Wie lässt sich Biometrie prüfen, ohne Daten preiszugeben? Zero-Knowledge-Biometrie kombiniert Kryptografie und Erkennung für passwortlose Logins, DSGVO-Konformität und Robustheit gegen Deepfakes, einsetzbar für Kunden und Mitarbeitende.
Zero-Knowledge-Biometrie verifiziert Identitäten passwortlos, ohne biometrische Daten preiszugeben oder zentral zu speichern, wodurch Datenschutz und Compliance gestärkt, Breach-Risiken und Deepfake-Missbrauch minimiert und zugleich ein nutzerfreundlicher, skalierbarer Login ermöglicht werden.
Digitale Identitäten haben sich längst zu einer zentralen Sicherheitsressource moderner Organisationen entwickelt. Mitarbeitende, Kunden und Partner greifen täglich auf zahlreiche Systeme und Anwendungen zu, die über Cloud-Plattformen, mobile Endgeräte und hybride IT-Umgebungen verteilt sind. Mit dieser zunehmenden Vernetzung wird es jedoch immer komplexer, Zugriffe sicher und zuverlässig zu kontrollieren. Klassische Authentifizierungsverfahren wie Passwörter oder Einmalcodes gelten dabei zunehmend als Schwachstelle. Sie sind anfällig für Phishing, Social Engineering und automatisierte Angriffe und stellen in vielen Fällen ein Einfallstor für Sicherheitsvorfälle dar. Biometrische Verfahren versprechen zwar mehr Sicherheit und Komfort, stehen jedoch seit Jahren im Spannungsfeld zwischen technischer Wirksamkeit, Datenschutzanforderungen und Nutzerakzeptanz.
Mit der Zero-Knowledge-Biometrieauthentifizierung gibt es nun einen Ansatz, der dieses Spannungsfeld neu auflöst. Durch den Einsatz kryptografischer Verfahren können Identitäten überprüft werden, ohne dass biometrische Daten offengelegt oder zentral gespeichert werden müssen. So lassen sich hohe Sicherheitsstandards mit konsequentem Datenschutz und einer benutzerfreundlichen Authentifizierung verbinden.
Warum herkömmliche Biometrie an ihre Grenzen stößt
Die biometrische Authentifizierung hat sich vor allem im Consumer-Bereich etabliert, beispielsweise in Form von Fingerabdruck- oder Gesichtserkennung auf Smartphones. Technisch lassen sich diese Verfahren grob in lokale, zentrale und dezentrale Modelle einteilen. Die in Betriebssystemen implementierte lokale Biometrie gilt als vergleichsweise datenschutzfreundlich, da biometrische Merkmale das Endgerät nicht verlassen. Für Unternehmen ist dieser Ansatz jedoch nur begrenzt nutzbar, da er kaum Kontrolle, Transparenz oder eine plattformübergreifende Nutzung erlaubt. Zentralisierte biometrische Systeme speichern und vergleichen biometrische Templates serverseitig, was dieses Problem löst.
Genau hier entsteht jedoch ein massives Risiko, denn zentrale Datenbanken mit biometrischen Informationen sind ein attraktives Ziel für Angreifer. Anders als Passwörter lassen sich biometrische Merkmale nicht einfach ändern – ein erfolgreicher Angriff hat somit potenziell lebenslange Konsequenzen für die Betroffenen. Dezentrale Architekturen versuchen, dieses Risiko zu entschärfen, indem sie biometrische Daten fragmentieren oder verteilt verarbeiten. Doch auch hier bleibt ein Restrisiko bestehen, da einzelne Fragmente oder Metadaten unter Umständen Rückschlüsse auf Identitäten erlauben. Die zentrale Frage lautet daher: Wie lässt sich eine biometrische Authentifizierung realisieren, ohne dass biometrische Daten preisgegeben werden?
Zero-Knowledge als Prinzip: Vertrauen ohne Offenlegung
Die Antwort liefert ein Konzept aus der Kryptografie: der Zero-Knowledge-Proof. Dabei wird bewiesen, dass eine Aussage wahr ist, ohne zusätzliche Informationen offenzulegen. Übertragen auf die biometrische Authentifizierung bedeutet dies, dass ein System bestätigen kann, dass eine Person berechtigt ist, ohne auf ihr biometrisches Merkmal zugreifen zu müssen oder es rekonstruieren zu können.
Zero-Knowledge Biometric Authentication kombiniert biometrische Erkennung mit fortgeschrittenen kryptografischen Verfahren. Beim Onboarding wird ein biometrisches Merkmal, etwa ein Gesichtsbild, lokal erfasst und unmittelbar in eine mathematisch nicht rückführbare Repräsentation umgewandelt. Aus dieser entsteht ein kryptografischer Nachweis, der als Referenz dient. Es werden weder Rohdaten noch rekonstruierbare Templates gespeichert. Bei einer späteren Anmeldung erzeugt das System aus dem aktuellen biometrischen Input erneut einen Zero-Knowledge-Beweis. Der Server prüft ausschließlich diesen Beweis und kann so feststellen, ob eine Übereinstimmung vorliegt, ohne jemals biometrische Daten zu sehen oder zu speichern. Die Authentifizierung erfolgt in der Regel innerhalb weniger hundert Millisekunden und ist somit auch für hochfrequente Login-Szenarien geeignet.
Datenschutz, Sicherheit und Nutzerkomfort im Einklang
Dieser Ansatz eröffnet Unternehmen neue Möglichkeiten. Da biometrische Daten weder zentral gespeichert noch verarbeitet werden, wird das Risiko schwerwiegender Datenschutzverletzungen erheblich reduziert. Gleichzeitig wird die Einhaltung regulatorischer Anforderungen, wie etwa der DSGVO, deutlich erleichtert, da besonders schützenswerte personenbezogene Daten faktisch nicht mehr vorhanden sind. Auch aus Sicht der Nutzenden bietet Zero-Knowledge-Biometrie Vorteile. Die Authentifizierung erfolgt passwortlos, schnell und intuitiv, ohne dass zusätzliche Hardware oder komplexe Mehrfaktor-Mechanismen erforderlich sind. Gleichzeitig sind die Verfahren robust gegenüber modernen Bedrohungen wie KI-gestützten Deepfakes oder Replay-Attacken, da kryptografische Nachweise nicht reproduzierbar sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die wachsende Bedeutung dieser Ansätze zeigt sich auch auf strategischer Ebene. Im Markt ist eine zunehmende Auseinandersetzung mit Verfahren zu beobachten, die eine biometrische Authentifizierung ohne die Speicherung rekonstruierbarer biometrischer Daten ermöglichen. Ein Beispiel hierfür ist die Zero-Knowledge-Biometrie. Daneben wird auch Public Biometric Infrastructure (PBI) als Ansatz diskutiert, wenn es darum geht, datenschutzfreundliche Biometrie-Architekturen zu ermöglichen. Grundsätzlich lassen sich beide Konzepte sowohl für Kunden- als auch für Workforce-Identitäten einsetzen. Vor dem Hintergrund zunehmend KI-gestützter Angriffe und wachsender regulatorischer Anforderungen zeichnet sich ein Trend hin zu möglichst datensparsamen Verfahren ab.
Die Zero-Knowledge-Biometrieauthentifizierung markiert hier einen Paradigmenwechsel in der digitalen Identitätssicherung. Anstatt sensible biometrische Daten besonders stark abzusichern, um sie zu schützen, verzichtet dieser Ansatz konsequent darauf, sie überhaupt zugänglich zu machen. So entsteht ein Authentifizierungsmodell, das Sicherheit, Datenschutz und Benutzerfreundlichkeit vereint. Für IT-Verantwortliche und Security-Architekten bietet Zero-Knowledge-Biometrie ein solides Fundament für zukünftige Identitätsstrategien – insbesondere dort, wo Vertrauen, Skalierbarkeit und regulatorische Sicherheit gleichermaßen gefragt sind.
Über den Autor: Henning Dittmer ist RVP DACH bei Ping Identity
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/89/8f/898ff3ba2b3ce9cb5531f4bd5b001f03/0131532147v1.jpeg "Mehr Befugnisse für BSI, Polizei und BKA bei Cyberangriffen (Bild: © igor.nazlo - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/1f/701fa87fd3ca0d6fd201d968b3c3002c/0131408575v1.jpeg "Speicherbeschädigungen bei Mozilla ermöglichen die Ausführung bösartigen Codes in Thunderbird und Firefox. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b5/77/b577cb5f141a04fba94d755c2c294a28/0131321215v2.jpeg "Der Cognyte-Studie nach ist für europäische Ermittlungsbehörden nicht mehr der Datenzugang, sondern die KI-gestützte Fusion und integrierte Analyse fragmentierter Quellen über klassische SIGINT hinaus entscheidend, um angesichts wachsender Komplexität und der Verflechtung von organisierter Kriminalität und Terrorismus wirksame Lagebilder und Entscheidungen zu ermöglichen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c8/9d/c89dba8e9b5c9a9040af0340cbe85fb3/0130888470v1.jpeg "Controlware und Sekoia.io bieten Unternehmen ein 24/7-SOC, ohne dass sie selbst in komplexe Infrastruktur, spezialisiertes Personal oder kontinuierliche Weiterentwicklung investieren müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/8f/478f681fb719e187aebd62bed84ac17a/0131405244v2.jpeg "Der Authentication Bypass wie auch die anderen Sicherheitslücken im Nvidia Triton Inference Server können zu Denial-of-Service-Angriffen führen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/cf/b2cfb9a90a95a2c19d73d4d720b26379/0130962097v1.jpeg "Cedrik Neike (Siemens, links) und Bernie Wagner (Schwarz Digits) bei der Vertragsunterzeichnung auf der Hannover Messe 2026. STACKIT erhält durch die Kooperation eine private 5G-Konnektivitätsschicht für Behörden und KRITIS-Betreiber. (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/cb/46/cb46c789bdfb6699f690de3212afbeda/0131031070v2.jpeg "Unternehmen, die SaaS-Dienste nutzen möchten, stehen vor der Herausforderung, cloudbasierte Identitäten und traditionelle Verzeichnis‑Kompatibilität in einer Architektur zu vereinen. (© STUDIO.no.3 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/56/7456d1b884ec8babe8213eb174138410/0131163827v1.jpeg "Bei der Locked Shields kommen jährlich Cybersepzialisten aus dem öffentlichen und privaten Sektor zusammen, um unter möglichst realen Bedingungen ihre Abwehrfähigkeiten zu trainieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/93/4d9396b44a264d448ec947e22f567ffd/0131031702v1.jpeg "In einer softwaregetriebenen Verteidigungslandschaft ist die vollständige Kontrolle über die eigene IT-Architektur, Datenflüsse und Identitäten entscheidend. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/80/3c80744a6ac15a9c622768ef57021674/0131031351v1.jpeg "Security-by-Design verankert Sicherheit von Beginn an in Architektur, Entwicklung und Betrieb. NIS2 macht diesen Ansatz zum verbindlichen Mindeststandard. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/b0/e7b05d1628b543d6dfc572a6a6d9ade6/0131031767v2.jpeg "Zero-Knowledge-Biometrie verifiziert Identitäten passwortlos, ohne biometrische Daten preiszugeben oder zentral zu speichern, wodurch Datenschutz und Compliance gestärkt, Breach-Risiken und Deepfake-Missbrauch minimiert und zugleich ein nutzerfreundlicher, skalierbarer Login ermöglicht werden. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a5/d2/a5d2d1f91e0fab1c2c22c6fc97633de6/0131080825v1.jpeg "Kleiner „Star Trek“-Exkurs: Compliance ist ein fortlaufender Management-Prozess, der sich ständig an neue Anforderungen anpassen muss. In Perfektion betreiben dies die „Borg“ aus dem „Star Trek“-Universum. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b4/48/b4487583c6af0eb97116ce622ca9deb4/0126745758v1.jpeg "DNA gilt als nicht manipulierbarer Herkunftsnachweis – doch ihr Einsatz als Identitätsanker wirft gravierende Sicherheits- und Datenschutzfragen auf. (Bild: © Ahmed - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d6/63d6cafb3834fabba81fd9b32c23313e/0128815536v2.jpeg "Die USA fordern die EU auf, ihnen Zugriff auf Fingerabdrücke und Gesichtsscans zu gewähren, um visafreies Reisen zu ermöglichen. EU-Staaten müssen bis Ende 2026 entscheiden, ob sie diesen Zugriff gewähren. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/7e/137e78ae01211a72b4ba194a949f3e92/0114862050.jpeg "Die Entscheidung für eine IT-Sicherheitslösung, die E2EE im Unternehmen implementiert ist eine proaktive Verteidigungsmaßnahme gegen Cyberattacken und Datenschutzvorfälle. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/eb/b5eb4c12dcf863e10fe1b198dc87bae2/0125743538v1.jpeg "Biometrie ist kein Zukunftsthema mehr – sie ist längst fester Bestandteil moderner Sicherheitsarchitekturen. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/fc/4bfc13816183f34114fbc6d8edaf5fa7/0124821309v2.jpeg "Trotz ihrer Vorteile wirft die Verwendung biometrischer Daten erhebliche Datenschutzbedenken auf. Da biometrische Daten unveränderlich sind, können Verstöße dauerhafte Folgen haben. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/90/7d90dd8ced76db433f2b2cbb0edd24ff/0121290120v2.jpeg "Der Augen-Scan als Identifizierungshilfe. Von Deep Fake zu Deep Face. (Bild: Anastasiia - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/63/d8638528fd47de171bd82feb63bb94bd/0126598576v2.jpeg "Die EU verpflichtet alle Mitgliedstaaten bis 2026 zur Einführung einer zertifizierten Digital Identity Wallet. Moderne Kryptographietechniken wie Blockchain und Multi-Party Computation sollen Sicherheit und Datenschutz gewährleisten. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/eb/b5eb4c12dcf863e10fe1b198dc87bae2/0125743538v1.jpeg "Biometrie ist kein Zukunftsthema mehr – sie ist längst fester Bestandteil moderner Sicherheitsarchitekturen. (Bild: © JovialFox - stock.adobe.com)")