Firmendaten und Zugänge biometrisch sichern

Nicht dass Passwörter an sich schlecht wären, es gibt durchaus sehr starke Passwörter. Meist ist der Anwender die Schwachstelle in diesem Konzept. Wenn man sicher mit Passwörtern arbeiten will, dann benötigt man für jedes Login ein eigenes starkes Passwort. Das ist allerdings wenig komfortabel, weswegen häufig nur ein einziges Passwort verwendet wird. Kriminelle müssen dann nur dieses eine Passwort he­rausfinden – und können dann auf alles zugreifen, was damit geschützt wird.

Für ein Unternehmen kann es fatale Folgen haben, wenn geschäftskritische Daten verloren gehen oder in die Hände der Konkurrenz gelangen, die diese Daten dann für eigene Maßnahmen oder für eine Gegenstrategie verwendet – etwa bei Ausschreibungen. Mehr Schutz als das klassische Passwort verspricht die Biometrie.

Der Begriff Biometrie leitet sich von den beiden griechischen Wörtern Bios (Leben) und Metron (Maß) ab. Die Biometrie beschäftigt sich also mit der Vermessung des Körpers eines Lebewesens. Und jedes Lebewesen weist gewisse biologische Unregelmäßigkeiten auf. Diese Merkmale sind einzigartig und eindeutig. An biometrische Merkmale muss man sich nicht erinnern, man kann sie weder vergessen noch verlieren, denn man trägt sie ständig bei sich. Die Merkmale können auch nicht wie ein Passwort oder eine Karte einfach weitergegeben und missbräuchlich verwendet werden. Deshalb bietet sich die Biometrie als Alternative oder Ergänzung zu herkömmlichen Methoden wie Karte oder PIN beziehungsweise Passwort an.

Die biometrischen Identifikationsverfahren lassen sich grob in die Erkennungsmethoden Fingerabdruck, Handgeometrie, Venenerkennung, Iriserkennung, Gesichtserkennung und Spracherkennung unterteilen.

Welches Verfahren eingesetzt wird, hängt unter anderem vom gewünschten Sicherheitsniveau ab. So wird beispielsweise ein Fußballverein oder ein Zoo für die Identifikation seiner Jahreskartenbesitzer eine andere Methode wählen als eine Bank, ein Forschungslabor oder ein Rechenzentrum. Die Anwendung, die Umgebung und das Sicherheitsniveau bestimmen das Verfahren.

Fingerabdruck: Scanner von Fingerabdrücken eignen sich nur für saubere Umgebungen, da verschmutzte Hände oder eine verstaubte Sensoroberfläche das Scan-Ergebnis negativ beeinflussen können und so keine Übereinstimmung mit den hinterlegten Merkmalen erreicht wird.

Handgeometrie: Diese Erkennungsmethode ist auch für Werkstattumgebungen geeignet, da hier die Verschmutzung nicht ins Gewicht fällt. Eine verschmutzte Hand weist die gleichen Proportionen auf wie eine frisch gewaschene Hand. Ein typisches Einsatzgebiet für die Handgeometrie-Erkennung ist die Arbeitszeiterfassung.

Venenerkennung: Diese Methode gilt als eine der sichersten, da das Venenmuster eines Menschen einzigartig ist und sich im Lauf der Zeit auch fast nicht verändert. Da die Erkennung berührungslos stattfindet, lässt sich diese Methode sehr vielfältig und in unterschiedlichen Bereichen ein­setzen. Fujitsu beispielsweise hat auf der CeBIT 2015 seine Venen­erkennung mit dem System PalmSecure an Notebooks oder bei Zugangsschleusen für ein Rechenzentrum demonstriert.

Die Venenerkennung lässt sich auch mit einzelnen Fingern einer Hand durchführen, häufig ist dann von Adern­erkennung die Rede. Dazu sind spezielle Fingerscanner notwendig, etwa der Lumidigm V-Series-Fingerabdrucksensor. Die Fingerscanner arbeiten wie die Venenerkennung mit Infrarotlicht, um die Adern zu erkennen. Solche Sensoren werden aktuell an mehr als 100.000 Geldautomaten in Brasilien eingesetzt. Amerikanische Krankenhäuser verwenden sie als Zugriffskontrolle für Medikamentenschränke.

Iris-, Retina- und 3D-Gesichtserkennung: Diese Techniken zählen ebenfalls zu den sichersten biometrischen Verfahren. Sie kommen meist im Bereich der Hochsicherheit zum Einsatz, also beispielsweise in Forschungslaboren, Banken oder Rechenzentren. Als Vorteil dieser Techniken gilt die geringe False Acceptance Rate (FAR).

Spracherkennung: Diese biometrische Methode nutzt man für den Zugang zu IT-Systemen, für Telefonbanking oder im Umfeld von Callcentern für das Zurücksetzen von Passwörtern. Im Unterschied zu den anderen Verfahren benötigt die Spracherkennung keine eigene Hardware. Tastatur und Telefon genügen. Im praktischen Einsatz befindet sich das System beispielsweise in einem internen Sprachportal der Volksfürsorge. Außendienstmitarbeiter erhalten dort nach erfolgter Authentifizierung telefonisch den Zugriff auf Adressdaten. Bei Volkswagen Financial Services und der Deutschen Post regelt das System den telefonischen Passwort-Reset. Weitere Anwendungen gibt es bei der Allianz, der HypoVereinsbank, Michelin und O2.

Eine Übersicht über bereits durchgeführte Biometrie-Projekte im privaten, unternehmerischen oder öffentlichen Raum bietet eine Broschüre, die der Branchenverband Bitkom he­rausgegeben hat. Man findet sie auf der Website des Verbands unter dem Stichwort „Biometrie“.

Die Erfassung und Auswertung biometrischer Merkmale ist nicht perfekt. Der Grund: Biometrische Merkmale können sich mit der Zeit oder durch äußere Einflüsse verändern, beispielsweise wenn durch einen Unfall das Gesicht anders aussieht oder die Stimme dunkler wird.

Wenn man bei einer Person zu unterschiedlichen Zeitpunkten ein biometrisches Merkmal misst, dann ist es nie völlig identisch. Diese Unschärfe wird von den Systemen berücksichtigt, indem beim Abgleich keine Überprüfung auf Übereinstimmung, sondern nur auf hinreichende Ähnlichkeit stattfindet. Folge: Biometrische Systeme können nur mit systemtypischer Wahrscheinlichkeit bestimmen, ob es sich bei der Erkennung tatsächlich um den Berechtigten handelt.

Es bleibt also eine gewisse Wahrscheinlichkeit, dass das System Unberechtigte einlässt (False Acceptance Rate, FAR) beziehungsweise Berechtigte abweist (False Rejection Rate, FRR).

Darüber hinaus gibt es die False Enrolment Rate (FER). Sie drückt aus, dass eine definierte Anzahl von Personen nicht biome­trisch erfasst werden kann. Gründe dafür sind beispielsweise, dass eine Person das für die biometrische Erfassung erforderliche Merkmal nicht aufweist oder das Merkmal so schwach ausgeprägt ist, dass es sich nicht erfassen lässt. Das kann zum Beispiel an Erkrankungen liegen.

„Bei biometrischen Daten handelt es sich um personenbezogene Daten, zumindest aber um personenbeziehbare Daten. Daher ist ihre Erhebung, Speicherung und Verarbeitung nur zulässig, wenn entweder eine gesetzliche Grundlage oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt“, heißt es auf der Webseite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Andrea Voßhoff.

Für ein Unternehmen bedeutet das, dass es bereits vor der Einführung von biometrischen Systemen eng mit den Betriebs- und Personalräten zusammenarbeiten sollte, denn die Erfassung biometrischer Daten im Unternehmen ist nur auf freiwilliger Basis zulässig. Zudem haben Betriebsräte laut Betriebsverfassungsgesetz ein Mitbestimmungsrecht bei der Einführung biometrischer Systeme. Das gilt nach aktueller Rechtsprechung auch dann, wenn der Mitarbeiter des Unternehmens in der Firma eines Kunden biometrisch erfasst wird.

Bei der Vermessung eines Personenmerkmals – dem Enrolment – entstehen biometrische Rohdaten. Diese Rohdaten können mehr Informationen enthalten, als für die biometrische Authentifikation notwendig sind. So wird beispielsweise bei einer Retina-Erfassung der Augenhintergrund aufgenommen. Aus den Rohdaten könnte damit auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden. Aus datenschutzrechtlicher Sicht und um einen Missbrauch dieser Zusatzinformationen zu verhindern, empfehlen Datenschutzexperten, aus den Rohdaten mit Hilfe von Algorithmen mathematische Komprimate – sogenannte Templates – zu extrahieren. Diese Templates enthalten nur noch die für die Authentifizierung benötigten Daten.

Geraten Templates in die falschen Hände, dann kann das große Auswirkungen auf die Sicherheit eines Unternehmens haben – etwa wenn aus den Referenzdaten ein Originalmerkmal rekonstruiert und daraus eine Attrappe erstellt wird, die dann die Systeme täuscht. Um das zu verhindern, sollte man da­rüber nachdenken, wie und wo die Templates aufbewahrt werden.

Grundsätzlich lassen sich fünf Speicherorte ausmachen: So können die Referenzdaten in einer zentralen Datenbank, lokal auf dem PC, im Terminal selbst, bei einem externen Dienstleister oder in einem Token gespeichert sein, den der Mitarbeiter bei sich trägt. Für welche Art der Datenhaltung sich ein Unternehmen entscheidet, ist meist nicht vorgegeben, sondern lässt sich auf die vorhandenen Bedingungen abstimmen. Eine Entscheidungshilfe bietet das bereits 2008 von Teletrust veröffentlichte „White Paper zum Datenschutz in der Biometrie“.

In Übereinstimmung mit Datenschützern preferiert Teletrust die Methode, dass der komplette biometrische Teil der Anwendung, bestehend aus Sensor, Merkmalsextraktion und Referenzdatenspeicher, in einem externen Token liegt, den der Nutzer besitzt, da dies dem Nutzer die größte Sicherheit und Kontrolle über seine Daten bietet.

Obwohl die Authentifizierung mit Hilfe von Biometrie allem Anschein nach sehr sicher ist, hat der Chaos Computer Club (CCC) auf dem 31. Chaos Communication Congress zum wiederholten Mal gezeigt, dass die meisten bislang eingesetzten Techniken für sich allein genommen überwunden werden können.

Nacheinander hat der Sicherheitsexperte Jan Krissler – auch unter dem Alias starbug bekannt – fast alle biometrischen Sicherheitssysteme hinters Licht geführt. Im Einzelnen waren das die Fingerabdruckerkennung, die Gesichtserkennung und die Iriserkennung. Alles,was er dazu benötigte, war eine Kamera, mit der er die biometrischen Merkmale ganz unauffällig aus der Entfernung aufnahm. Aus diesen Bildern fertigte er Attrappen für die einzelnen Systeme, die er während seines Vortrags überwand.

Nachdem er das Gerät zur Iriserkennung getäuscht hatte, resümierte Krissler: „Man kann zu dem Thema abschließend sagen, dass die Iriserkennung wahrscheinlich jetzt auch endgültig kaputt ist.“ Das Gerät, das er mit Hilfe eines ausgedruckten Fotos überwand, war laut Krissler ein High-End-Gerät, das deutlich über 1000 Euro kostet und beispielsweise in Zugangskon­trollsystemen von Banken verwendet wird.

Zur Venenerkennung merkte Jan Krissler an, dass man mit einer Infrarotkamera sehr schöne Venenbilder erstellen könne und er bereits erste Experimente durchgeführt habe. Man solle sich in nächster Zeit auf Neuigkeiten gefasst machen.

Im Kurz-Interview lesen Sie, wie Jan Krissler die Sicherheit von biometrischen Systemen im Allgemeinen einschätzt.

Zwar bietet Biometrie gegenüber der klassischen Authentifizierungs-Methode mit Passwort einige Vorteile, doch kann die Technik mit relativ geringem Aufwand und einfachen Mitteln ausgetrickst werden.

Zieht man diesen Umstand in Betracht, zeigt sich, dass Biometrie für sich genommen zwar sehr komfortabel ist – man braucht sich keine komplizierten Passwörter mehr zu merken –, doch vom Sicherheitsaspekt her gesehen keine hervorstechenden Vorteile bietet. Sie beschert einem Unternehmen jedoch einen relativ hohen Aufwand, weil es mit Daten hantiert, die strengen Datenschutzrichtlinien unterliegen. Wenn Passwörter verwendet werden, entsteht dieses Problem nicht.

Dennoch kann Biometrie helfen, die Sicherheit im Unternehmen zu erhöhen – wenn sie Bestandteil einer 2-Faktor-Authentifizierung ist.

com! professional sprach mit Jan Krissler, Security Researcher am Lehrstuhl SecT der Technischen Universität Berlin, über die Sicherheit von biometrischen Systemen.

com! professional: Viele Anwender verwenden für verschiedene Zugänge das gleiche Passwort und gefährden dadurch die Sicherheit von Daten und Zugriffen. Biometrische Systeme sollen hier Abhilfe schaffen. Lässt sich damit wirklich die Sicherheit erhöhen oder ist das ein Trugschluss?

Jan Krissler: Die Frage beantwortet sich eigentlich von selbst, wenn man bedenkt, dass die verwendeten biometrischen Merkmale immer die gleichen sind – zehn Finger oder zwei Augen. Geht man also davon aus, dass die Merkmale kopiert werden können, sind sie nach der ersten Veröffentlichung für weitere Anwendungen verbrannt.

com! professional: Sie zeigen in Ihren Vorträgen regelmäßig, wie sich biometrische Systeme mit relativ einfachen Mitteln überlisten lassen. Wie erklären Sie es sich, dass diese Technik trotz
ihrer großen Schwächen nicht schon längst verworfen wurde?

Krissler: Weil Benutzer einfachere Möglichkeiten wollen, sich an Rechnern und Telefonen anzumelden. Dabei tritt der Sicherheitsaspekt in den Hintergrund. Betrachtet man den Einzelfall, so bietet die Biometrie sogar eine Verbesserung der Sicherheit. Vor der Einführung von touchID verwendete ein Großteil der iPhone-Benutzer gar keine PIN zum Freischalten des Telefons. Mit dem Fingerabdruck hielt zumindest eine gewisse Sicherheit Einzug. Gleiches gilt für Passwörter, die sonst auf Post-its an den Monitor geklebt waren. Man muss sich aber des Risikos, das mit dem Einsatz der Biometrie einhergeht, bewusst sein.

com! professional: Analysten von führenden Marktforschungsunternehmen prophezeien, dass in Zukunft die Biometrie zu unserem Alltag gehört. Das scheint im Hinblick auf die Sicherheit geradezu fahrlässig zu sein, zieht man Ihre Erkenntnisse in Betracht.

Krissler: Es wird seit Jahren versucht, Alternativen zum Passwort zu etablieren. Und ich verteufle den Einsatz der Biometrie nicht grundsätzlich. Solange die geschützten Daten weniger wert sind als der Aufwand, das Merkmal nachzubilden, kann man nichts gegen den Einsatz sagen. Allerdings ist derzeit für viele Systeme der Aufwand der Nachbildung minimal. So reicht es bei vielen Gesichtserkennungslösungen beispielsweise, ein Foto oder Video der Person im Internet zu suchen und das dem biometrischen System vorzuspielen. Da müssen die Hersteller auf jeden Fall nachbessern.

com! professional: Lässt sich mit biometrischen Systemen trotzdem die Sicherheit erhöhen? Wenn ja, wie könnte so ein Sicherheitsansatz aussehen?

Krissler: Wie schon gesagt, bietet die Biometrie mehr Sicherheit als kein beziehungsweise ein am Monitor hängendes Passwort. Ansonsten würde ich die Biometrie eher als Produkt zur Erhöhung des Komforts sehen. Sicherlich lassen sich biometrische Systeme noch sicherer machen, was aber sowohl die Kosten erhöht als auch der bequemen Benutzung zuwiderläuft.