„Endlich ist es soweit“ – Mastercard will ab Sommer 2016 nun Selbstaufnahmen und Fingerabdrücke als Passwortersatz für Onlinetransaktionen verwenden, so berichtet es BBC. Nach verschiedenen durchgeführten Tests einiger Unternehmen im letzten Jahr (wir berichteten hier und hier) und dem Start einer Pilotphase von Mastercard in den USA und in den Niederlanden geht es jetzt in die heiße Phase.

Zunächst sollen die neuen Anwendungen bei Mastercard unter anderem in der Schweiz, Belgien, Finnland, Frankreich, Großbritannien, Italien, USA aber auch in Deutschland starten. Nachdem in der Testphase sage und schreibe über 90 Prozent der Nutzer beim Bezahlen die Authentifizierung mittels biometrischer Daten, sei es nun ein Selfie oder Finderabdruck, der klassischen Pin-Eingabe vorgezogen hätten, sieht Mastercard den Weg in den Alltag als geebnet an. Bedenkt man jedoch, dass der Test in den USA durchgeführt wurde, die mit dem in Deutschland fundamentalen Recht auf informationelle Selbstbestimmung nicht gerade viel anfangen können, ist es mehr als fraglich, ob sich diese Prozentzahl tatsächlich in der Praxis durchsetzt.

Und wie genau?

Die generelle Funktionsweise ist dabei recht simpel. Zur Erinnerung: Der Nutzer benötigt eine App. Diese nimmt dann die Überprüfung vor. Dabei gibt der Nutzer, wenn er eine Transaktion vornehmen möchte, seine Kreditkartennummer ein und wählt dann eine Authentifizierungsmethode. Entscheidet er sich insofern für die Gesichtserkennung, macht er ein Foto von sich bei dem er jedoch auf Anweisung der Anwendung in die Kamera blinzeln muss. So will Mastercard sicherstellen, dass kein unberechtigter Dritter einfach nur ein Bild von dem Kreditkarteninhaber vor die Kamera hält.

Wenn sie sich beim Warten in der Supermarktschlange also zukünftig wundern, warum der Bezahlende anstatt zum Portemonnaie lieber zum Handy greift und dieses „wild“ anblinzelt, brauchen sie nicht irritiert zu sein.

Soweit, so gut. Das Problem liegt nun auf der Hand. Um einen zutreffenden Abgleich gewährleisten zu können, müssen biometirische Daten der Nutzer in einer (Cloud)-Datenbank hinterlegt sein, die dann mit den Daten vom geschossenen Bild verglichen werden können. Damit besteht nicht nur das altbewährte Problem von hinterlegten personenbezogenen Daten, sondern vielmehr das Problem der Speicherung von biometrischen Daten. Dass derartige höchstpersönliche Daten, bei denen der Personenbezug aufgrund deren Unveränderbarkeit immanent ist, bieten sie – einmal übergeordnet gespeichert – interessante Angriffsziele in verschiedensten Bereichen.

Reale Zukunftsmusik?

Dies bleibt abzuwarten. Klar ist, dass sich Technologien stetig fortentwickeln und neue Methoden, mit dem oft suggerierten gesteigerten Sicherheitsaspekt für den Nutzer, entwickelt werden. Der bürokratischen Aufwand wir deutlich verringert, aber zu welchem Preis für den Nutzer.

Vorliegend bleibt jedoch zudem fraglich, ob diese Methoden tatsächlich effektiver bzw. sicherer sind, als die klassische Eingabe eines vierstelligen Pins. Gleichwohl ist die Gesichtserkennung an sich nicht die merkwürdigste Methode zur Authentifizierung. Von noch weit merkwürdigen Methoden, wie beispielsweise dem Abgleich mit dem Herzschlag des Nutzers, machten wir in einem Beitrag aufmerksam. Aber bis sich dies alles dann auch im Alltag etabliert hat, wird es wohl (hoffentlich) noch eine lange Zeit dauern.