Markus Hertlein und Pascal Manaras zumindest sehen das so. "Menschen sind nicht dafür gemacht, sich Passwörter zu merken", sagt Hertlein. "Also verwenden sie entweder immer die gleichen oder sie suchen sie sich im System." Genau das sei aber ein Sicherheitsproblem. "Das größte Risiko für die IT-Sicherheit ist der Mensch." Hertlein, 34, und sein Kollege Manaras, 34, glauben, dieses Problem lösen zu können. Mit ihrer Firma Xignsys haben sie eine Technologie entwickelt, die Identifikation im Internet ohne Passwort ermöglicht.

Menschen und Passwörter, vielleicht passt das einfach nicht.

Konkret funktioniert das so: Nutzer installieren die App von Xignsys und durchlaufen dann einen einmaligen Registrierungsprozess. Dabei werden kryptografische Schlüssel und digitale Zertifikate auf dem Gerät hinterlegt. Das Telefon wird zu einer Art digitalem Personalausweis. Fortan funktioniert etwa das Einloggen nicht mehr mit Benutzername und Passwort, stattdessen bekommen Nutzer einen QR-Code angezeigt, den sie mit der App auf ihrem Handy einscannen. Der Rest läuft automatisch - Sekunden später ist man identifiziert und eingeloggt. "Man muss sich nie wieder ein Passwort merken", sagt Maneras. "Also muss man sich auch keine Passwörter mehr ausdenken, die dann womöglich unsicher sind."

Um zu verhindern, dass das Telefon im Fall eines Diebstahls für Einkaufstouren missbraucht wird, müssen für Transaktionen zusätzlich noch eine Pin oder ein Fingerabdruck zur Authentisierung verwendet werden. Bei Verlust des Geräts könne man außerdem per Hotline oder über die Webseite den Zugang sperren lassen, ähnlich wie bei einer verlorenen EC-Karte.

Hertlein und Manaras, Freunde seit der Grundschule, haben die Idee für ihr Start-up entwickelt, als sie am Institut für Internetsicherheit an der Westfälischen Hochschule in Gelsenkirchen an einem System arbeiteten, das die Authentifizierung an elektrischen Ladesäulen ermöglichen sollte. "Das Wissen, das wir dort gewonnen haben, wollten wir für Authentifizierungstechnologie auch in anderen Bereichen einsetzen", sagt Manaras.

Innovation für E-Government-Lösungen ist bitter nötig

Dass sich Passwörter trotz aller Schwierigkeiten der Methode, nach wie vor hartnäckig weigern, zu verschwinden, lag bisher vor allem an fehlenden Alternativen. Biometrische Merkmale wie Fingerabdrücke oder Gesichtserkennung sind ebenfalls knackbar und lassen sich im Notfall auch nicht ändern. Zentrale Authentifizierungssysteme wie das von Xignsys haben ein anderes Problem: Gerade weil sie eine Lösung für mehrere Systeme sein wollen, steigt die Abhängigkeit von dem Service: Je mehr Anbieter auf Xignsys für die Authentifizierung setzen, desto problematischer wäre ein Ausfall des Systems.

Bislang nutzen das System vor allem Firmenkunden, so verwendet Volkswagen Xignsys etwa zur internen Identifikation der Mitarbeiter. Bald soll das System aber auch in ganz anderem Kontext ausprobiert werden: Die Stadt Gelsenkirchen und in weiterer Folge auch ganz Nordrhein-Westfalen wollen den Bürgern mit Xignsys elektronische Behördengänge ermöglichen.

Gerade beim Thema E-Government wäre Innovation nötig. Wer sich durch die diversen digitalen Service-Portale der Bundesländer klickt, der versteht, warum die Nutzung digitaler Behördenleistungen in Deutschland im vergangenen Jahr zurück ging, Benutzerfreundlichkeit sieht anders aus. Das liegt auch daran, dass für die meisten digitalen Behördengänge zeitweise der neue Personalausweis mit NFC-Chip und ein entsprechendes Lesegerät notwendig waren. Heute kann man dieses Gerät mit einem modernen Smartphone umgehen.

Bleibt die Frage, ob zwei, die sich ständig Gedanken machen über Sicherheit im Internet, wenigstens ihr engstes Umfeld von ordentlichen Passwörtern überzeugen konnten? Man rede natürlich mit Freunden und der Familie, sagt Manaras. "Aber selbst wenn man stundenlang erklärt, wie wichtig das ist, gehen sie dann und verwenden das gleiche Passwort wie immer." Der Mensch und das Passwort, vielleicht passt das einfach nicht.