Biometrische Authentifizierung – Bequemlichkeit für User, Herausforderung für Unternehmen
Ein Durchschnittsverbraucher hat über 100 verschiedene Konten – und jedes davon benötigt eine Authentifizierungsmethode. Doch würden Sie sich mehr als 100 Passwörter merken? Wahrscheinlich nicht. Aus diesem Grund verwenden viele User Einheitspasswörter, die selten gewechselt werden. Problem: Wird von einem Hacker einmal das Passwort geknackt, hat er dann auch Zugang zu fast allen Konten.
Deshalb sind in Zeiten zunehmender Vernetzung skalierbare Authentifizierungsmethoden gefragt. Mit der Identitätsfeststellung über biometrische Merkmale, also physiologische oder verhaltenstypische Eigenschaften einer Person, die diese eindeutig charakterisieren, werden neue Möglichkeiten geschaffen.
Nicht neu, aber im Trend
Authentifizierung über biometrische Merkmale ist nicht neu. Erste Fingerabdruckerkennungen wurden bereits in den 70er-Jahren mit dem Aufkommen erster Computersysteme automatisiert. Biometrische Authentifizierungsmethoden wurden in der Anfangszeit (und werden noch heute) im Bereich der Strafverfolgung, für Grenzkontrollen und für Terrorismusfahndungen eingesetzt. Auch für Eintrittskontrollen für Hochsicherheitsbereiche bis hin zur Kontrolle auf Datenbestände fanden und finden biometrische Methoden Anwendung.
Lange Zeit wurde die breite Akzeptanz dieser Methoden durch die hohen Kosten der benötigten Geräteausstattung ausgebremst, mittlerweile sind aber (z.B. Fingerabdruck und Gesichtserkennung) auch im Massenmarkt angekommen, wo dafür geeignete Scanner z.B. in Smartphones, Tastaturen oder sogar Automobilschlüssel verbaut werden.
Mittlerweile gibt es sehr viele Techniken, die sich für die biometrische Authentifizierung entwickelt haben. Viele davon sind bereits sicherlich auch in Ihrem Alltag angekommen, manche werden bisher eher in Unternehmen mit hohen Sicherheitsstufen angewendet:
- Fingerabdruck: Bei der Authentifizierung via Fingerabdruck scannen Sensoren in wenigen Millisekunden die Linienverläufe, Schlingen und Verzweigungen des Fingerabdrucks, die so genannten Minutien. Um eindeutig den Fingerabdruck einem Menschen zuzuordnen, reichen bereits 14 Minutien aus. Die Identifikation mit dem Fingerabdruck findet immer mehr Akzeptanz unter der Bevölkerung und kommt daher auch immer mehr im Massenmarkt an. Mittlerweile gibt es viele Smartphones und andere Geräte, die sich z.B. ganz einfach mit dem Fingerabdruck entsperren lassen.
- Handgeometrie: Bei dieser Authentifizierungstechnik wird die Geometrie der Hand, insbesondere die Fingerlänge der zu authentifizierenden Person gemessen. Zum Einsatz kommt diese Methode z.B. auf dem New Yorker Flughafen: Dort können Geschäftsreisende, die häufiger in die USA fliegen, sich mittels Handgeometrie schnell authentifizieren und sparen sich so das Anstehen. Sie besitzen dann eine Smartcard, die den Referenzwert ihrer Handgeometrie enthält und brauchen bei der Einreise nur noch ihre Hand auf das Lesegerät legen, welches den aktuellen mit dem gespeicherten Wert vergleicht.
- Iris und Retina: Bei diesen Systemen werden 266 charakteristische Attribute gemessen, die von Person zu Person in höchstem Maße unterschiedlich sind. Die Regenbogenhaut wird dafür mit einer Videokamera aus einem sehr kurzen Abstand aufgenommen und die entsprechenden Charakteristika abgeleitet.
- Gesichtserkennung: Bei dieser Authentifizierungsmethode erfolgt eine Identifikation anhand der Gesichtszüge einer Person. Dies wird bereits in vielen Smartphones und mobilen Endgeräten eingesetzt, ist aber nicht immer einfach. Denn aufgrund von veränderten Merkmalen (z.B. andere Frisuren, Mimik, Brillen) kann eine Authentifizierung nicht immer funktionieren. Deswegen werden meist mehrere Referenzwerte unter verschiedenen Umständen mit einer Videokamera aufgenommen.
- Handvene: Eine eher neuere Methode ist die Registrierung via Handvenen. Hierbei wird vom Scanner die Venenstruktur der Hand mithilfe eines Infrarotstrahls gemessen und mit einem hinterlegten Muster verglichen.
- Stimme: Bei der Stimmerkennung erfolgt eine Messung der Tonvibration. Dann werden diese mit bereits bestehenden Mustern abgeglichen. Zu diesem Zweck müssen die zu authentifizierenden Personen meist im Vorhinein festgelegte Passwörter oder bestimmte Sätze einsprechen, damit ein späterer Vergleich erfolgen kann.
Stimmbiometrie im Boom
Die letztere Methode erlebt seit ungefähr zwei Jahren einen Aufwärtstrend, obwohl gerade Stimmbiometrie vielerorts noch viel Skepsis erntet. Dabei hat die Authentifizierung über die eigene Stimme viele Vorteile, denn sie ist praktisch immer verfügbar – und man muss sich eben keine 100 Passwörter merken.
Mittlerweile wird Stimmbiometrie in vielen Bereichen eingesetzt. Denkt man nur an Alexa oder Siri, wird einem bewusst, wie sehr Spracherkennung bereits im Alltag zur Interaktion mit dem Internet of Things eingesetzt wird. Spracherkennung wird auch bei Contact Centern am Telefon genutzt, wo – vor allem bei Banken wie Barclays oder Santander – die Stimme als Ersatz zum Passwort dient.
Apple meldet Patent zur Stimmerkennung an
Auch Apple springt auf diesen fahrenden Zug auf und hat sich neben Touch ID und Face ID nun eine zusätzliche Methode patentieren (Quelle: http://patft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.htm&r=1&f=G&l=50&s1=10102359.PN.&OS=PN/10102359&RS=PN/10102359) lassen, um ein iPhone zu entsperren. Bei diesem Patent von Apple handelt es sich laut Beschreibung um einen textunabhängigen Stimmabdruck des Users, der über dessen individuelle Sprecheigenschaften gebildet wird. Es ist also kein Sprachkommando notwendig, nur das natürliche Sprechen soll bereits zur Stimmerkennung dienen. Kommt es dabei zu Problemen, kommen alternative Entsperrmethoden zum Einsatz. Ob und wann die Stimmerkennung von Apple in iOS implementiert wird, bleibt allerdings bis heute noch abzuwarten.
Sicherheit von biometrischer Authentifizierung
Doch wie sieht es nun eigentlich mit der Sicherheit von biometrischen Daten aus? Darüber gibt es viele Diskussionen, denn natürlich sind biometrische Verfahren schwerer zu faken als Passwörter. Moderne Gesichtsscanner lassen sich auch nicht mehr so leicht austricksen, denn es wird mittlerweile erkannt, ob ein Foto vor die Kamera gehalten wird oder doch die lebende Person in 3D vor dem Gerät sitzt. Wird also im Zuge einer 2-Faktor-Authentifizierung noch eine zusätzliche Methode verwendet, ist diese Methode in ihrer Sicherheit kaum zu schlagen. Außerdem ist die Identifizierung über biometrische Daten für die User sehr bequem. Sie müssen nur ihr Gesicht vor die Kamera halten oder den Finger scannen lassen, um sich schnell und unkompliziert in ihren Konten anmelden zu können.
Schwierig wird es allerdings, wenn die Verfahren zu komplex werden, denn dann werden sie von der breiten Masse schnell nicht mehr akzeptiert. Muss zum Beispiel neben einer Gesichtserkennung noch ein Passwort und eine zusätzliche TAN eingegeben werden, wird es für den Benutzer schnell kompliziert. Ein anderer Punkt ist die Sensibilität der Daten. Stimmaufzeichnungen oder auch Herzschläge sind sehr vertrauliche Informationen, die viele nur ungern preisgeben. So ist der Arbeitsplatz ein sensibler Bereich, an dem das informelle Selbstbestimmungsrecht gefährdet sein kann, wenn z.B. biometrische Geräte (beispielsweise mit Videokamera) zur unbemerkten, allgemeinen Mitarbeiterüberwachung missbraucht werden. Weiterhin könnten durch die zusätzlichen Informationen, die die Geräte aufzeichnen, möglicherweise Rückschlüsse auf Krankheiten wie Diabetes oder Bluthochdruck gezogen werden.
Herausforderungen an Unternehmen
Möchten Unternehmen biometrische Mechanismen zur Authentifizierung nutzen (sei es zur Kunden- oder auch Mitarbeiteridentifizierung), stellt sie dies meist vor Herausforderungen. Denn gerade kleinere oder mittelständische Unternehmen haben nicht das passende Know-How für derartige Prozesse. Deswegen müssten sie dafür mit einem externen Dienstleister zusammenarbeiten, um biometrische Authentifizierung im Unternehmen etablieren zu können, was wiederum zu einer Kostenfrage führt.
Eine weitere Hürde stellt die seit Mai 2018 erneuerte Datenschutzgrundverordnung dar, seit welcher Daten nur noch nach bestimmten Richtlinien und besonders sparsam gespeichert werden dürfen. Denn die Speicherung von sensiblen Daten wie Fingerabdrücken oder Stimmen dürfte dann nicht in Klardaten erfolgen. Es dürfte dann also nur gespeichert werden, ob es sich wirklich um einen Kunden oder Mitarbeiter handelt und es müsste außerdem sichergestellt werden, dass die Daten nicht in einfach zugänglichen und hackbaren Datenbanken abgelegt werden. Ansonsten könnte schnell ein ungutes Gefühl bei Kunden oder Mitarbeitern ausgelöst werden, was dann wiederum zu einem möglichen Vertrauensbruch führen könnte. Vertrauen ist aber in jeden Unternehmen für eine gute Geschäftsbeziehung essentiell.
Fazit
Fakt ist: Die Erfassung der Identität mit biometrischen Daten ist auf dem Vormarsch und bietet einige Vorteile im Bereich der Sicherheit. Auch die Akzeptanz in der Gesellschaft steigt immer mehr. Wie bei jedem Authentifizierungsverfahren muss allerdings im Unternehmen geprüft werden, ob und wie sich biometrische Verfahren sinnvoll einsetzen lassen. Die Eignung von den jeweiligen Verfahren und Mechanismen hängt natürlich davon ab, welche Sicherheitsanforderungen im Unternehmen vorhanden sind. Denn nicht für jedes kleine Unternehmen ist eine Authentifizierung anhand biometrischer Daten notwendig und sinnvoll. Für viele Unternehmen reicht bereits eine einfachere Zugangskontrolle und Authentifizierung.