So (un)sicher ist Biometrie

Immer mehr Unternehmen beginnen biometrische Systeme einzusetzen, um sensible Bereiche und Informationen vor Wettbewerbern und Cyberkriminellen zu schützen. Und auch in private Bereiche dringt Biometrie immer weiter vor. Doch wie sicher sind Fingerabdrücke, Augen und andere einzigartige Körpermerkmale überhaupt?

Klare Sache: Passwörter nerven. Zumindest, wenn man nicht stets 123456 einsetzt und sich an die Sicherheitsspielregeln hält, möglichst komplizierte Passwörter mit vielen Stellen sowie Sonderzeichen einzusetzen und bitte schön für jeden Dienst ein anderes. Die Idee, sich mit Körpermerkmalen anzumelden, bietet dagegen auf jeden Fall Vorteile.

  • Mehr Sicherheit: Biometrische Verfahren beruhen auf der Tatsache, dass Personen eindeutige unveränderliche Merkmale besitzen, die sich zur Identifikation mit Hilfe elektronischer Verfahren nutzen lassen. Zu diesen Merkmalen gehören Fingerabdrücke, die menschliche Stimme, die handschriftliche Unterschrift oder Aufnahmen des Augenhintergrundes (Iris-Scan). So werden physiologische oder verhaltenstypische personengebundene Charakteristika erfasst und nicht nur – wie bei PIN und Passwort – personenbezogene Merkmale. Körpermerkmale sind einzigartig, zudem kann sie der Besitzer weder verlieren noch vergessen. Der Körper selbst mutiert zum Ausweis, zum biologischen Kennwort.
  • Komfort: Biometrie ist in der Anwendung einfach praktisch. Anstatt sich Passwörter merken, notieren oder sonst irgendwo speichern zu müssen oder bestimmte Identitätsnachweise mit sich zu führen, reicht ein Blick in eine Linse oder ein Fingerabdruck. Die Einrichtung biometrischer Technik ist ebenfalls recht einfach.
  • Genauigkeit: Obwohl biometrische Scanner nicht hundertprozentig genau sein können (dazu gleich mehr), arbeitet die Technik nahezu fehlerfrei. Neuste Studien rund um Fingerabdrucksysteme ergaben, dass Einzel-Fingertests zu 98,6 Prozent korrekt waren, Zwei-Finger-Tests eine Genauigkeit von 99,6 Prozent und Vier-Finger-Tests sogar 99,9 Prozent erreichten.
  • Kosten: Die Einrichtung biometrischer Systeme mag zwar teuer sein, die Unterhaltungskosten fallen aber niedriger als bei herkömmlichen Methoden aus. So geht zum Beispiel keine Arbeitszeit durch das regelmäßige Ändern oder Zurücksetzen von Passwörtern verloren. Und falls ein biometrisches System nur einen großen Missbrauch verhindert, kann es einem Unternehmen Millionen einsparen.

Alle biometrischen Messverfahren basieren dabei auf dem demselben Grundprinzip: Vor der biometrischen Autorisation lernt das System den Benutzer kennen, indem es seine Merkmale analysiert und anschließend ein biometrisches Muster davon erzeugt. Scanner und Computer vermessen dazu Gesicht, Iris, Stimme, Finger oder die ganze Hand. Das System speichert dabei nicht komplette Bilder, sondern lediglich auf das Wesentliche reduzierte, ausgewählte Merkmale. Diese werden als so genannte Templates auf einem Server oder einer Smartcard gespeichert und diesen fortan als Vergleichsmuster, wann immer sich ein Mensch identifizieren muss.  Genau an diesem Punkt zeigen sich aber mitunter Schwächen.

Die Schwächen der Biometrie

Trotz der fortgeschrittenen Technologie ist kein biometrisches Verfahren zu 100 Prozent sicher. Zwar sind die Fehlerquoten gering (siehe oben), die Systeme müssen aber zwangsweise mit Messtoleranzen arbeiten. Denn bei verschiedenen Messungen liefern Finger, Auge oder Unterschrift niemals exakt die gleichen Daten, zum Beispiel weil Auge oder Finger in einem anderen Winkel stehen. Die Übereinstimmung lässt sich nur ungefähr feststellen. Darüber hinaus unterliegen biometrisch erfassbare Merkmale einem Veränderungsprozess. Sie verändern sich durch das Altern, Krankheiten, Verletzungen oder bestimmte Lebensumstände. Immerhin haben gute biometrische Verfahren eine hohe Wiedererkennungsrate, vor allem wenn das System das Referenzmodell nach jeder Erkennung dynamisch anpasst.

Das Kopie-Problem

Was passiert aber, wenn jemand eine Kopie der Merkmale erhält? Das ist zwar schwierig, aber nicht unmöglich. Jan Krissler, auch unter seinem Hackernamen Starbug bekannt, hat zum Beispiel inzwischen nahezu jedes biometrische Verfahren überlistet. Seinen spektakulärsten Coup landete er 2014, als er einen Fingerabdruck von Verteidigungsministerin von der Leyen erstellte, basierend auf einem hochauflösenden Pressefoto der Ministerin. Auch den Fingerabdruck-Sensor eines iPhones trickste er mit einer Abdruck-Attrappe aus Holzleim aus und überwand selbst als besonders sicher geltende Zugangssperren auf Basis von Venenscannern mit einer Attrappe aus Bienenwachs. Schaffen es Kriminelle, eine Kopie anzufertigen, fällt einer der Vorteile traditioneller, digitaler Sicherheitsmaßnahmen schon einmal flach: Einfach jederzeit und von jedem Ort aus das Passwort zu ändern. Denn PIN und Passwort lassen sich an andere Personen weitergeben, biologische Eigenschaften dagegen nicht. Änderungen müsse persönlich erfolgen – bis dahin kann ein hoher Schaden entstehen.

Überdies ist Biometrie auf Datenbanken angewiesen – und diese sind anfällig für Attacken. So wurde etwa in den USA 2015 eine Datenbank von Regierungsmitarbeitern gehackt und mehr als fünf Millionen Fingerabdrücke entwendet. Kein Einzelfall. Im Gegensatz zu Passwort-Hacks ist es im Prinzip ein Leben lang möglich, die erbeuteten biometrischen Daten zu missbrauchen. Sollten sie in die Hände Unbefugter gelangen, ist ihr Missbrauch prinzipiell ein Leben lang möglich. Hier kommt erneut das Problem zum Tragen, dass sich nicht einfach ändern lassen, wenn Hacker sie stehlen und sie durch ein Datenbank-Leck im Internet landen.

Fazit

Biometrische Verfahren bieten im Vergleich zu anderen Systemen wie Kennwörtern ein Mehr an Sicherheit und bieten weitere Vorteile. Hundertprozentige Sicherheit können aber auch sie nicht garantieren. Vor allem im Unternehmensbereich sollte sie daher nicht als alleinige Lösung zum Einsatz kommen, sondern idealer Weise bestehende System ergänzen.

Dieser Artikel ist auch verfügbar in: Englisch