Zum Inhalt springen

Biometrie – Zwischen Sicherheit und Komfort

Ob zum Entsperren von Handys und Notebooks oder zur Bilderkennung im Bereich Social Media – überall werden biometrische Daten genutzt, gespeichert und ausgewertet. Auf dem DOAG Security Day, am 22. September in Leipzig, spricht Jürgen Kühn über Nutzen, Akzeptanz und Gefahren der verschiedenen Methodiken. DOAG Online hat im Vorfeld mit dem Senior Consultant für IT Security, beschäftigt bei der Trivadis GmbH, über seinen Vortrag und das Thema gesprochen.

Ob zum Entsperren von Handys und Notebooks oder zur Bilderkennung im Bereich Social Media – überall werden biometrische Daten genutzt, gespeichert und ausgewertet. Auf dem DOAG Security Day, am 22. September in Leipzig, spricht Jürgen Kühn über Nutzen, Akzeptanz und Gefahren der verschiedenen Methodiken. DOAG Online hat im Vorfeld mit dem Senior Consultant für IT Security, beschäftigt bei der Trivadis GmbH, über seinen Vortrag und das Thema gesprochen.

Herr Kühn, Sie beschäftigen sich mit dem Anwendungsfeld Biometrie. Können Sie kurz beschreiben, was Biometrie ist?

Biometrie ist grundlegend die "Wissenschaft von der Zählung und Körpermessung an Lebewesen". Wir verstehen darunter die Identifikation oder Authentifikation von Personen anhand ihrer körperlichen Merkmale oder Eigenschaften, wie dem Erkennen eines Fingerabdrucks, einer Gesichtserkennung oder der Ermittlung der Morphologie einer Iris. Neben diesen klassischen Merkmalen können prinzipiell auch andere Merkmale, wie z.B. die Handgeometrie oder das Venenmuster, zur biometrischen Erkennung genutzt werden.

Können Sie einige konkrete Beispiele nennen, wo das Thema zu diesem Zeitpunkt bereits Verwendung findet?

Konkrete Beispiele für den Einsatz von Biometrie sind gar nicht mehr so selten. Seit der Integration von Fingerabdrucksensoren in Mobiltelefonen ist Biometrie nicht nur Spezialisten ein Begriff. Mittlerweile kann man ja schon sein Mobiltelefon per Gesichtserkennung entsperren. Allerdings ist es in den meisten Fällen nicht wirklich praktikabel. Meine Tochter hat bei dem Testen einer solchen Applikation herausgefunden, dass eine Entsperrung nur bei einer bestimmten Beleuchtung funktioniert. Nicht zu vergessen sind die im elektronischen Pass gespeicherten Fotos und Fingerabdrücke, die die Fälschungssicherheit erhöhen sollen. Relativ neu ist hier das Grenzkontrollsystem "EasyPASS", welches Kontrollen an Flughäfen schneller und komfortabler machen soll. Dazu nimmt das System ein Livebild einer Person auf und vergleicht es mit dem im elektronischen Reisepass hinterlegten Bild. Selbst der Iris-Scan wird massentauglich. An einigen Flughäfen gibt es "e-Gates". Dort wird die Iris der Fluggäste beim Passieren auf eine Entfernung von gut einem Meter aufgenommen und abgeglichen.

Was ist der aktuelle Stand der Forschung in Bezug auf Fingerprint, Iris-Scan und Gesichtserkennung?

An den Grundlagen der Erkennung hat sich nicht viel verändert. Fingerabdrücke werden in der Regel immer noch anhand einiger markanter Stellen der Hautrillen eines Fingers, der sogenannten Minutien, verglichen. Bei der Iris-Erkennung verwenden so gut wie alle Systeme denselben Algorithmus. Bei der Gesichtserkennung wird an der 3D-Erkennung mithilfe der sogenannten "Streifenprojektion" geforscht. Verbesserungen ergeben sich in erster Linie durch leistungsfähigere Hardware – eine Iris kann aus größerer Entfernung erkannt werden und Gesichter können durch mehr Rechenkapazität besser und schneller verglichen werden. Das führt natürlich unmittelbar zu der Idee, möglichst viele Gesichter aufzunehmen, zu speichern und mit Allem zu vergleichen. Nicht nur staatliche Behörden, sondern auch Unternehmen wie Facebook oder Google haben Interesse an solchen Daten. Diese nehmen mit oder ohne Einwilligung der Benutzer eine Gesichtserkennung vor und sichern sie in ihren Datenbeständen. Die Aufforderung an die Benutzer, den gefundenen Bildern Namen zuzuordnen, darf jeder gerne selbst interpretieren.

Wie sicher sind biometrische Verfahren denn wirklich?

Weil es bequem ist, benutzen viele Anwender Biometrie-Systeme und hinterlegen bereitwillig ihre Fingerprints. Das ist der derzeitige Trend. Dabei ist das Entsperren eines Mobiltelefons per Fingerprint-Sensor unsicherer als ein gutes, geheim gehaltenes Passwort. Ein  biometrisches Merkmal ist in keiner Weise mit einem solchen Berechtigungsnachweis (Credentials) vergleichbar. Ein Passwort ist richtig oder falsch und kann beliebig oft geändert werden. Eine biometrische Erkennung ist das Gegenteil. Sie liefert nur eine Wahrscheinlichkeit einer Übereinstimmung mit einer Referenzaufnahme. Abhängig von dem Einsatzgebiet muss ein biometrisches System deshalb immer auf "mehr Sicherheit" oder "mehr Komfort" getrimmt werden. Beim Fingerabdruck kommt hinzu, dass er zwar "sehr einzigartig", aber heutzutage leider nicht mehr fälschungssicher ist. Das wirft eine Menge Fragen auf – insbesondere forensischer und juristischer Art. Es ist deshalb wichtig, den Einsatz von Biometrie für die Authentifizierung an IT-Systemen kritisch zu hinterfragen.

Was erwartet die Teilnehmer in Ihrem Vortrag?

Ich habe meinen Vortrag in drei Teile gegliedert. Zu Beginn werden wir uns die Grundlagen der Biometrie anschauen und die Fragen klären, was es alles zu beachten gibt und welche Eigenschaften die Merkmale haben müssen, die in einem System aufgenommen werden sollen. Danach werde ich die Wahrscheinlichkeiten bei einer Erkennung erklären und zeigen, wie die Identifikation und Verifikation von Menschen erfolgt. Der zweite Teil wird sich mit den technischen Grundlagen, den eingesetzten Geräten und den Überlistungsmöglichkeiten der drei Hauptszenarien beschäftigen. Ein kleiner Ausblick im Vorfeld – das Fälschen eines Fingerabdrucks ist nicht allzu schwer, aber mehr dazu im Vortrag. Zu guter Letzt weise ich noch auf die Gefahren der Biometrie-Nutzung, anhand von ausgewählten Beispielen, hin.

 

Alle Interessierten finden auf den Veranstaltungsseiten weitere Informationen sowie die aktuelle Agenda. Sie können sich hier für den DOAG Security Day anmelden.