Das Ende der Passwort-Ära Das neue Zeitalter der Biometrie

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Arvato Systems

Keeper Security EMEA Ltd.

Von der Entsperrung des Smartphones über biometrische Ausweisdokumente bis zur nicht übertragbaren Dauerkarte im Zoo Hannover: Die Biometrie befindet sich auf dem Siegeszug – und das über alle Branchen hinweg. Doch wie bei allen neuen Technologien, die das Leben ein Stück weit erleichtern sollen, erheben sich auch hier skeptische Stimmen, die die Sicherheit von Daten und Privatsphäre in Frage stellen.

Bedenken zur Biometrie gibt es bereits seit Längerem und sie wurden im August 2019 zusätzlich befeuert, als eine Systemlücke der Plattform Biostar 2 dazu führte, dass die biometrischen Daten von mehr als einer Million Nutzern preisgegeben wurden. Was bei Negativbeispielen wie diesem jedoch häufig vergessen wird: Sicherheitslücken wie diese sind in Wirklichkeit keine Schwäche der Biometrie, sondern viel eher ein Zentralisierungsproblem, das etwaigen Cyberangriffen Tür und Tor öffnet. Denn Tatsache ist: Im Vergleich zu allen anderen bisherigen Methoden ist und bleibt die biometrische Authentifizierung die sicherste.

Das Ende der Passwort-Ära

Manuell gewählte Passwörter dominieren noch immer die Art und Weise, wie Nutzer online ihre Identität nachweisen, um sich einzuloggen, Bestellungen aufzugeben oder Transaktionen durchzuführen. Und auch die Hitlisten werden im Jahr 2020 nach wie vor von naheliegenden Wörtern wie „Passwort“ oder simple Aneinanderreihungen von Zahlen angeführt. Heutzutage verfügt jeder Konsument durchschnittlich über 90 Online-Accounts, die häufig durch ähnliche oder sogar dieselben Passwörter und PIN-Codes geschützt sind, wobei von „Schutz“ hierbei kaum die Rede sein kann. Dieses mangelnde Sicherheitsbewusstsein ist nicht nur ärgerlich, sondern kann auch schnell zum Problem werden, da die meisten Passwörter auf zentralen Servern liegen, die selbst nicht immer ausreichend vor dem unbefugten Zugriff Dritter geschützt sind. Sobald ein Hacker es geschafft hat, Login-Daten zu entwenden, kann er sie für beliebte Betrugsmethoden wie beispielsweise das Password Spraying benutzen, mit der Identität der Opfer Berechtigungsnachweise fälschen oder andere Angriffe ausführen. Weltweit entsteht dadurch jährlich ein Schaden von mehreren Milliarden US-Dollar. Um dieses Risiko zu minimieren, fordern Unternehmen und Websitebetreiber ihre Kunden und User zunehmend dazu auf, kompliziertere Kombinationen aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen zu verwenden. Die Nutzerfreundlichkeit sinkt dadurch jedoch erheblich.

Das Versprechen der Biometrie

Die Notwendigkeit einer sicheren Alternative zu den herkömmlichen Login-Lösungen kristallisiert sich von Jahr zu Jahr mehr heraus. Die Biometrie bietet dabei nicht nur eine passende Antwort auf dieses Problem, sondern hat auch das Potenzial, die stagnierende Einführung der Zwei-Faktor-Authentifizierung von Neuem zu beleben. Entscheidend ist allerdings, dass die Fehler, die bei der Verwaltung von Passwörtern bisher gemacht wurden, sich unter keinen Umständen wiederholen. Denn die Biometrie bietet zwar von Natur mehr Sicherheit als Passwörter, aber die Vorteile, die damit einhergehen, lösen sich schnell in Luft auf, wenn auch sie auf zentralen Servern gespeichert werden. Tatsächlich könnte das sogar eine noch größere Bedrohung darstellen, da biometrische Informationen sich natürlich nicht wie ein Passwort ändern lassen. Die bessere Methode besteht deshalb darin, die Daten lokal auf dem Gerät des jeweiligen Nutzers zu speichern. Und genau in diesem Punkt gibt es gute Nachrichten: Große Anbieter wie Microsoft, Apple und Google verfolgen bereits genau diesen Ansatz und drängen auf mehr Transparenz, was die Speicherung der biometrischen Daten betrifft. Da es mit der lokalen Speicherung eine sichere Methode gibt, diese Art von Informationen zu verwaltet, sehen sie keinerlei Notwendigkeit mehr darin, etwaige Klauseln in den Tiefen ihrer Geschäftsbedingungen zu verbergen.

Sicherheit geht vor

Neben dem Klau biometrischer Daten, der durch die lokale Speicherung auf dem Endgerät wirksam umgangen werden kann, gibt es aber noch eine weitere Betrugsmöglichkeit, die vielen Anlass zur Sorge gibt: Gemeint ist hierbei vor allem die Herstellung von Fingerabdruckformen mittels 3D-Druck, die sich auch als biometrisches Spoofing bezeichnen lässt. Da diese Methode extrem aufwendig und daher nur schwierig zu skalieren ist, zielen Hacker hierbei vor allem auf eine kleine Anzahl von Personen ab, die wertvolle Online-Konten oder -Geräte verwalten und daher eine große Ausbeute versprechen. Anders als beispielsweise im Fall von Biostar 2 bietet diese biometrische Spoofing jedoch nicht die Möglichkeit, auf Millionen Nutzerdaten gleichzeitig zuzugreifen und in großem Stil daraus zu profitieren. Dennoch haben Anbieter ein großes Anliegen daran, derartige Sicherheitslücken zu schließen, indem sie sicherstellen, dass die Geräte beim Login auch erkennen können, ob es sich zum Beispiel bei dem verwendeten Fingerabdruck um eine Nachbildung handelt oder nicht. Die Systeme können deshalb unter anderem verlangen, dass die User beim Verwenden der Gesichtserkennung blinzeln. Bestimmte Fingerabdrucksensoren sind außerdem dazu in der Lage, die Haut nach Merkmalen abzusuchen, die von einer Fälschung nicht imitiert werden können.

Was es zu beachten gilt

Die Biometrie befindet sich noch relativ weit am Anfang dessen, was sie in der Lage ist, zu leisten. Um alle Sicherheitslücken zu eliminieren, gibt es deshalb in jedem Fall noch einige Entwicklungsschritte, die umgesetzt werden müssen. Im Vergleich zu den zahlreichen Schwächen traditioneller Passwörter sind die derzeit noch bestehenden Schwachstellen allerdings kein Grund, die flächendeckende Einführung biometrischer Authentifizierungstechnologien nicht weiter zu verfolgen. Letztlich gibt es zwei wichtige Faktoren, die die Technologieindustrie im Auge behalten muss, wenn es darum geht, wie die Biometrie in Authentifizierungsprozessen im großen Stil bestmöglich eingesetzt werden kann. Erstens: Die Verwendung von zentralisierten Datenbanken ist in jedem Fall zu vermeiden. Viel sicherer ist es, wenn die biometrischen Daten direkt auf den Geräten jedes einzelnen Benutzers gespeichert werden. Zweitens: Bei jeder Nutzung des physischen Geräts muss geprüft werden, ob es sich tatsächlich um den autorisierten Nutzer und sein Gerät handelt – am besten durch eine Kombination von biometrischen und kryptografischen Verfahren. Werden diese Schritte beachtet, spricht nichts dagegen, die biometrische Authentifizierung flächendeckend einzuführen und zu nutzen. Letztlich bietet sie den Konsumenten eine ganz neue Form der Bequemlichkeit – und zwar ohne die Sorge, dass uns die wichtigsten Daten, die wir besitzen, jemals verloren gehen.

Über den Autor: Andrew Shikiar ist Executive Director der FIDO Alliance.

(ID:46944335)