Biometrie ist ein hochaktuelles Thema. Sowohl Privatpersonen als auch Unternehmen verschiedener Größen nutzen nämlich immer häufiger biometrische Verfahren zur Nutzerauthentifizierung. Dennoch bergen vor allem beliebte Identifikationsverfahren auch eine ganze Menge an Risiken und Gefahren.
Erfahren Sie hier, welche das sind und was es sonst noch zum Themengebiet Biometrie zu wissen gibt.
Unser Beitrag über Biometrie im Überblick:
Biometrie als Form der Nutzerauthentifizierung
Fangen wir einmal ganz vorne an: Der Begriff Biometrie leitet sich von den griechischen Begriffen „bios“ (für Leben) und „metrein“ (für messen) ab und bezeichnet erst einmal ganz allgemein Körpermessungen am menschlichen Lebewesen. Biometrische Messdaten sind dabei biologische Merkmale, mit der eine Person als sie selbst authentifiziert werden kann. Dazu gehören sowohl physiologische als auch verhaltensbedingte Charakteristika von Menschen.
Biometrische Authentifizierungsverfahren (kurz: biometrische Verfahren) sind Methoden, mit denen biometrische Daten systematisch und automatisch erfasst und ausgewertet werden können. Damit eine solche Authentifizierungsprüfung funktioniert, muss ein Mechanismus die entsprechenden Merkmale zuerst vermessen und in einem digitalen Datensatz sammeln. Biometrische Identifikationsverfahren werden von Algorithmen mittels Deep-Learning-Methoden erlernt, weiterentwickelt und angewendet.
Biometrische Verfahren prüfen, ob ein Mensch die Person ist, die er zu sein vorgibt. Bild: Pexels/CleytonEwerton
Ziele: Verifikation und Identifikation
Biometrische Verfahren zur Authentifizierung von Personen können äußerst unterschiedlich aussehen. Vor allem verfolgen sie dabei aber zwei unterschiedliche Ziele:
- Die Verifikation mithilfe von biometrischer Messungen dient dazu, die Identität einer Person zu bestätigen. Es wird also mithilfe von biometrische Verifikationsverfahren kontrolliert, dass es sich bei einer Person um die handelt, als die sie angenommen wird. Verifikation erfordert in diesem Sinne eine dem Verfahren vorausgehende ID-Erkennung, beispielsweise das Vorzeigen eines Ausweisdokuments oder das Eingeben beziehungsweise Auswählen eines Benutzernamen. Hiernach gleichen Maschinen den zur ID erfassten Datensatz mit den physischen Daten ab und prüfen, ob die Person dem Benutzerprofil entspricht. Das Ergebnis eines Verifikationsverfahren kann die Bestätigung oder Nichtbestätigung der Identität sein.
- Anders als bei der Verifikation dient die Identifikation nicht dazu, das Erscheinungsbild einer Person mit der angegebenen Identität abzugleichen. Vielmehr prüfen biometrische Identifikationsverfahren anhand des Erscheinungsbildes, um welche Person aus einem bestimmten Datensatz es sich handelt. Dazu kontrollieren entsprechende Verfahren die physiologische oder verhaltensbedingte Erscheinung einer Person und gleichen sie mit im System gespeicherten Messdaten ab. Nach der Prüfung kann der Mensch mit Name, Nutzerkennung und Zugriffsrechten als konkrete Person zugeordnet werden.
Biometrische Verifikationssverfahren kommen heute vor allem bei größeren Kontrollen wie Ausweiskontrollen durch die Polizei zum Einsatz. Identifikationsverfahren hingegen sind Maßnahmen, die bereits beim Entsperren des Smartphones standardisiert zum Einsatz kommen.
Arten von biometrischen Verfahren
Biometrische Merkmale und darauf abgestimmte biometrische Verfahren gibt es nahezu unzählige. Dabei können vor allem zwei Gruppen von Merkmalen und entsprechende Nutzerauthentifizierungsmethoden unterschieden werden:
- Bei den meisten heute erfassten biometrischen Daten handelt es sich um physiologische Merkmale wie Fingerabdrücke, Gesichtszüge oder die Ausprägungen der Iris. Die Daten sind hochgradig individuell und im Regelfall eindeutig zuweisbar. Sogar Zwillinge sind anhand solcher Merkmale voneinander zu unterscheiden. Zu den bekanntesten und etabliertesten Methoden zur biometrischen Nutzerauthentifizierung gehören folglich das Fingerabdruck-Mapping, die Gesichtserkennung (wie die Facebook-Gesichtserkennung) und der Retina-/Iris-Scan. Aber auch weitere physiologische Merkmale wie Venenmuster auf Hand- und Armgelenk oder Handabdruck werden als Authentifizierungsmethoden immer beliebter.
- Verhaltensbedingte Verfahren beinhalten Messungen von Schreib- und Sprechverhalten, von Stimme, Lippenbewegung, Gangart, Körpersprache und -haltung sowie den Abgleich von physischen oder digitalen Unterschriften. Die bekannteste verhaltensbedingte Zugangsbeschränkung ist dabei die Spracherkennung, häufig in Verbindung mit einer konkreten Namens- oder Zugangscodenennung.
Natürlich gibt es auch biometrische Verfahren, die verschiedene physiologische und verhaltensbedingte biometrische Merkmale kombinatorisch prüfen, so beispielsweise zeitgleich als Gesichts- und Stimmerkennung fungieren.
Zu den bekanntesten und am häufigsten kontrollierten biometrischen Merkmalen gehören Fingerabdrücke. Bild: Pexels/cottonbro
Nutzung biometrischer Merkmale: Einsatzbereiche
Heute ist das Haupteinsatzgebiet von Biometrie die Authentifizierung von Personen zur Kontrolle von Zugangs- und Zugriffsrechten. Biometrische Verfahren – meistens Identifikationsverfahren – fungieren dabei als Zugangsbeschränkung zu physischen Räumen oder als digitale Nutzerauthentifizierungen. Meistens werden damit personenbezogene Daten, vertrauliche Dokumente oder physische und digitale Bereiche, in denen sich sensible Informationen finden, geschützt.
Unter anderem nutzen Türschloss-Systeme heute schon nicht selten Zugangsbeschränkungen, die biometrische Daten auswerten. Besonders bei Tresoren und Tresorräumen werden verschiedene biometrische Daten ausgewertet, um einen Zugriffsversuch zu verifizieren. Aber auch bei Haustüren des Smart Home oder Zugängen zu Rechenzentren kommen nicht selten biometrische Nutzerauthentifizierungsmethoden zum Einsatz. Und nicht nur der Zugang zu Räumen, sondern auch die Nutzung von Geräten oder Maschinen kann durch Biometrie eingeschränkt werden. Ford zieht so in Betracht, biometrische Sensoren in Autos zu verbauen. Auf diese Weise wird die Person am Lenkrad als legitimer Fahrer authentifiziert.
Digitale Anmeldungen per Biometrie
Auch auf Websites und in Apps kommen Anmeldung durch Biometrie immer häufiger zum Einsatz. Die Citibank nutzt Spracherkennung bereits standardisiert, die britische Bank Halifax testet, Kundenidentitäten via Herzschlag zu kontrollieren. Aber auch in alltäglicher genutzten Anwendungen ist die Anmeldung per Biometrie heute schon etabliert. Unter anderem funktioniert eine Form der WhatsApp-Anmeldung per Fingerabdruck oder Face ID.
Vorreiter von Anmeldungen mithilfe von biometrischen Daten waren übrigens Smartphones diverser Hersteller. Jeder dürfte biometrische Entsperrmöglichkeiten am Handy kennen. Das Handyentsperren mittels Fingerauflegen (Touch ID) ist dabei die Etablierteste. Doch heute wird auch die Entsperrung mittels Gesichtserkennung (Face ID) und Stimmerkennung (Voice ID) immer beliebter.
Die Technologie zur Gesichtserkennung auf Apples iPhone X projiziert dabei bereits circa 30.000 Infrarotpunkte auf das Gesicht des Users, um ihn mithilfe eines biometrischen Musterabgleichs authentifizieren zu können. Auch Google Pixel nutzt eine ähnliche Gesichtserkennung. LG-Smartphones hingegen kombinieren Gesichts- und Spracherkennung mit Fingerabdruck-Scans und speichern aus Sicherheitsgründen sämtliche biometrische Daten nur auf entsprechenden Endgeräten.
Biometrische Daten auf Ausweisdokumenten
Auf der ganzen Welt werden biometrische Daten bereits in Ausweisdokumenten wie Reisepässen erfasst und können über entsprechende Pässe geprüft werden. In den USA sind elektronische Reisepässe bereits standardisiert mit Computerchips ausgestattet, die digitale Fotos vom Gesicht, vom Fingerabdruck und/oder der Iris beinhalten.
In Deutschland ist die Abgabe des Fingerabdrucks für den Personalausweis seit dem 2. August 2021 Pflicht. Traditionell findet sich auf dem Dokument zum Nachweis der deutschen Staatsbürgerschaft ein Passfoto, über das sich verschiedene biometrische Daten wie Kopfform, Gesichtsproportionen und -positionen erkennen lassen. Auch angegebene Daten wie Körpergröße und Augenfarbe nehmen Bezug auf biometrische Merkmale. Die Computerchips, die in Ausweisdokumenten zum Einsatz kommen und jetzt standardisiert auch Fingerabdrücke speichern, sind mit einer Technologie ausgestattet, die das unbefugte Datenlesen verhindert.
Biometrische Daten finden sich im Alltag beispielsweise zentral auf Ausweisdokumenten. Bild: Pexels/SpencerDavis
Biometrie: Gefahren durch Datenmissbrauch
Nichtsdestotrotz stehen Datenschützer der verpflichtenden Fingerabdruckerfassung auf Ausweisdokumenten äußerst kritisch gegenüber. Denn jede Technologie kann irgendwann auch in die falschen Hände gelangen oder entsprechend neuerschlossen werden. Erbeuten Kriminelle erst einmal ein Ausweisdokument, können sie so womöglich auch an die biometrischen Daten gelangen. Dann könnten sie nicht nur mithilfe eines digitalen Fingerabdrucks Smartphones entsperren, Türschlösser öffnen und andere Zugangsbeschränkungen durchbrechen, sondern geradezu professionellen Identitätsdiebstahl betreiben und größere Social-Engineering-Angriffe durchführen.
Auch ist es sowieso schon, das zeigen aktuelle Studien, alles andere als schwierig, an die Fingerabdrücke von beliebigen Personen zu kommen. Immerhin hinterlassen wir sie im Alltag überall. Aber auch Aufnahmen vom Gesicht einer konkreten Person zu finden, ist heute keine große Kunst mehr. Fast jeder ist heute in den Social Media vertreten und ist dort meistens auch mit dem ein oder anderen Foto verlinkt. Und wie der LinkedIn-Hack im Jahr 2021 zeigte, kann es auch immer passieren, dass Daten geleaked und unwiderruflich an die Öffentlichkeit getragen werden.
Datenklau und Datengenerierung durch Deepfakes
Aber selbst dann, wenn Sie von sich kein Foto im Internet platziert haben, ist die Wahrscheinlichkeit groß, dass sich detaillierte Aufnahmen Ihres Gesichts irgendwo in den Tiefen des World Wide Web finden. Immerhin finden sich in jeder Großstadt und an jedem Flughafen weltweit heute dutzende Gesichtserkennungskameras. Das schürt zurecht nicht nur die Angst vor Überwachung und Datentracking, sondern auch vor Datenmissbrauch.
Denn das Videomaterial muss irgendwo gespeichert werden. Und Datenbanken mit personenbezogenen Datensätzen sind ein besonders beliebtes Ziel von Hackerangriffen, insbesondere von Advanced Persistent Threats. Bei einem Hack des US-amerikanischen Office of Personnel Management haben professionell agierende Cyberkriminelle beispielsweise biometrische und andere personelle Daten von circa 5,6 Millionen US-Regierungsmitarbeitern gestohlen.
Mit sogenanntem Deepfaking können Algorithmen mittels Deep Learning aus wenigen Sprachnachrichten, Stimmmitschnitten und einzelnen Fotos erschreckend authentische Stimm- und Gesichtsaufnahmen generieren. Mit diesen können dann Nutzerauthentifizierungen und Zugangsbeschränkungen umgangen werden.
Messbarkeit: False Rejection Rate & False Acceptance Rate
Kein biometrisches Verfahren ist fähig, Personen mit hundertprozentiger Sicherheit zu authentifizieren. Nicht nur aufgrund von perfiden Betrügereien, sondern auch aufgrund von Veränderungen an körperlichen oder verhaltenstechnischen Merkmalen können Algorithmen Benutzer fälschlicherweise zulassen oder ablehnen.
Die sogenannte False Rejection Rate (FRR) ist ein prozentual erfasster Wert, der angibt, wie viele Personen ein biometrisches Verfahren trotz legitimer Identität nicht bestätigt beziehungsweise abgelehnt haben. Dafür kann sowohl das zunehmende Alter, eine Gewichtsveränderung, die Änderung der Frisur oder auch eine Verletzung verantwortlich sein.
Die sogenannte False Acceptance Rate (FAR) gibt hingegen an, wie viele Personen fälschlicherweise in ein System gelassen wurden oder Zugang zu einem beschränkten Bereich bekommen haben. Es gibt verschiedene Wege, Systeme auszutricksen und sich mit einer fremden Identität bestätigen zu lassen. Das nutzen Kriminelle schamlos aus.
Kriminelle nutzen immer häufiger Biometrie, um sich Zugänge zu verschaffen und Social-Hacking-Angriffe durchzuführen. Bild: Pexels/MikhailNilov
Biometrie: Hilfe bei der IT-Sicherheit
Sollten Sie mit Ihrem kleinen Unternehmen bereits Biometrie nutzen oder zukünftig damit arbeiten wollen, so sollten Sie stets darauf achten, dass Sie die von Ihnen erfassten biometrischen Daten umfassend schützen. Nur dann, wenn Sie alle notwendigen datenschutzrechtlichen Maßnahmen passgenau umsetzen, sind biometrische Verfahren auch wirklich eine sichere Möglichkeit zur Benutzerauthentifizierung. Das Gleiche gilt übrigens nicht nur für die Umsetzung von biometrischen Verfahren, sondern auch bei der Passwortsicherheit.
Sollten Sie Hilfe bei der Umsetzung von IT-Sicherheitsmaßnahmen oder aber eine DSGVO-Beratung benötigen, ist PC-SPEZIALIST der geeignete Ansprechpartner für Sie. Wir sind dabei für alle Firmenkunden da, die Hilfe bei der Erarbeitung eines passgenauen IT-Sicherheitskonzeptes benötigen. Mit unserem IT-Basisschutz haben wir ein individuell gestaltbares Paket im Angebot, das sich am BSI-Grundschutzkatalog orientiert. Aber auch bei Umsetzung und Integration von einzelnen IT-Sicherheitsmaßnahmen ist der PC-SPEZIALIST in Ihrer Nähe der passende Partner für Sie. Nehmen Sie gern Kontakt zu uns auf und lassen Sie sich auf Wunsch erst einmal unverbindlich über die von uns angebotenen Dienstleistungen beraten.
Sollten Sie privat an Schutzmaßnahmen für Ihre Geräte interessiert sein, können Sie uns natürlich ebenfalls ansprechen!
_______________________________________________
Weiterführende Links: Kaspersky, TAB beim Bundestag (Publikation), BSI, Die Landesbeauftragte für den Datenschutz Niedersachsen, GlobalSign, OneSpan, Baunetz Wissen, Ruhr24, Sberbank
Schreiben Sie einen Kommentar