Einem Account bei einem Internet-Pokeranbieter droht die gleiche Gefahr, wie jedem anderen Online-Konto auch: Datendiebstahl. An Benutzername und Passwort kommen Betrüger mit den üblichen Methoden: Durch das Ausnutzen von Sicherheitslücken auf dem PC; oder durch verseuchte E-Mails, die Spionagesoftware installieren oder auf gefälschte Websites locken. Oft dürfte auf dem Account eines erfolgreichen Pokerspielers weit mehr Guthaben zu Buche stehen als beim Kleinkunden einer Volks- oder Raiffeisenbank. Vor allem aber gibt es eine sehr elegante Möglichkeit, daran zu kommen:
" Um das Geld direkt abzuziehen, nachdem Sie Benutzername und Passwort haben; etwa auf ihr Bankkonto, dazu müssen Sie irgendwo als Person auftauchen. Und das ist eine gute Chance für die Polizei, Sie zu schnappen und für den Geldtransfer von einem gestohlenen Account einzusperren. Wenn Sie das Geld aber einfach im Online-Kasino an ein paar Komplizen verlieren, dann bekommt das erst einmal überhaupt niemand mit. Das ist ein sehr sicherer Weg, das Geld heraus zu bekommen, ohne aufzufallen. "
Roman Yampolskiy von der Universität Buffalo beschäftigt sich mit der Zugangskontrolle zu Computersystemen. Und weil Passwörter gestohlen werden können: Mehr Sicherheit verspricht da die Überprüfung von Merkmalen, die für ein Individuum charakteristisch sind: Fingerabdrücke, wie beim neuen deutschen Reisepass oder die Iris des Auges, wie beim Check-in am Frankfurter Flughafen. Bei Yampolskiys Spezialgebiet, der verhaltensbasierten Biometrie, geht es um möglichst charakteristische Aktionen: Die Art und Weise, wie jemand einen Satz sagt; die Art und Weise, mit welcher Geschwindigkeit und welchem Druckverlauf eine Unterschrift geleistet wird. Oder die Art und Weise, die Strategie, mit der jemand Poker spielt.
" Es gibt diese große Debatte, ob Poker ein Strategiespiel oder ein Glücksspiel ist. Wir haben in einer früheren Arbeit gezeigt, dass beim Poker das Können gegenüber dem Zufall eindeutig den Ausschlag gibt. Der Witz ist, bei einem oder zwei Spielen ist es natürlich Glücksache, aber auf lange Sicht, bei 1000 Spielen wird immer der bessere Spieler gewinnen. "
Wie gut das eigene Blatt ist, lässt sich beim Pokern immer nur ansatzweise statistisch kalkulieren. Diese Einschätzung der eigenen Gewinnwahrscheinlichkeit einerseits und seine Risikobereitschaft andererseits dokumentiert ein Pokerspieler durch seine Einsätze: Er kann mithalten, erhöhen oder aber aussteigen. Yampolskiys Software analysiert aufgrund der Daten der Vergangenheit, wie sich ein Spieler abhängig von seinem Blatt und dem zu gewinnenden Jackpot typischerweise verhält. Wie er in den charakteristischen Etappen einer Spielrunde agiert, wie oft er in bestimmten Situationen auf Nummer Sicher geht, oder wie oft er die Karten ausreizt oder blufft: Das alles wird mit aufwendigen statistischen Verfahren ausgewertet und zu einem Profil verdichtet. Und wenn sich ein so errechneter Strategiefingerabdruck plötzlich radikal verändert, dann hat -das ist die Idee- möglicherweise ein Ganove den Account gekapert. Die allerbesten Spieler handeln nun gerade, so eine Kritik an Yampolskiys Ansatz, unvorhersagbar:
" Das stimmt für die ganz starken, und auch für die ganz schwachen Spieler, die gar keine Strategie haben und irgendetwas zufälliges tun. Das ist schwer vorherzusagen, wie auch Zufälligkeit an sich wiederum eine Strategie sein kann. Auf lange Sicht gibt es aber eine Konstanz in den Profilen. Die Mehrzahl der Spieler sind keine Champions, wir sprechen eben von den 90 Prozent Durchschnittsspielern. "
Die Identifikation klappt umso genauer, je länger das System einem Spieler in die Karten schauen kann. Noch reicht die Erkennungsrate nicht für einen praktischen Einsatz aus, gibt Yampolskiy zu:
" Wir arbeiten noch an einer Verbesserung, momentan erreichen wir nach einer Stunde Beobachtung 70 bis 80 Prozent Genauigkeit bei der Identifikation. Aber das würde bei großen Onlinekasinos mit Millionen von Spielern noch viel zu viele falsche Treffer hervorrufen. Wir planen deshalb noch andere verhaltensbasierte biometrische Daten hinzuzuziehen, etwa Tastaturanschläge oder Mausbewegungen. Wenn man das in einem System kombiniert, dann steigt die Präzision dramatisch. "
Auch wenn die Software einsatzreif sein wird, soll sie nicht eigene Entscheidungen treffen und etwa einen Account sperren oder gar löschen. Sondern Alarm schlagen, damit im Zweifelsfall ein menschlicher Experte das Spiel beobachtet. Oder damit ein Administrator per Telefonanruf klärt, ob der Accountinhaber wirklich vor seinem Rechner sitzt -im Smoking oder im Schlafanzug.
" Um das Geld direkt abzuziehen, nachdem Sie Benutzername und Passwort haben; etwa auf ihr Bankkonto, dazu müssen Sie irgendwo als Person auftauchen. Und das ist eine gute Chance für die Polizei, Sie zu schnappen und für den Geldtransfer von einem gestohlenen Account einzusperren. Wenn Sie das Geld aber einfach im Online-Kasino an ein paar Komplizen verlieren, dann bekommt das erst einmal überhaupt niemand mit. Das ist ein sehr sicherer Weg, das Geld heraus zu bekommen, ohne aufzufallen. "
Roman Yampolskiy von der Universität Buffalo beschäftigt sich mit der Zugangskontrolle zu Computersystemen. Und weil Passwörter gestohlen werden können: Mehr Sicherheit verspricht da die Überprüfung von Merkmalen, die für ein Individuum charakteristisch sind: Fingerabdrücke, wie beim neuen deutschen Reisepass oder die Iris des Auges, wie beim Check-in am Frankfurter Flughafen. Bei Yampolskiys Spezialgebiet, der verhaltensbasierten Biometrie, geht es um möglichst charakteristische Aktionen: Die Art und Weise, wie jemand einen Satz sagt; die Art und Weise, mit welcher Geschwindigkeit und welchem Druckverlauf eine Unterschrift geleistet wird. Oder die Art und Weise, die Strategie, mit der jemand Poker spielt.
" Es gibt diese große Debatte, ob Poker ein Strategiespiel oder ein Glücksspiel ist. Wir haben in einer früheren Arbeit gezeigt, dass beim Poker das Können gegenüber dem Zufall eindeutig den Ausschlag gibt. Der Witz ist, bei einem oder zwei Spielen ist es natürlich Glücksache, aber auf lange Sicht, bei 1000 Spielen wird immer der bessere Spieler gewinnen. "
Wie gut das eigene Blatt ist, lässt sich beim Pokern immer nur ansatzweise statistisch kalkulieren. Diese Einschätzung der eigenen Gewinnwahrscheinlichkeit einerseits und seine Risikobereitschaft andererseits dokumentiert ein Pokerspieler durch seine Einsätze: Er kann mithalten, erhöhen oder aber aussteigen. Yampolskiys Software analysiert aufgrund der Daten der Vergangenheit, wie sich ein Spieler abhängig von seinem Blatt und dem zu gewinnenden Jackpot typischerweise verhält. Wie er in den charakteristischen Etappen einer Spielrunde agiert, wie oft er in bestimmten Situationen auf Nummer Sicher geht, oder wie oft er die Karten ausreizt oder blufft: Das alles wird mit aufwendigen statistischen Verfahren ausgewertet und zu einem Profil verdichtet. Und wenn sich ein so errechneter Strategiefingerabdruck plötzlich radikal verändert, dann hat -das ist die Idee- möglicherweise ein Ganove den Account gekapert. Die allerbesten Spieler handeln nun gerade, so eine Kritik an Yampolskiys Ansatz, unvorhersagbar:
" Das stimmt für die ganz starken, und auch für die ganz schwachen Spieler, die gar keine Strategie haben und irgendetwas zufälliges tun. Das ist schwer vorherzusagen, wie auch Zufälligkeit an sich wiederum eine Strategie sein kann. Auf lange Sicht gibt es aber eine Konstanz in den Profilen. Die Mehrzahl der Spieler sind keine Champions, wir sprechen eben von den 90 Prozent Durchschnittsspielern. "
Die Identifikation klappt umso genauer, je länger das System einem Spieler in die Karten schauen kann. Noch reicht die Erkennungsrate nicht für einen praktischen Einsatz aus, gibt Yampolskiy zu:
" Wir arbeiten noch an einer Verbesserung, momentan erreichen wir nach einer Stunde Beobachtung 70 bis 80 Prozent Genauigkeit bei der Identifikation. Aber das würde bei großen Onlinekasinos mit Millionen von Spielern noch viel zu viele falsche Treffer hervorrufen. Wir planen deshalb noch andere verhaltensbasierte biometrische Daten hinzuzuziehen, etwa Tastaturanschläge oder Mausbewegungen. Wenn man das in einem System kombiniert, dann steigt die Präzision dramatisch. "
Auch wenn die Software einsatzreif sein wird, soll sie nicht eigene Entscheidungen treffen und etwa einen Account sperren oder gar löschen. Sondern Alarm schlagen, damit im Zweifelsfall ein menschlicher Experte das Spiel beobachtet. Oder damit ein Administrator per Telefonanruf klärt, ob der Accountinhaber wirklich vor seinem Rechner sitzt -im Smoking oder im Schlafanzug.