31.08.2015
Biometrie
1. Teil: „Firmendaten und Zugänge biometrisch sichern“
Firmendaten und Zugänge biometrisch sichern
Autor: Oliver Ehm
Rawpixel / Fotolia
Um seine Daten optimal zu schützen, reicht der klassische Passwortschutz nicht mehr aus. Doch auch biometrische Identifikationsverfahren erhöhen meist nur den Komfort – nicht die Sicherheit.
Nicht dass Passwörter an sich schlecht wären, es gibt durchaus sehr starke Passwörter. Meist ist der Anwender die Schwachstelle in diesem Konzept. Wenn man sicher mit Passwörtern arbeiten will, dann benötigt man für jedes Login ein eigenes starkes Passwort. Das ist allerdings wenig komfortabel, weswegen häufig nur ein einziges Passwort verwendet wird. Kriminelle müssen dann nur dieses eine Passwort herausfinden – und können dann auf alles zugreifen, was damit geschützt wird.
Vorteile von Biometrie
Der Begriff Biometrie leitet sich von den beiden griechischen Wörtern Bios (Leben) und Metron (Maß) ab. Die Biometrie beschäftigt sich also mit der Vermessung des Körpers eines Lebewesens. Und jedes Lebewesen weist gewisse biologische Unregelmäßigkeiten auf. Diese Merkmale sind einzigartig und eindeutig. An biometrische Merkmale muss man sich nicht erinnern, man kann sie weder vergessen noch verlieren, denn man trägt sie ständig bei sich. Die Merkmale können auch nicht wie ein Passwort oder eine Karte einfach weitergegeben und missbräuchlich verwendet werden. Deshalb bietet sich die Biometrie als Alternative oder Ergänzung zu herkömmlichen Methoden wie Karte oder PIN beziehungsweise Passwort an.
2. Teil: „Die Verfahren zur biometrischen Identifikation“
Die Verfahren zur biometrischen Identifikation
Die biometrischen Identifikationsverfahren lassen sich grob in die Erkennungsmethoden Fingerabdruck, Handgeometrie, Venenerkennung, Iriserkennung, Gesichtserkennung und Spracherkennung unterteilen.
Fingerabdruck: Scanner von Fingerabdrücken eignen sich nur für saubere Umgebungen, da verschmutzte Hände oder eine verstaubte Sensoroberfläche das Scan-Ergebnis negativ beeinflussen können und so keine Übereinstimmung mit den hinterlegten Merkmalen erreicht wird.
Handgeometrie: Diese Erkennungsmethode ist auch für Werkstattumgebungen geeignet, da hier die Verschmutzung nicht ins Gewicht fällt. Eine verschmutzte Hand weist die gleichen Proportionen auf wie eine frisch gewaschene Hand. Ein typisches Einsatzgebiet für die Handgeometrie-Erkennung ist die Arbeitszeiterfassung.
Venenerkennung: Diese Methode gilt als eine der sichersten, da das Venenmuster eines Menschen einzigartig ist und sich im Lauf der Zeit auch fast nicht verändert. Da die Erkennung berührungslos stattfindet, lässt sich diese Methode sehr vielfältig und in unterschiedlichen Bereichen einsetzen. Fujitsu beispielsweise hat auf der CeBIT 2015 seine Venenerkennung mit dem System PalmSecure an Notebooks oder bei Zugangsschleusen für ein Rechenzentrum demonstriert.
Die Venenerkennung lässt sich auch mit einzelnen Fingern einer Hand durchführen, häufig ist dann von Adernerkennung die Rede. Dazu sind spezielle Fingerscanner notwendig, etwa der Lumidigm V-Series-Fingerabdrucksensor. Die Fingerscanner arbeiten wie die Venenerkennung mit Infrarotlicht, um die Adern zu erkennen. Solche Sensoren werden aktuell an mehr als 100.000 Geldautomaten in Brasilien eingesetzt. Amerikanische Krankenhäuser verwenden sie als Zugriffskontrolle für Medikamentenschränke.
Iris-, Retina- und 3D-Gesichtserkennung: Diese Techniken zählen ebenfalls zu den sichersten biometrischen Verfahren. Sie kommen meist im Bereich der Hochsicherheit zum Einsatz, also beispielsweise in Forschungslaboren, Banken oder Rechenzentren. Als Vorteil dieser Techniken gilt die geringe False Acceptance Rate (FAR).
Spracherkennung: Diese biometrische Methode nutzt man für den Zugang zu IT-Systemen, für Telefonbanking oder im Umfeld von Callcentern für das Zurücksetzen von Passwörtern. Im Unterschied zu den anderen Verfahren benötigt die Spracherkennung keine eigene Hardware. Tastatur und Telefon genügen. Im praktischen Einsatz befindet sich das System beispielsweise in einem internen Sprachportal der Volksfürsorge. Außendienstmitarbeiter erhalten dort nach erfolgter Authentifizierung telefonisch den Zugriff auf Adressdaten. Bei Volkswagen Financial Services und der Deutschen Post regelt das System den telefonischen Passwort-Reset. Weitere Anwendungen gibt es bei der Allianz, der HypoVereinsbank, Michelin und O2.
Eine Übersicht über bereits durchgeführte Biometrie-Projekte im privaten, unternehmerischen oder öffentlichen Raum bietet eine Broschüre, die der Branchenverband Bitkom herausgegeben hat. Man findet sie auf der Website des Verbands unter dem Stichwort „Biometrie“.
3. Teil: „Biometrische Merkmale sind nicht perfekt“
Biometrische Merkmale sind nicht perfekt
Die Erfassung und Auswertung biometrischer Merkmale ist nicht perfekt. Der Grund: Biometrische Merkmale können sich mit der Zeit oder durch äußere Einflüsse verändern, beispielsweise wenn durch einen Unfall das Gesicht anders aussieht oder die Stimme dunkler wird.
Es bleibt also eine gewisse Wahrscheinlichkeit, dass das System Unberechtigte einlässt (False Acceptance Rate, FAR) beziehungsweise Berechtigte abweist (False Rejection Rate, FRR).
Darüber hinaus gibt es die False Enrolment Rate (FER). Sie drückt aus, dass eine definierte Anzahl von Personen nicht biometrisch erfasst werden kann. Gründe dafür sind beispielsweise, dass eine Person das für die biometrische Erfassung erforderliche Merkmal nicht aufweist oder das Merkmal so schwach ausgeprägt ist, dass es sich nicht erfassen lässt. Das kann zum Beispiel an Erkrankungen liegen.
Datenschutz ist wichtig
„Bei biometrischen Daten handelt es sich um personenbezogene Daten, zumindest aber um personenbeziehbare Daten. Daher ist ihre Erhebung, Speicherung und Verarbeitung nur zulässig, wenn entweder eine gesetzliche Grundlage oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt“, heißt es auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Andrea Voßhoff.
Templates statt Rohdaten
Bei der Vermessung eines Personenmerkmals – dem Enrolment – entstehen biometrische Rohdaten. Diese Rohdaten können mehr Informationen enthalten, als für die biometrische Authentifikation notwendig sind. So wird beispielsweise bei einer Retina-Erfassung der Augenhintergrund aufgenommen. Aus den Rohdaten könnte damit auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden. Aus datenschutzrechtlicher Sicht und um einen Missbrauch dieser Zusatzinformationen zu verhindern, empfehlen Datenschutzexperten, aus den Rohdaten mit Hilfe von Algorithmen mathematische Komprimate – sogenannte Templates – zu extrahieren. Diese Templates enthalten nur noch die für die Authentifizierung benötigten Daten.
Templates schützen
Geraten Templates in die falschen Hände, dann kann das große Auswirkungen auf die Sicherheit eines Unternehmens haben – etwa wenn aus den Referenzdaten ein Originalmerkmal rekonstruiert und daraus eine Attrappe erstellt wird, die dann die Systeme täuscht. Um das zu verhindern, sollte man darüber nachdenken, wie und wo die Templates aufbewahrt werden.
Grundsätzlich lassen sich fünf Speicherorte ausmachen: So können die Referenzdaten in einer zentralen Datenbank, lokal auf dem PC, im Terminal selbst, bei einem externen Dienstleister oder in einem Token gespeichert sein, den der Mitarbeiter bei sich trägt. Für welche Art der Datenhaltung sich ein Unternehmen entscheidet, ist meist nicht vorgegeben, sondern lässt sich auf die vorhandenen Bedingungen abstimmen. Eine Entscheidungshilfe bietet das bereits 2008 von Teletrust veröffentlichte „White Paper zum Datenschutz in der Biometrie“.
In Übereinstimmung mit Datenschützern preferiert Teletrust die Methode, dass der komplette biometrische Teil der Anwendung, bestehend aus Sensor, Merkmalsextraktion und Referenzdatenspeicher, in einem externen Token liegt, den der Nutzer besitzt, da dies dem Nutzer die größte Sicherheit und Kontrolle über seine Daten bietet.
4. Teil: „Gefühlte und reale Sicherheit der Biometrie“
Gefühlte und reale Sicherheit der Biometrie
Obwohl die Authentifizierung mit Hilfe von Biometrie allem Anschein nach sehr sicher ist, hat der Chaos Computer Club (CCC) auf dem 31. Chaos Communication Congress zum wiederholten Mal gezeigt, dass die meisten bislang eingesetzten Techniken für sich allein genommen überwunden werden können.
Nacheinander hat der Sicherheitsexperte Jan Krissler – auch unter dem Alias starbug bekannt – fast alle biometrischen Sicherheitssysteme hinters Licht geführt. Im Einzelnen waren das die Fingerabdruckerkennung, die Gesichtserkennung und die Iriserkennung. Alles,was er dazu benötigte, war eine Kamera, mit der er die biometrischen Merkmale ganz unauffällig aus der Entfernung aufnahm. Aus diesen Bildern fertigte er Attrappen für die einzelnen Systeme, die er während seines Vortrags überwand.
Nachdem er das Gerät zur Iriserkennung getäuscht hatte, resümierte Krissler: „Man kann zu dem Thema abschließend sagen, dass die Iriserkennung wahrscheinlich jetzt auch endgültig kaputt ist.“ Das Gerät, das er mit Hilfe eines ausgedruckten Fotos überwand, war laut Krissler ein High-End-Gerät, das deutlich über 1000 Euro kostet und beispielsweise in Zugangskontrollsystemen von Banken verwendet wird.
Zur Venenerkennung merkte Jan Krissler an, dass man mit einer Infrarotkamera sehr schöne Venenbilder erstellen könne und er bereits erste Experimente durchgeführt habe. Man solle sich in nächster Zeit auf Neuigkeiten gefasst machen.
Im Kurz-Interview lesen Sie, wie Jan Krissler die Sicherheit von biometrischen Systemen im Allgemeinen einschätzt.
Biometrie allein reicht nicht
Zwar bietet Biometrie gegenüber der klassischen Authentifizierungs-Methode mit Passwort einige Vorteile, doch kann die Technik mit relativ geringem Aufwand und einfachen Mitteln ausgetrickst werden.
Zieht man diesen Umstand in Betracht, zeigt sich, dass Biometrie für sich genommen zwar sehr komfortabel ist – man braucht sich keine komplizierten Passwörter mehr zu merken –, doch vom Sicherheitsaspekt her gesehen keine hervorstechenden Vorteile bietet. Sie beschert einem Unternehmen jedoch einen relativ hohen Aufwand, weil es mit Daten hantiert, die strengen Datenschutzrichtlinien unterliegen. Wenn Passwörter verwendet werden, entsteht dieses Problem nicht.
Dennoch kann Biometrie helfen, die Sicherheit im Unternehmen zu erhöhen – wenn sie Bestandteil einer 2-Faktor-Authentifizierung ist.
Weitere Infos
- „Biometrie bietet eine Verbesserung der Sicherheit“
Interview mit Jan Krissler, Security Researcher am Lehrstuhl SecT der Technischen Universität Berlin
- www.bsi.bund.de/DE/Themen/Biometrie/biometrie_node.html
Biometrie-Themenseite des Bundesamts für Sicherheit in der Informationstechnik
- www.bitkom.org/de/themen/55159_39711.aspx
Bitkom-Verzeichnis von Biometrie-Anbietern
5. Teil: „„Biometrie bietet eine Verbesserung der Sicherheit““
„Biometrie bietet eine Verbesserung der Sicherheit“
com! professional sprach mit Jan Krissler, Security Researcher am Lehrstuhl SecT der Technischen Universität Berlin, über die Sicherheit von biometrischen Systemen.
com! professional: Viele Anwender verwenden für verschiedene Zugänge das gleiche Passwort und gefährden dadurch die Sicherheit von Daten und Zugriffen. Biometrische Systeme sollen hier Abhilfe schaffen. Lässt sich damit wirklich die Sicherheit erhöhen oder ist das ein Trugschluss?
Jan Krissler: Die Frage beantwortet sich eigentlich von selbst, wenn man bedenkt, dass die verwendeten biometrischen Merkmale immer die gleichen sind – zehn Finger oder zwei Augen. Geht man also davon aus, dass die Merkmale kopiert werden können, sind sie nach der ersten Veröffentlichung für weitere Anwendungen verbrannt.
ihrer großen Schwächen nicht schon längst verworfen wurde?
Krissler: Weil Benutzer einfachere Möglichkeiten wollen, sich an Rechnern und Telefonen anzumelden. Dabei tritt der Sicherheitsaspekt in den Hintergrund. Betrachtet man den Einzelfall, so bietet die Biometrie sogar eine Verbesserung der Sicherheit. Vor der Einführung von touchID verwendete ein Großteil der iPhone-Benutzer gar keine PIN zum Freischalten des Telefons. Mit dem Fingerabdruck hielt zumindest eine gewisse Sicherheit Einzug. Gleiches gilt für Passwörter, die sonst auf Post-its an den Monitor geklebt waren. Man muss sich aber des Risikos, das mit dem Einsatz der Biometrie einhergeht, bewusst sein.
com! professional: Analysten von führenden Marktforschungsunternehmen prophezeien, dass in Zukunft die Biometrie zu unserem Alltag gehört. Das scheint im Hinblick auf die Sicherheit geradezu fahrlässig zu sein, zieht man Ihre Erkenntnisse in Betracht.
Krissler: Es wird seit Jahren versucht, Alternativen zum Passwort zu etablieren. Und ich verteufle den Einsatz der Biometrie nicht grundsätzlich. Solange die geschützten Daten weniger wert sind als der Aufwand, das Merkmal nachzubilden, kann man nichts gegen den Einsatz sagen. Allerdings ist derzeit für viele Systeme der Aufwand der Nachbildung minimal. So reicht es bei vielen Gesichtserkennungslösungen beispielsweise, ein Foto oder Video der Person im Internet zu suchen und das dem biometrischen System vorzuspielen. Da müssen die Hersteller auf jeden Fall nachbessern.
com! professional: Lässt sich mit biometrischen Systemen trotzdem die Sicherheit erhöhen? Wenn ja, wie könnte so ein Sicherheitsansatz aussehen?
Krissler: Wie schon gesagt, bietet die Biometrie mehr Sicherheit als kein beziehungsweise ein am Monitor hängendes Passwort. Ansonsten würde ich die Biometrie eher als Produkt zur Erhöhung des Komforts sehen. Sicherlich lassen sich biometrische Systeme noch sicherer machen, was aber sowohl die Kosten erhöht als auch der bequemen Benutzung zuwiderläuft.
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Teldat-Tochter
Bintec Elmeg stellt den Betrieb ein
Auf LinkedIn teilt der Hersteller mit, dass Bintec Elmeg seine Aktivitäten in der DACH-Region einstellt. Die Sanierung sein gescheitert, so heißt es offiziell.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>