will: wie verträgt sich das Recht auf Löschung mit einem aus laufender Analyse tausender Mikrointeraktionen aufgebauten Verhaltensprofil? Du kannst ein Profil löschen, sicher. Aber kannst du das aus dem Profil abgeleitete Wissen löschen, sobald es zum Modelltraining genutzt wurde? Die DSGVO stellt präzise Fragen zur Datenminimierung und Zweckbindung, wenn Daten zum Training von KI-Modellen verwendet wurden.
Die Doppelbindung des AI Act
Das Bild verkompliziert sich mit dem AI Act, dessen Hochrisiko-Regime ab August 2026 voll greift. Die Schnittmenge DSGVO/AI Act schafft einen geschichteten Normrahmen für biometrische Technologien.
Der AI Act unterscheidet mehrere biometrische Systemtypen. Echtzeit-Fernidentifizierung im öffentlichen Raum ist für die Strafverfolgung mit eng begrenzten Ausnahmen verboten. Andere Systeme zur biometrischen Fernidentifizierung sind Hochrisiko. Biometrische Kategorisierung, die sensible Attribute ableitet (Rasse, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung), ist verboten. Emotionserkennung ist am Arbeitsplatz und in Bildungseinrichtungen verboten und in anderen Kontexten Hochrisiko.
Wo verortet sich Banking-Verhaltensbiometrie in dieser Taxonomie? Der AI Act schließt Tools zur biometrischen Verifikation, die bestätigen, dass jemand der ist, der er behauptet zu sein, von der Definition der biometrischen Fernidentifizierung aus — vorausgesetzt sie verlangen die aktive Beteiligung der Person. Verhaltensbiometrie ist aber per Definition passiv. Die Nutzerin „beteiligt sich nicht aktiv“ an ihrer Authentifizierung. Das System beobachtet, während sie etwas anderes tut. Diese Grauzone zwischen aktiver Verifikation und passiver Überwachung ist genau das Terrain, auf dem Grundrechte zu knirschen beginnen.
Hinzu kommt: der AI Act untersagt KI-Systeme, die Personen aufgrund ihres sozialen Verhaltens klassifizieren, wenn diese Klassifizierung zu nachteiliger Behandlung in nicht zusammenhängenden Kontexten oder zu unverhältnismäßiger Behandlung führt. Die Linie zwischen „Verhaltensauthentifizierung gegen Betrug“ und „Verhaltensprofilierung zur Klassifizierung von Nutzern“ ist nicht so scharf, wie die Industrie glauben machen will.
Function Creep: das strukturelle Risiko
Die Technikgeschichte lehrt: Systeme, für einen Zweck gebaut, neigen dazu, ihre Reichweite mit der Zeit auszudehnen. Phänomen bekannt als Function Creep, in der Verhaltensbiometrie besonders heimtückisch.
Ein System, das heute analysiert, wie du eine Seite scrollst, um zu prüfen, dass du es bist, könnte morgen dieselben Daten nutzen, um deinen emotionalen Zustand, dein Aufmerksamkeitsniveau, deine kognitive Verfassung, deine finanzielle Risikoneigung abzuleiten. Verhaltensdaten sind außerordentlich reich an impliziter Information. Tipprhythmus kann Angst oder Müdigkeit verraten. Scroll-Geschwindigkeit Interesse oder Langeweile. Berührungsdruck Reizung oder Ruhe.
Banken, die diese Daten heute zur Betrugsprävention nutzen, sitzen auf einem Informationsschatz mit weit größerem Potenzialwert als Transaktionssicherheit. Die Versuchung, diese Daten zu monetarisieren oder kommerziell zu nutzen (Personalisierung, Kreditscoring, Versicherungsprofilierung), ist eine ökonomische Kraft, die interne Policies langfristig kaum zügeln werden.
In Australien wurde eine biometrische Datenbank, die zur Vorbeugung grenzüberschreitender Kriminalität gebaut war, später eingesetzt, um Personen zu identifizieren, die ihre Dokumente in Bränden verloren hatten. In jenem Fall hatte der erweiterte Gebrauch eine wohlwollende Absicht. Aber der Präzedenzfall war geschaffen: sobald die Daten existieren und das System läuft, weiten sich die Zwecke aus.
Der informatisierte Körper
Es gibt eine tiefere Dimension, jenseits des Rechts, in der Anthropologie der Technik. Die Verhaltensbiometrie verwandelt unsere Geräteinteraktion in eine permanente Identifikationsdatum. Der US National Research Council hat das als Schaffung eines „informatisierten Körpers“ beschrieben: eines Körpers, der nicht mehr durch sichtbare anatomische Merkmale repräsentiert wird, sondern durch in Datenbanken gespeicherte digitale Informationen über den Körper.
Wenn deine Art zu scrollen zum Credential wird, wird dein unbewusster Geste zur Daten. Die Spontaneität deiner Bewegung wird erfasst, analysiert, modelliert, archiviert. Du lieferst nicht aktiv eine Information wie beim Tippen eines Passworts. Du lebst einfach, und das System extrahiert Wert aus deiner gewöhnlichen Existenz.
Shoshana Zuboff hat diese Dynamik als Grundzug des Überwachungskapitalismus beschrieben: Aneignung persönlicher Erfahrung und ihre Verwandlung in Verhaltensdaten, die dann zur Vorhersage und Modifikation des Verhaltens genutzt werden. Verhaltensbiometrie für Cybersecurity ist die „gute“ Version dieses Mechanismus. Aber der Mechanismus ist derselbe. Und der Abstand zwischen guter und weniger guter Version ist nur eine Frage der erklärten Zwecke — die sich ändern können.
Die Asymmetrie der Einwilligung
Besonders problematischer Aspekt: die Natur der Einwilligung. Die DSGVO verlangt eine „freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene“ Einwilligung — mit noch höheren Anforderungen für besondere Kategorien. Aber wie kann die Einwilligung in ein Verhaltensbiometrie-System in deiner Banking-App wirklich freiwillig sein, wenn die Alternative der Verlust des Kontozugriffs ist?
Europäische Datenschutzbehörden haben das in analogen Kontexten bereits behandelt. Die niederländische Behörde verhängte 725.000 € Bußgeld gegen ein Unternehmen, weil Beschäftigte Fingerabdruckscans als Pflicht empfanden — die Einwilligung galt als nicht freiwillig. Die schwedische Behörde sanktionierte eine Schule für die Nutzung von Gesichtserkennung zur Anwesenheitserfassung wegen des Machtungleichgewichts zwischen Institution und Schülern.
Bei Banking-Verhaltensbiometrie ist das Ungleichgewicht analog. Bankdienste sind in der heutigen Gesellschaft nicht optional. Setzt die Bank Verhaltensauthentifizierung ein, hat der Kunde keine reale Alternative zur Einwilligung. Die Dynamik gleicht eher einer auferlegten Bedingung als einer informierten Wahl.
Das Paradox der Unwiderruflichkeit
Anders als ein kompromittiertes Passwort, das in Sekunden geändert werden kann, stellt ein kompromittiertes Verhaltensprofil ein strukturelles Problem: du kannst deine Art zu scrollen oder zu tippen nicht so leicht ändern wie eine Zeichenfolge. Deine Verhaltensmuster sind intrinsisch mit deiner Physiologie und Neurologie verbunden. Sie sind, in einem sehr konkreten Sinn, du selbst.
Das birgt ein Langzeitrisiko, das die Branche tendenziell herunterspielt. Wird eine Datenbank von Verhaltensprofilen kompromittiert, veralten die exfiltrierten Daten nicht durch Credentials-Rotation. Sie bleiben nutzbar, bis sich die biometrischen Merkmale signifikant ändern — was meist nur durch Alterung oder traumatische Ereignisse geschieht.
Die Anbieter betonen, Profile würden typischerweise lokal verarbeitet und nur ein Risiko-Score übermittelt, nicht Rohdaten. Reale Mitigation, beseitigt aber nicht das Grundproblem: irgendwo, in irgendeiner Form, existiert eine Repräsentation deines unbewussten Verhaltens als digitale Daten.
Algorithmische Diskriminierung und Verhaltens-Bias
Weiterer kritischer Aspekt: das diskriminatorische Potenzial. Interaktionsmuster mit Geräten sind nicht universell. Sie variieren mit Alter, körperlicher Verfassung, motorischer Behinderung, kulturellen Unterschieden im Tech-Gebrauch, Gerätetyp.
Eine ältere Person mit Arthrose hat deutlich andere Scroll- und Tippmuster als eine Zwanzigjährige. Eine Nutzerin auf einem günstigen Low-End-Gerät produziert andere Sensordaten als jemand mit dem neuesten Flaggschiff. Wer zwischen rechter und linker Hand wechselt oder assistive Technologien nutzt, erzeugt atypische Profile.
Wurde das Anomaly-Detection-Modell überwiegend auf Profilen normgerechter Mittelklasse-Nutzer trainiert, werden abweichende Nutzer häufiger Zusatzverifikationen, Sitzungsblockaden, Step-up-Anforderungen unterworfen. Anders gesagt: die als bessere UX vermarktete „passive“ Sicherheit kann sich für die verletzlichsten Gruppen in eine systematisch schlechtere UX verwandeln.
Der seit Juni 2025 voll anwendbare European Accessibility Act (EAA) verlangt, dass digitale Produkte und Dienste für Menschen mit Behinderung zugänglich sind. Ein Verhaltensauthentifizierungssystem, das systematisch Nutzer mit motorischer oder kognitiver Beeinträchtigung benachteiligt, wirft Konformitätsfragen nicht nur zu DSGVO/AI Act, sondern auch zur Barrierefreiheits-Norm auf.
Die Pflicht, über die technische Lösung hinauszuschauen
Nichts oben Geschriebene heißt, Verhaltensbiometrie sei eine schlechte Idee. Das Cybersecurity-Problem ist real, die Verluste enorm (das FBI Internet Crime Report dokumentiert Milliarden Dollar jährlich), und klassische Verteidigungen sind den heutigen Bedrohungen tatsächlich nicht gewachsen. Kontinuierliche Authentifizierung ist wahrscheinlich die Zukunft digitaler Sicherheit.
Aber wie die Branche diesen Wandel erzählt, ist nicht zufällig unvollständig. Janes’ Artikel präsentiert, wie der Großteil der technischen Literatur zum Thema, Verhaltensbiometrie ausschließlich aus Sicht operativer Wirksamkeit. Der Subtext: funktioniert besser, ist sicherer, UX besser. Alles wahr. Aber nicht alles.
Wer im europäischen ICT-Sektor arbeitet, trägt eine doppelte Verantwortung. Einerseits diese Technologien einsetzen, wo nötig und wertstiftend. Andererseits dies mit normativem und ethischem Bewusstsein tun, das der amerikanische Markt — Heimat der meisten Innovation auf diesem Feld — weniger dringlich entwickelt.
Europa, mit seinem geschichteten Rechtsrahmen (DSGVO, AI Act, EAA, NIS2), erschwert nicht das Leben derer, die mit Technik arbeiten. Es stellt die Fragen, die der Markt allein nicht stellt. Fragen wie: Wem gehört deine Art, den Finger über einen Bildschirm zu bewegen? Welche Rechte hast du an einem unbewussten Geste, in Daten verwandelt? Was passiert, wenn dein informatisierter Körper zur Ware wird?
Unbequeme Fragen. Aber in dem Augenblick, in dem Verhalten zum Credential wird, haben wir nicht den Luxus, sie zu ignorieren.
Was du mitnimmst
Elf Scrolls genügen, um eine Person eindeutig zu identifizieren: dein unbewusster Geste wird zum Credential — du kannst sie nicht wechseln wie ein Passwort.
Die DSGVO bezieht Verhaltensdaten ausdrücklich in die biometrischen Daten besonderer Kategorie ein — jedes Continuous-Authentication-System in der EU verarbeitet Daten, die explizite Einwilligung und DSFA erfordern.
Function Creep ist strukturell: dieselben Sensoren, die einen Deepfake blockieren, können Angst, Langeweile, Risikoneigung profilieren. Der Abstand ist nur die erklärte Zweckbestimmung — und die kann sich ändern.
Einwilligung in einer Banking-App ist nicht frei: ist die Alternative der Verlust des Kontozugriffs, ähnelt die Dynamik mehr einer auferlegten Bedingung als einer informierten Wahl.
Auf Durchschnittsnutzern trainierte Anomaly-Detection-Modelle benachteiligen systematisch Senioren, motorisch eingeschränkte Personen, Nutzer günstiger Geräte — passive Sicherheit wird algorithmische Diskriminierung.
Fragen & Antworten
Was ist Verhaltensbiometrie und wie identifiziert sie eine Person?
Ein Authentifizierungssystem, das die Nutzerin daran erkennt, wie sie ein Gerät bedient: Scrolllänge, Gestengeschwindigkeit, Zeit zwischen Taps, genutzter Fingerbereich. Die Berkeley-Studie ‚Touchalytics’ (2012) zeigte: elf Scrolls reichen, eine Person in einer Gruppe von 41 fehlerfrei zu identifizieren. Theoretische Basis ist die computational motor control — die automatischen neuralen Mikrokorrekturen, die du unbewusst machst, sind so individuell, dass dein Verhaltensprofil kaum reproduzierbar ist.
Warum reichen 2FA, Gesichtserkennung und Passwörter nicht mehr?
Weil moderne Malware sie alle umgeht. ProKYC ist ein Deepfake-Tool, das Videoverifikation und Facial Recognition umgeht; BingoMod ist ein Banking-RAT, der 2FA aushebelt, indem er SMS direkt vom Gerät liest. Klassische Credentials sind einzelne Checkpoints — einmal überwunden, ist die Sitzung kompromittiert. Es braucht eine kontinuierliche Identität, kein Eingangstor.
Warum kümmert sich der AI Act um Verhaltensbiometrie?
Weil er sie als biometrische Daten und als Hochrisikosystem klassifiziert. Artikel 5 verbietet die Emotionsableitung aus Verhalten in Arbeit und Bildung ausdrücklich. Die Grenze zwischen ‚kontinuierlicher Authentifizierung’ und ‚permanentem Profiling’ ist sehr dünn: derselbe Sensor, der einen Deepfake fernhält, kann Stimmung, Konzentration, kognitive Schwächemomente profilieren.
Was ist das Problem, wenn die Authentifizierung besser funktioniert?
Jeder Klick, Scroll, Tap wird zu einer dauerhaften biometrischen Daten. Authentifizierung hört auf, ein Akt zu sein (Passwort eintippen, drinnen sein) und wird ein dauerhafter Zustand (du wirst ständig identifiziert, auch wenn du es nicht glaubst). Das löst ein Sicherheits-, öffnet aber ein Überwachungsproblem, das die alte Architektur nicht hatte. Der Trade-off zwischen Reibung und Privatsphäre muss von Grund auf neu diskutiert werden — nicht als neutraler Fortschritt akzeptiert.
Der Autor
