Die Handvenenerkennung gilt als eine der letzten sicheren Methoden der biometrischen Verifikation und Identifikation, die noch nicht gehackt wurde. Bei dieser wird die Anordnung der Venen der Handinnenfläche, des Handrückens oder eines Fingers mit einem Referenzmuster des Betroffenen abgeglichen. Ein solches Muster stellt regelmäßig ein genetisch bestimmtes personenbezogenes Unikat dar, das vermeintlich fälschungssicher ist, auch da sich die Venen naturgemäß nicht so leicht ausspähen lassen wie etwa der Fingerabdruck. Zudem bleibt die Anordnung der Venen zeitlebens unverändert, sofern man sich nicht einen komplizierten Bruch zufügt.
Vor allem im Hochsicherheitsbereich dient die Venenerkennung etwa als Zutrittskontrollsystem von Rechenzentren, wird aber auch in Krankenhäusern oder als Verifikation bei Bankautomaten (vor allem in Japan) eingesetzt. Aus diesem Grund könnte – je nach Einzelfall – eine solche Zutrittskontrolle oder Verifikation eine angemessene technische und organisatorische Maßnahme zur Datensicherheit (Art. 32 DSGVO) darstellen, auch wenn hierbei höchst sensible personenbezogene Daten (Art. 9 Abs. 1 DSGVO) verarbeitet werden – sofern diese Datenverarbeitung tatsächlich vor Missbrauch gefeit ist.
Ist die Handvenenerkennung denn überhaupt sicher? In der Ankündigung ihres Talks versprechen die Vortragenden vollmundig, „die Verteidigungsanlagen dem Erdboden gleich [zu machen]“. Und man kann konstatieren, dass die Systeme der beiden japanischen Hersteller mit einigem Aufwand tatsächlich ausgetrickst werden können. So lassen sich Handvenenbilder mittels handelsüblicher Spiegelreflexkamera und anschließender Bildbearbeitung (Erhöhung des Kontrasts etc.) erstellen, die ausgedruckt und auf Attrappen wie etwa eine Hand oder einen Finger aus Bienenwachs appliziert einem Abgleich durchaus standhalten. Wenngleich die Techdemo einige kleinere Anlaufschwierigkeiten hatte (das haben Demos aber nun mal so an sich), lässt sich festhalten, dass auch dieses biometrische Verfahren ohne Verknüpfung mit anderen biometrischen Merkmalen (Lebenderkennung, Handwärme etc.) allein nicht (mehr) sicher ist.
P.S.: Der direkte Link zum Talk wird nachgereicht, sobald die Aufzeichnung online ist.