Biometrie
Der Begriff Biometrie bezeichnet die Wissenschaft und Technologie zur Messung und Analyse biologischer Daten. Im Bereich der Informationstechnologie bezeichnet man mit Biometrie Technologien zur Messung und Analyse körperlicher oder verhaltensbasierter Merkmale von Menschen. Dadurch lassen sich bestimmte Merkmale wie DNA, Fingerabdruck, Retina und Iris der Augen, Stimmmuster, Gesichtsmuster sowie Eigenschaften der Hände zur Authentifizierung heranziehen.
Biometrie ist die Messung und statistische Analyse der einzigartigen physischen und verhaltensbezogenen Merkmale von Personen. Die Grundannahme der biometrischen Authentifizierung ist, dass jede Person anhand ihrer physischen oder verhaltensbezogenen Merkmale genau identifiziert werden kann.
Wie Biometrie funktioniert
Die Authentifizierung durch biometrische Verifizierung wird immer häufiger in unterschiedlichsten Bereichen in Unternehmen wie auch in Endverbraucherprodukten eingesetzt. Die Neben der Sicherheit ist die Einfachheit die treibende Kraft hinter der biometrischen Überprüfung, da man sich keine Passwörter merken oder Sicherheits-Token mit sich führen muss. Einige biometrische Methoden, wie zum Beispiel die Auswertung des Ganges einer Person, können ohne direkten Kontakt mit der zu authentifizierenden Person eingesetzt werden.
Zu den Bestandteilen biometrischer Lösungen gehören die folgenden:
- ein Lese- oder Scangerät zur Erfassung des zu authentifizierenden biometrischen Faktors;
- Software zur Umwandlung der gescannten biometrischen Daten in ein standardisiertes digitales Format und zum Vergleich von Übereinstimmungspunkten der beobachteten Daten mit gespeicherten Daten; und
- eine Datenbank zur sicheren Speicherung biometrischer Daten für den Vergleich.
Biometrische Daten können in einer zentralen Datenbank gespeichert werden, obwohl moderne biometrische Implementierungen stattdessen oft darauf beruhen, biometrische Daten lokal zu sammeln und dann kryptographisch zu verschlüsseln, so dass eine Authentifizierung oder Identifizierung ohne direkten Zugang zu den biometrischen Daten selbst durchgeführt werden kann.
Arten von biometrischen Merkmalen
Die beiden wichtigsten Arten von biometrischen Identifizierungen sind entweder physiologische Merkmale oder verhaltensbasierte Merkmale.
Physiologische Identifikatoren beziehen sich auf die Merkmale des zu authentifizierenden Benutzers und umfassen folgende Aspekte:
- Gesichtserkennung
- Fingerabdrücke
- Fingergeometrie (Größe und Position der Finger)
- Iriserkennung
- Venenerkennung
- Netzhautabtastung
- Stimmerkennung
- DNA-Abgleich (Desoxyribonukleinsäure)
- digitale Signaturen
Zu den Verhaltenskennzeichen gehören die einzigartigen Verhaltensweisen von Personen, einschließlich der Erkennung von Tippmustern, Maus- und Fingerbewegungen, Website- und Social-Media-Nutzungsmustern, Gangart und anderen Gesten. Einige dieser Verhaltenskennungen können für eine kontinuierliche Authentifizierung anstelle einer einmaligen Authentifizierungsprüfung verwendet werden. Obwohl es sich um eine neuere Methode mit geringerer Zuverlässigkeit handelt, hat sie das Potenzial, neben anderen Verbesserungen in der biometrischen Technologie zu wachsen.
Biometrische Daten können verwendet werden, um auf Informationen auf einem Gerät wie einem Smartphone zuzugreifen, aber es gibt auch andere Möglichkeiten, wie biometrische Daten verwendet werden können. Biometrische Daten können beispielsweise auf einer Chipkarte gespeichert werden, wobei ein Erkennungssystem die biometrischen Daten einer Person liest und mit den biometrischen Daten auf der Chipkarte vergleicht.
Vor- und Nachteile biometrischer Verfahren
Die Verwendung biometrischer Daten hat eine Reihe von Vor- und Nachteilen in Bezug auf ihre Verwendung, Sicherheit und andere damit verbundene Aspekte. Biometrische Verfahren sind aus den folgenden Gründen von Vorteil:
- schwer zu fälschen oder zu stehlen, im Gegensatz zu Passwörtern;
- einfach und komfortabel zu bedienen;
- im Allgemeinen im Laufe des Lebens eines Nutzers gleichbleibend;
- nicht übertragbar; und
- effizient, weil Vorlagen weniger Speicherplatz benötigen.
Zu den Nachteilen gehören die folgenden:
- Es kann kostspielig sein, ein biometrisches System einzurichten und in Betrieb zu nehmen.
- Gelingt es dem System nicht, alle biometrischen Daten zu erfassen, kann dies dazu führen, dass ein Benutzer nicht identifiziert werden kann.
- Datenbanken mit biometrischen Daten können gehackt werden.
- Fehler wie falsche Zurückweisungen und falsche Akzeptanz können immer noch auftreten.
- Wenn sich ein Benutzer verletzt, funktioniert ein biometrisches Authentifizierungssystem möglicherweise nicht – beispielsweise, wenn sich ein Benutzer die Hand verbrennt, kann ein Fingerabdruckscanner ihn möglicherweise nicht identifizieren.
Die Herausforderungen in Sachen Datenschutz und Sicherheit
Biometrische Identifikatoren hängen von der Einzigartigkeit des jeweiligen Faktors ab. So gelten beispielsweise Fingerabdrücke im Allgemeinen als sehr einzigartig für jede Person. Fingerabdruckscans haben im Massenmarkt bereits früh in Business-Notebooks Einzug gehalten und sich im Endverbrauchersegment über Smartphones etabliert.
Andere biometrische Faktoren sind Netzhaut- und Iriserkennung oder Venen- und Stimmscans. Sie haben sich jedoch bisher nicht auf breiter Ebene durchgesetzt, zum Teil, weil das Vertrauen in die Eindeutigkeit der Identifikatoren geringer ist oder weil die Faktoren leichter zu fälschen und für böswillige Zwecke wie Identitätsdiebstahl zu verwenden sind.
Die Dauerhaftigkeit des biometrischen Faktors kann ebenfalls wichtig für die Akzeptanz des Faktors sein. Fingerabdrücke verändern sich ein Leben lang nicht, während sich das Aussehen des Gesichts durch Alter, Krankheit oder andere Faktoren drastisch verändern kann.
Das wichtigste Datenschutzproblem bei der Verwendung biometrischer Daten besteht darin, dass physische Attribute wie Fingerabdrücke und Blutgefäßmuster der Netzhaut im Allgemeinen statisch sind und nicht verändert werden können. Dies unterscheidet sich von nichtbiometrischen Faktoren wie Passwörtern (etwas, das man weiß) und Token (etwas, das man hat), die ersetzt werden können, wenn sie verletzt oder anderweitig beeinträchtigt werden. Ein Beispiel für diese Herausforderung sind die über 20 Millionen Personen, deren Fingerabdrücke bei der Datenpanne im Jahr 2014 beim US Office of Personnel Management kompromittiert wurden.
Die zunehmende Verbreitung von hochwertigen Kameras, Mikrofonen und Fingerabdrucklesern in vielen modernen Mobilgeräten bedeutet, dass die Biometrie immer häufiger zur Authentifizierung von Benutzern eingesetzt wird, zumal die FIDO Allianz neue Standards für die Authentifizierung mit Biometrie festgelegt hat, die eine Zwei-Faktor-Authentifizierung mit biometrischen Faktoren unterstützen.
Hochwertige Kameras und andere Sensoren ermöglichen zwar den Einsatz biometrischer Daten, können aber auch Angreifern das Handwerk legen. Da Menschen ihre Gesichter, Ohren, Hände, Stimme oder ihren Gang nicht abschirmen, sind Angriffe möglich, indem einfach biometrische Daten von Menschen ohne deren Zustimmung oder Wissen erfasst werden.
Ein früher Angriff auf die biometrische Authentifizierung von Fingerabdrücken wurde als „Gummy Bear Hack“ bezeichnet und geht auf das Jahr 2002 zurück, als japanische Forscher mit Hilfe einer Süßigkeit auf Gelatinebasis zeigten, dass ein Angreifer einen latenten Fingerabdruck von einer glänzenden Oberfläche abheben kann. Die Kapazität von Gelatine ähnelt der eines menschlichen Fingers, so dass Fingerabdruckscanner, die auf die Erkennung von Kapazität ausgelegt sind, durch die Gelatineübertragung getäuscht würden.
Entschlossene Angreifer können auch andere biometrische Faktoren aushebeln. Der Sicherheitsforscher und Biometrieexperte Jan Krissler, auch bekannt als starbug, hat im Jahr 2017 beim Chaos Computer Club demonstriert, wie sich das Authentifizierungsverfahren für den Irisscanner eines Smartphones von Samsung umgehen lässt. Zuvor hatte Krissler den Daumenabdruck eines Nutzers aus einem hochauflösenden Bild nachgebildet, um zu demonstrieren, dass das Authentifizierungsverfahren Touch ID von Apple ebenfalls anfällig ist.