Auf Nummer sicher Die Vor- und Nachteile biometrischer Verfahren zur Authentifizierung

Redakteur: Ulrike Ostler |

Zugangskarten werden gerne verlegt, Pins und Passwörter entweder vergessen oder viel zu leicht gehackt. Die Rettung: Biometrische Authentifizierung. Autor Otto Geißler bat Thomas Bengs, Director & Head of Biometrics EMEIA bei Fujitsu, um ein Interview zum Thema.

Anbieter zum Thema

„Palmsecure“ ist das System von Fujitsu, das per Sensor Handvenen scannt, und dadurch eine Authentifizierung ermöglicht. So lässt sich etwa der Zugang zu einem Rechenzentrum regeln.
„Palmsecure“ ist das System von Fujitsu, das per Sensor Handvenen scannt, und dadurch eine Authentifizierung ermöglicht. So lässt sich etwa der Zugang zu einem Rechenzentrum regeln.
(Bild: ©alexanderfischer.com)

Kontaktloses Bezahlen per Handy oder Chipkarte ist nur ein Beispiel, das schnell vor Augen führt, was passiert, wenn Devices und Passwörter in die falschen Hände geraten. Doch alle traditionellen Authentifizierungsmethoden können mehr oder minder auf betrügerische Weise durch eine andere Person verwendet werden. Biometrische Identifikatoren sollen das ausschließen. Darunter zu verstehen sind physische beziehungsweise verhaltensbezogene Merkmale wie Fingerabdrücke, DNA, Handvenenmuster, Handgeometrie, die Iris oder die Stimme.

Thomas Bengs, Director & Head of Biometrics EMEIA bei Fujitsu spricht im Interview über den Stand der Technik bei biometrischer Authentifizierung.
Thomas Bengs, Director & Head of Biometrics EMEIA bei Fujitsu spricht im Interview über den Stand der Technik bei biometrischer Authentifizierung.
(Bild: Fujitsu)

Welche Vorteile bieten biometrische Verfahren im Vergleich zu den anderen Technologien?

Thomas Bengs: Biometrische Merkmale können einer Person direkt zugeordnet und nicht so einfach entwendet oder weitergegeben werden. Damit sie als Sicherheitsmerkmal bei der Authentifizierung Verwendung finden, müssen sie allerdings über längere Zeit unveränderlich, ein unverwechselbares Kennzeichen und einfach erfassbar sein. Darüber hinaus sollte natürlich jeder Mensch über diese Eigenschaft verfügen.

Welche biometrische Verfahren stehen im Fokus?

Thomas Bengs: Das sind im Grunde Scans von Fingerabdrücken, Scans der Retina oder Netzhaut im Auge, die Gesichtserkennung oder die Analyse der tiefer liegenden Venen in der Hand.

Wie lassen sich die unterschiedlichen biometrischen Verfahren miteinander vergleichen?

Thomas Bengs: Da bereits eine Vielzahl von Spezifikationsdaten zur Verfügung steht, kann man schon sehr gut über das Sicherheitsniveau (FAR) einer biometrischen Technologie im Zusammenhang mit der Genauigkeit (FRR) urteilen. Dabei gibt die Falscherkennungsrate (False Acceptance Rate) FAR in Prozent an, wie oft ein System biometrische Daten fälschlicherweise akzeptiert, obwohl es sich um den „falschen“ User handelt. Ein geringer Wert drückt also aus, dass das System sicher identifiziert.

Andererseits entspricht die Falschrückweisungsrate (False Rejection Rate) FRR dem Prozentwert der gültigen, also „richtigen“ Eingaben biometrischer Werte, die eine Lösung dennoch zurückweist. Ein geringer Wert gibt darüber Auskunft, ob das System verlässlich identifiziert. Das heißt, je niedriger beide Werte sind, desto höher ist das Maß an Sicherheit und Komfort, das eine biometrische Authentifizierungslösung bietet.

Welche biometrische Verfahren werden derzeit am häufigsten eingesetzt?

Thomas Bengs: Scans von Fingerabdrücken werden aktuell als biometrisches Verfahren weltweit am häufigsten eingesetzt. Mit einem FAR-Wert von 0,001 Prozent und einer Falschrückweisung von 0,1 Prozent liegt diese Technik sicherheitstechnisch jedoch im Mittelfeld der Biometrie-Techniken. Die Endungen und Verzweigungen der Papillarlinien eines Fingerabdrucks bilden bei jedem Menschen ein unverwechselbares Muster, das sich mit kapazitiven beziehungsweise optischen Sensoren als auch Ultraschall-Sensoren erfassen lässt.

Welche Vor- und Nachteile bieten Fingerabdruck-Scanner?

Thomas Bengs: Fingerabdrücke verändern sich kaum im Lauf eines Lebens. Hinzu kommt, dass die entsprechenden Scanner mittlerweile recht preisgünstig sind und der Scan-Vorgang wenig Zeit in Anspruch nimmt.

Zudem lassen sich Fingerabdrücke leider auch vergleichsweise einfach fälschen bzw. nachbilden. Ferner können Nässe und Schmutz die Genauigkeit der Messungen reduzieren. Allerdings müssen die Nutzer einen oder mehrere Finger auf einen Scanner auflegen. Das ist ein Aspekt, der in manchen Anwendungsbereichen unter hygienischen Gesichtspunkten problematisch ist.

Welche Alternative bietet sich an?

Thomas Bengs: Ja, eine Alternative sind biometrische Techniken, welche die Iris des Auges scannen. Dieses Verfahren weist eine hohe Genauigkeit aus, die im Bereich von 0,0001 Prozent (FAR) beziehungsweise 0,01 Prozent (FRR) liegt. Iris-Scanner werden häufig in Bereichen mit hohen Sicherheitsanforderungen eingesetzt. Dabei nimmt das System mit einer hochauflösenden Kamera die Iris und die sichtbare Retina (Netzhaut) auf.

Denn auf den Adern der Netzhaut bildet sich bei jedem Menschen ein unverwechselbares Muster aus. Zu den größten Vorteilen zählen eine hohe Genauigkeit und das kontaktlose Scannen. Dies ist vor allem in sterilen Umgebungen vorteilhaft, da hier in der Regel alle anderen biometrischen Merkmale verdeckt sind, beispielsweise durch Handschuhe.

Welche Nachteile weisen Iris-Scanner aus?

Thomas Bengs: Iris-Scanner können mithilfe von hochauflösenden Bildern der Regenbogenhaut eines Users sehr leicht getäuscht werden. Daher empfehlen viele Sicherheitsexperten diese Technik vor allem im Rahmen einer Mehrfaktor-Authentifizierung einzusetzen. Zudem benötigen Iris-Scanner und die entsprechenden Auswertesysteme eine höhere Rechenleistung sowie mehr Speicherplatz als Komponenten für die Analyse von Fingerabdrücken.

Die Folgen sind höhere Hard- und Software-Kosten. Darüber hinaus muss die Iris in einer hellen Umgebung erfasst werden, um brauchbare Resultate zu erzielen. Nur dann verengt sich die Pupille und ein Großteil der Retina wird sichtbar. Außerdem benötigt der Scan-Vorgang mehr Zeit als das Erfassen von Fingerabdrücken. Wobei das Tragen von Brillen oder Kontaktlinsen die Nutzung zusätzlich erschwert.

Welche Resultate liefert eine Gesichtserkennung?

Thomas Bengs: Ebenfalls berührungslos erfolgt das Abtasten der Gesichtskonturen mithilfe von Kameras. Wegen der höheren Sicherheit und Genauigkeit sollten 3D-Verfahren zur Anwendung kommen. Bei 2D-Techniken beträgt die FAR etwa 1,3 Prozent, der FRR-Wert an die 2,6 Prozent. Damit ist diese Technologie für den Einsatz in hoch sicheren Bereichen nur sehr bedingt brauchbar.

Die Authentifizierung mittels 3D-Gesichtserkennung im Hochsicherheitsbereich erfordert wiederum komplexere Algorithmen sowie entsprechend leistungsfähige Hardware und hochwertige Kameras. Bei Tests der amerikanischen Normierungsbehörde NIST (National Institute of Standards and Technology) wurden eine FAR-Quote von 0,1 Prozent und ein FRR-Wert von 0,3 Prozent erreicht. Bei neueren Verfahren, die mehrere Bilder verwenden, können durchaus bessere Werte erzielt werden.

Welche Vorteile sind zu nennen?

Thomas Bengs: Zu den Vorteilen der Gesichtserkennung gehört die Abtastung von Gesichtern über größere Distanzen hinweg. Dafür eignen sich auch herkömmliche Kameras. Als problematisch erweisen sich Änderungen des Aussehens, etwa durch das Tragen eines Barts oder einer Brille. Ebenfalls können die Verfahren mit relativ geringem Aufwand wie zum Beispiel Gesichtsmasken getäuscht werden.

Bildergalerie
Bildergalerie mit 7 Bildern

Wie schätzen Sie die Technologie der Venen-Analyse im Inneren der Handflächen ein?

Thomas Bengs: Die niedrigsten Falscherkennungs- und Falschrückweisungsquoten weist die Analyse der tiefer liegenden Venen in der Hand auf. Das Verfahren nutzt die Tatsache, dass die Hand jedes Menschen ein einzigartiges Muster von Blutgefäßen aufweist – selbst bei Zwillingen! Zudem ändern sich die Handvenen nicht im Laufe des Lebens.

Berührungslos geht es mit dem Handvenen-Scan an der Tür zu.
Berührungslos geht es mit dem Handvenen-Scan an der Tür zu.
(Bild: Fujitsu)

Wie funktioniert die Technologie?

Thomas Bengs: Ein Handvenen-Scanner verwendet Nah-Infrarotlicht mit einer Wellenlänge von etwa 760 Nanometern. Die Technik basiert auf sauerstoffarmen Blut, das über die Venen zur Lunge zurücktransportiert wird und Infrarot-Licht stärker absorbiert als sauerstoffreiches. Dadurch erscheinen Venen auf einem Display als ein schwarzes Muster, das mit entsprechenden Bildverarbeitungsverfahren ausgewertet werden kann.

Handvenen-Scanner arbeiten sehr genau. Mit einem FAR-Wert von 0,00001 Prozent bei einer FRR von 0,01 Prozent eignen sich Handvenen-Scanner – ebenso wie Iris/Retina-Scanner – für den Einsatz in Bereichen mit hohen Sicherheitsanforderungen.

Gibt es weitere Vorteile?

Thomas Bengs: Das hohe Sicherheitsniveau trägt dazu bei, dass Handvenen-Scanner erkennen, ob das Blut in einer Hand zirkuliert. Das heißt, eine Lebenderkennung kann jeden Betrugsversuch mit Fotos von Venenmustern zum Scheitern verurteilen. Ein weiterer Vorteil der Handvenen-Scanner ist die niedrige Akzeptanzschwelle. Der Anwender muss weder sein Auge Lichtimpulsen aussetzen, wie bei der Analyse der Netzhaut, noch das Erfassungssystem berühren.

Welche Hard- und Software von Fujitsu ist dafür notwendig?

Thomas Bengs: Es sind verschiedene „Palmsecure“-Sensoren verfügbar, die mittels ebenfalls verfügbarer Hard- und Software sich für Zugangskontrollen zu Gebäuden oder Rechenzentren, als auch als Passwortersatz für den Zugriff auf PCs, Notebooks und Tablets eignen. Als Hersteller hochwertiger PCs und Notebooks bietet Fujitsu dafür bereits integrierte Palmsecure-Sensoren als Option an.

Was ist „Fujitsu Hardware-as-a-Service“? Welche Vorteile genießt der Kunde?

Thomas Bengs: Mit diesem Service können unsere Kunden alle notwendigen Geräte und Leistungen zu einem monatlichen Preis abonnieren. Das heißt, ein großer Investitionsaufwand, überholte Geräte und lange Wartezeiten für Upgrades fallen weg. Durch eine dreijährige Erneuerung der Hardware halten unsere Kunden ihre Technologie auf dem neuesten Stand und die Support-Anfragen so gering wie möglich.

Artikelfiles und Artikellinks

(ID:45103653)