Biometrische Authentifizierung

6 Tücken der Biometrie

| Autor / Redakteur: Dr. Amir Alsbih / Peter Schmitz

Unternehmen sollten sich der Stärken und Schwächen biometrischer Verfahren bewusst sein, wenn sie sich nach einer neuen Authentifizierungslösung umsehen.
Unternehmen sollten sich der Stärken und Schwächen biometrischer Verfahren bewusst sein, wenn sie sich nach einer neuen Authentifizierungslösung umsehen. (Bild: Pixabay / CC0)

Biometrische Verfahren werden immer populärer. Aber keine Authentifizierungs-Technik ist ohne Schwächen. In der allgemeinen Begeisterung geht oft unter, dass gegen den Einsatz biometrischer Verfahren zahlreiche Bedenken bestehen. Wir zeigen die sechs wichtigsten Tücken der Biometrie.

Biometrische Verfahren begegnen uns in immer mehr Bereichen unseres Alltags: Wir entriegeln unser Smartphone per Fingerabdruck, verschaffen uns über Gesichtserkennung Zutritt zu sensiblen Unternehmensbereichen oder bezahlen demnächst per Netzhaut-Scan. Schon heute liegt das weltweite Marktvolumen von Unternehmen, die Biometrie-Lösungen anbieten, bei fünf Milliarden US-Dollar. Bis 2020 soll es auf 33 Milliarden US-Dollar ansteigen.

Das Wachstum überrascht nicht, wenn man sich die zahlreichen Vorteile biometrischer Verfahren vergegenwärtigt: Die Verifizierung geht schneller und ist bequemer als so ziemlich alle Alternativen. Biometrische Merkmale sind vermeintlich einzigartig und untrennbar mit ihrem Träger verknüpft. Anders als Passwörter oder Hardware-Token können sie nicht vergessen, verloren oder verlegt werden. Hinzu kommt ein nicht zu unterschätzender Coolness-Faktor: Bereits seit Jahrzehnten präsentiert uns Hollywood Iris- und Fingerabdruckscanner als futuristische Methode, mit der Superhelden und Bösewichter den Zugang zu ihren Geheimbasen regulieren.

Aber keine Sicherheitstechnologie ist ohne Schwächen. In der allgemeinen Begeisterung geht oft unter, dass gegen den Einsatz biometrischer Verfahren zahlreiche Bedenken bestehen. Die sechs wichtigsten lauten:

1. Biometrische Verfahren lassen sich überlisten

Die Behauptung, dass biometrische Merkmale nicht kopiert werden können, ist falsch. Der Chaos Computer Club (CCC) fälschte in der Vergangenheit mehrfach erfolgreich Fingerabdrücke und Iris-Scans führender deutscher Politiker. Bereits 2008 veröffentlichte der gemeinnützige Verein den Fingerabdruck von Wolfgang Schäuble, 2014 war Ursula von der Leyen an der Reihe. Auch eine Iris-Attrappe veröffentlichte der CCC – von Angela Merkel. Die Aktionen sollen keinen Schaden verursachen, sondern auf die Schwächen der biometrischen Verfahren aufmerksam machen.

2. Merkmale können nicht geändert werden

Biometrische Merkmale sind fest mit ihrem Träger verknüpft. Dieser vermeintliche Vorteil kann schnell zum Nachteil werden – nämlich dann, wenn ein Merkmal doch erfolgreich kopiert wurde. Anders als ein Passwort lässt sich ein gestohlener Fingerabdruck nicht „zurücksetzen“ oder ändern. Was passiert, wenn ein biometrisches Merkmal in die Hände eines Kriminellen gelangt oder etwa im Dark Web zum Kauf angeboten wird? Bleibt dessen Träger dann bis an sein Lebensende von entsprechenden Authentifizierungsverfahren ausgeschlossen, weil das Risiko zu groß wäre? Bislang ist es den Anbietern biometrischer Verfahren nicht gelungen, dieses Dilemma zufriedenstellend zu lösen. Und was passiert, wenn ein gespeichertes biometrisches Merkmal sich durch äußerliche Einflüsse – einen Unfall beispielsweise – verändert und nicht mehr erkannt wird?

3. Anwender bleiben skeptisch

Längst nicht alle Anwender sind der Ansicht, dass ihr Fingerabdruck in den Datenbanken großer Konzerne gut aufgehoben ist. Spätestens seit den NSA-Enthüllungen überlegen viele Menschen sich zweimal, ob sie ihre biometrischen Informationen einem amerikanischen Server anvertrauen wollen. Es bleibt abzuwarten, ob die Anbieter das Vertrauen zurückgewinnen und die Skeptiker überzeugen können. Einstweilen besteht der Vertrauensmangel für viele Konsumenten als Grund, andere Authentifizierungsverfahren vorzuziehen.

4. Datenschutz

Datenschutz ist ein Thema, das die Anbieter mittlerweile ebenso sehr beschäftigt wie die Anwender. Gerade in Deutschland bestehen strenge Regeln, in welcher Form und unter welchen Bedingungen biometrische Informationen gespeichert werden dürfen. Auch Rechtsunklarheiten sind noch auszuräumen. Fest steht jedoch: Ohne vorherige Zustimmung ist die Überprüfung biometrischer Merkmale in vielen Fällen illegal.

5. Vergleichsweise hohe Fehlerrate

Eine Genauigkeit von 98 bis 99 Prozent klingt nur für Laien gut. Ein kleines Anwendungsbeispiel: 10.000 Mitarbeiter eines großen Unternehmens betreten tagtäglich das Firmengelände und authentifizieren sich biometrisch. Bei einer 98-prozentigen Genauigkeitsrate bedeutet das, dass jeden Tag 200 Personen an der Zugangskontrolle scheitern und mit Verspätung in ihren Arbeitstag starten. Es gibt bei diesem Authentifizierungsverfahren sowohl das Problem der Falschzurückweisungsrate (FRR), bei der valide Benutzer nicht erkannt wird, als auch der Falschakzeptanzrate (FAR), bei dem unberechtigten Benutzer autorisiert werden. Da beide Werte miteinander korrelieren, bedeutet dies, je kleiner die FAR wird, desto höher wird die FRR. Beispielsweise könnten Krankheiten dazu führen, dass valide Benutzer aufgrund der Veränderung des biometrischen Merkmals nicht mehr erkannt werden.

6. Massenabfertigung unmöglich

Per Fingerabdruckscan ein Smartphone zu entriegeln, geht unkompliziert und schnell. Aber wie verifiziert man die Identitäten von hunderten Menschen gleichzeitig? Wie viele Scanner werden benötigt, wenn 50.000 Menschen kurz vor Anpfiff ein Fußballstadion betreten wollen? In solchen Fällen scheinen andere Formen der Zugangskontrolle sinnvoller. Besonders, da Systeme bei der Identifikation die gescannten Daten mit bereits gespeicherten Datensätzen abzugleichen. Je mehr Datensätze allerdings gespeichert sind, desto länger dauert dieser Datenabgleich in der Regel – der Authentifizierungsvorgang verzögert sich.

Hacker bleiben kreativ

Neue Sicherheitstechnologien geraten bereits am ersten Tag ihrer Veröffentlichung in den Fokus von Hackern, die sie knacken wollen. Iris-Scans und Methoden zur Gesichtserkennung werden mit 3D-Modellen und hochauflösenden Fotos überlistet, das Austricksen von Fingerabdruckscannern gestaltet sich häufig sogar noch einfacher. Zwar ist mit den Fälschungen ein vergleichsweise hoher Aufwand verbunden, aber gerade bei Prominenten und Personen mit Zugang zu besonderen Gebäuden, Informationen oder Ressourcen lohnt jede Arbeit. Erleichtert wird entsprechendes außerdem durch immer bessere Technologien, wie z.B. hochauflösende Kameras, Fotos in sozialen Netzwerken sowie Stimmmustern auf Youtube.

Selbst die komplexesten Verfahren der Stimmenerkennung können mittlerweile überlistet werden. Und nicht immer entwickeln nur Hacker das dazu benötigte Werkzeug: Erst Ende 2016 stellte der Softwarehersteller Adobe ein Programm namens Voco vor, das Wörter in einzelne Laute zerlegt und auf Basis von lediglich zwanzig Minuten Tonaufnahme jede Stimme täuschend echt imitiert. Das gesprochene Wort könnte dank dieser innovativen Technik als biometrisches Merkmal jede Relevanz verlieren.

Für Unternehmen und Anwender ist wichtig, dass sie sich der Schwächen biometrischer Verfahren bewusst sind, wenn sie sich nach einer neuen Sicherheitslösung umsehen. Denn ob es sinnvoll ist, bei Zugangskontrollen oder anderen Sicherheitschecks biometrische Merkmale zur Identifikation heranzuziehen, lässt sich immer nur von Fall zu Fall entscheiden. Biometrie kann allerdings immer nur ein Faktor von Multi-Faktor-Authentifizierung sein und sollte niemals als alleiniges Erkennungselement eingesetzt werden.

Über den Autor

Dr. Amir Alsbih ist seit August 2016 als Chief Operating Officer bei der KeyIdentity GmbH tätig. Dr. Alsbih verfügt über mehr als zehn Jahre Erfahrung in der IT-Security-Branche und war unter anderem mehr als fünf Jahre lang als Chief Information Security Officer bei der Haufe Gruppe angestellt. Er ist unter anderem CISSP-ISSMP zertifizierter IT-Sicherheitsexperte und spricht regelmäßig zu unterschiedlichen unternehmensbezogenen Sicherheitsthemen auf diversen Konferenzen wie der OWASP, AppSec, Cyber Security Challenge Germany, International Information Security Conference. Dr. Alsbih lehrte zudem an der Universität Freiburg in den Bereichen der angewandten Informationssicherheit und digitalen Forensik.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44511158 / Biometrie)