Integrale Sicherheit: Biometrische Authentifizierung hat auch ihre Tücken


Beachten Sie die folgenden Punkte


Biometrische Verfahren begegnen uns in immer mehr Bereichen unseres Alltags: Wir entriegeln unser Smartphone per Fingerabdruck, verschaffen uns über Gesichtserkennung Zutritt zu sensiblen Unternehmensbereichen oder bezahlen demnächst per Netzhaut-Scan. Schon heute liegt das weltweite Marktvolumen von Unternehmen, die Biometrie-Lösungen anbieten, bei fünf Milliarden US-Dollar. Bis 2020 soll es auf 33 Milliarden US-Dollar ansteigen.

Das Wachstum überrascht nicht, wenn man sich die zahlreichen Vorteile biometrischer Verfahren vergegenwärtigt: Die Verifizierung geht schneller und ist bequemer als so ziemlich alle Alternativen. Biometrische Merkmale sind vermeintlich einzigartig und untrennbar mit ihrem Träger verknüpft. Anders als Passwörter oder Hardware-Token können sie nicht vergessen, verloren oder verlegt werden.

Hinzu kommt ein nicht zu unterschätzender Coolness-Faktor: Bereits seit Jahrzehnten präsentiert uns Hollywood Iris- und Fingerabdruckscanner als futuristische Methode, mit der Superhelden und Bösewichter den Zugang zu ihren Geheimbasen regulieren.


Aber keine Sicherheitstechnologie ist ohne Schwächen. In der allgemeinen Begeisterung geht oft unter, dass gegen den Einsatz biometrischer Verfahren zahlreiche Bedenken bestehen. Die sechs wichtigsten lauten:

1. Biometrische Verfahren lassen sich überlisten

Die Behauptung, dass biometrische Merkmale nicht kopiert werden können, ist falsch. Der Chaos Computer Club (CCC) fälschte in der Vergangenheit mehrfach erfolgreich Fingerabdrücke und Iris-Scans führender deutscher Politiker. Bereits 2008 veröffentlichte der gemeinnützige Verein den Fingerabdruck von Wolfgang Schäuble, 2014 war Ursula von der Leyen an der Reihe. Auch eine Iris-Attrappe veröffentlichte der CCC – von Angela Merkel. Die Aktionen sollen keinen Schaden verursachen, sondern auf die Schwächen der biometrischen Verfahren aufmerksam machen.

2. Merkmale können nicht geändert warden

Biometrische Merkmale sind fest mit ihrem Träger verknüpft. Dieser vermeintliche Vorteil kann schnell zum Nachteil werden – nämlich dann, wenn ein Merkmal doch erfolgreich kopiert wurde. Anders als ein Passwort lässt sich ein gestohlener Fingerabdruck nicht „zurücksetzen“ oder ändern. Was passiert, wenn ein biometrisches Merkmal in die Hände eines Kriminellen gelangt oder etwa im Dark Web zum Kauf angeboten wird? Bleibt dessen Träger dann bis an sein Lebensende von entsprechenden Authentifizierungsverfahren ausgeschlossen, weil das Risiko zu gross wäre? Bislang ist es den Anbietern biometrischer Verfahren nicht gelungen, dieses Dilemma zufriedenstellend zu lösen. Und was passiert, wenn ein gespeichertes biometrisches Merkmal sich durch äusserliche Einflüsse – einen Unfall beispielsweise – verändert und nicht mehr erkannt wird?

3. Anwender bleiben skeptisch

Längst nicht alle Anwender sind der Ansicht, dass ihr Fingerabdruck in den Datenbanken grosser Konzerne gut aufgehoben ist. Spätestens seit den NSA-Enthüllungen überlegen viele Menschen sich zweimal, ob sie ihre biometrischen Informationen einem amerikanischen Server anvertrauen wollen. Es bleibt abzuwarten, ob die Anbieter das Vertrauen zurückgewinnen und die Skeptiker überzeugen können. Einstweilen besteht der Vertrauensmangel für viele Konsumenten als Grund, andere Authentifizierungsverfahren vorzuziehen.

4. Datenschutz

Datenschutz ist ein Thema, das die Anbieter mittlerweile ebenso sehr beschäftigt wie die Anwender. Gerade in Deutschland bestehen strenge Regeln, in welcher Form und unter welchen Bedingungen biometrische Informationen gespeichert werden dürfen. Auch Rechtsunklarheiten sind noch auszuräumen. Fest steht jedoch: Ohne vorherige Zustimmung ist die Überprüfung biometrischer Merkmale in vielen Fällen illegal.

5. Vergleichsweise hohe Fehlerrate

Eine Genauigkeit von 98 bis 99 Prozent klingt nur für Laien gut. Ein kleines Anwendungsbeispiel: 10.000 Mitarbeiter eines grossen Unternehmens betreten tagtäglich das Firmengelände und authentifizieren sich biometrisch. Bei einer 98-prozentigen Genauigkeitsrate bedeutet das, dass jeden Tag 200 Personen an der Zugangskontrolle scheitern und mit Verspätung in ihren Arbeitstag starten. Es gibt bei diesem Authentifizierungsverfahren sowohl das Problem der Falschzurückweisungsrate (FRR), bei der valide Benutzer nicht erkannt wird, als auch der Falschakzeptanzrate (FAR), bei dem unberechtigten Benutzer autorisiert werden. Da beide Werte miteinander korrelieren, bedeutet dies, je kleiner die FAR wird, desto höher wird die FRR. Beispielsweise könnten Krankheiten dazu führen, dass valide Benutzer aufgrund der Veränderung des biometrischen Merkmals nicht mehr erkannt werden.

6. Massenabfertigung unmöglich

Per Fingerabdruckscan ein Smartphone zu entriegeln, geht unkompliziert und schnell. Aber wie verifiziert man die Identitäten von hunderten Menschen gleichzeitig? Wie viele Scanner werden benötigt, wenn 50.000 Menschen kurz vor Anpfiff ein Fussballstadion betreten wollen? In solchen Fällen scheinen andere Formen der Zugangskontrolle sinnvoller. Besonders, da Systeme bei der Identifikation die gescannten Daten mit bereits gespeicherten Datensätzen abzugleichen. Je mehr Datensätze allerdings gespeichert sind, desto länger dauert dieser Datenabgleich in der Regel – der Authentifizierungsvorgang verzögert sich.

Neue Sicherheitstechnologien geraten bereits am ersten Tag ihrer Veröffentlichung in den Fokus von Hackern, die sie knacken wollen. Iris-Scans und Methoden zur Gesichtserkennung werden mit 3D-Modellen und hochauflösenden Fotos überlistet, das Austricksen von Fingerabdruckscannern gestaltet sich häufig sogar noch einfacher. Zwar ist mit den Fälschungen ein vergleichsweise hoher Aufwand verbunden, aber gerade bei Prominenten und Personen mit Zugang zu besonderen Gebäuden, Informationen oder Ressourcen lohnt jede Arbeit. Erleichtert wird entsprechendes ausserdem durch immer bessere Technologien, wie z.B. hochauflösende Kameras, Fotos in sozialen Netzwerken sowie Stimmmustern auf Youtube.

Selbst die komplexesten Verfahren der Stimmenerkennung können mittlerweile überlistet werden. Und nicht immer entwickeln nur Hacker das dazu benötigte Werkzeug: Erst Ende 2016 stellte der Softwarehersteller Adobe ein Programm namens Voco vor, das Wörter in einzelne Laute zerlegt und auf Basis von lediglich zwanzig Minuten Tonaufnahme jede Stimme täuschend echt imitiert. Das gesprochene Wort könnte dank dieser innovativen Technik als biometrisches Merkmal jede Relevanz verlieren.

Für Unternehmen und Anwender ist wichtig, dass sie sich der Schwächen biometrischer Verfahren bewusst sind, wenn sie sich nach einer neuen Sicherheitslösung umsehen. Denn ob es sinnvoll ist, bei Zugangskontrollen oder anderen Sicherheitschecks biometrische Merkmale zur Identifikation heranzuziehen, lässt sich immer nur von Fall zu Fall entscheiden. Biometrie kann allerdings immer nur ein Faktor von Multi-Faktor-Authentifizierung sein und sollte niemals als alleiniges Erkennungselement eingesetzt werden.


Security-insider.de; Dr. Amir Alsbih, Peter Schmitz, 09.02.2017
http://www.security-insider.de/6-tuecken-der-biometrie-a-579740/ lang=de

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK