Mit zunehmender technischer Entwicklung sind auch immer neue Sicherheitskonzepte gefragt. Das „Passwort“ beim LogIn am Arbeitsplatz, zur Entsperrung des Smartphones oder aber beim Online-Banking hat nach Meinungen vieler Sicherheitsforscher längst ausgedient – zu unsicher seien die Zahlen/Buchstabenkombinationen zur Authentifizierung des berechtigten Besitzers. Und auch etablierte Sicherheitsregeln zur Passwortlänge und regelmäßigen Änderung der Passwörter wurden jüngst hinterfragt.
Einige Unternehmen setzten daher auf die Gesichtserkennung als biometrisches personenbezogenes Datum, die nicht nur die Eingabe eines Passwortes ersetzen, sondern anhand der festgestellten Identität des Nutzers einen höheren Zugangsschutz erreichen soll. Zu denken ist an das Online-Banking oder Bezahlen im Online-Shop via Gesichtserkennungssoftware. So kann in wenigen Momenten festgestellt werden, ob der berechtigte Kunde oder aber ein Fremder die Transaktion vornimmt.
Die IT-Infrastruktur in China
Nach einem Bericht von Technology Review scheinen Behörden und Unternehmen in China bereits einen Schritt weiterzugehen. Demnach wird die Gesichtserkennung zur Personenidentifikation als Sicherheitskontrolle so gut wie an jeder Tür eingesetzt – sowohl beim Banking, Einkauf oder im Eingangsbereich von Unternehmensgebäuden und Bahnhöfen. Mark Zuckerberg hat eine ähnliche Vorstellung der Zukunft, in der sich die Haustüren für Freunde automatisch anhand der Gesichtserkennung öffnen lassen.
Im chinesischen Web, das von Online-Shops und Online-Banking bestimmt wird, ist die Face ID Technologie von der Plattform Megvii (eine Schnittstelle zu externen Anwendungen) ein fester Bestandteil. Die Software dahinter heißt Face++ und stammt von einem Start-Up Unternehmen aus Peking. Wie berichtet wird, nutzen mittlerweile mehr als 300.000 Entwickler in 150 Ländern diese Software, die sich damit auf dem weltweiten Vormarsch befindet. Und mit der KI-basierten Anwendung, die auf Grundlage der Deep Learning Technik durch tausende Bilder lernen und Muster immer exakter vergleichen kann, soll die Fehlerrate des Verfahrens verringert werden. Ebenso wird zumeist ein „Lebendigkeitstest“ verlangt, also die Bewegung des Gesichts und zum Teil auch mit Spracheingabe, um die Manipulation durch die Verwendung eines fremden Bildes zu verhindern.
Mit einem Lächeln den Burger bezahlen
Jüngst wurde bekannt, dass eine chinesische Fast-Food-Kette in der Großstadt Hangzhou nun auch die Bezahlung via Gesichtserkennung ermöglicht. Das sog. „Smile to Pay”-Bezahlsystem wird unter anderem von Partnern des E-Commerce Riesen „Alibaba“ in China eingesetzt und funktioniert denkbar einfach: Der Käufer muss lediglich an einem vorgesehenen Terminal-Rechner in die Kamera lachen und zusätzlich seine Telefonnummer eingeben. Durch die Bestätigung der Mobilfunknummer soll auch mehr Sicherheit gewährleistet werden. Über die technischen Prozesse im Hintergrund ist bislang wenig bekannt.
Es ist aber davon auszugehen, dass sich diesem Trend immer mehr Geschäfte anschließen werden. Unter Umständen wird noch nicht einmal mehr die Eingabe der Telefonnummer benötigt, wenn die Fehleranfälligkeit der Gesichtserkennung weiter abnimmt und eine Personenidentifikation äußerst zielgenau ist. Ähnliches haben auch bereits US-Amerikanische Unternehmen geplant.
Selbstverständlich muss der Nutzer zuvor erst einmal sein Foto inklusive seiner Bankdaten (oder Kreditkartendaten) bei dem Zahlungsanbieter hinterlegen. Also eine Registrierung ist notwendig.
Datenschutz bei der Gesichtserkennung
Was bedeutet diese Technik für den Datenschutz? Nach dem europäischen Verständnis vom Datenschutz bedarf es einer Rechtsgrundlage oder der Einwilligung des Betroffenen für die Aufnahme und Speicherung solcher Fotos / Videos. In China sind hierzu keinerlei datenschutzrechtlichen Regelungen ersichtlich. Ganz im Gegenteil: Diese Verfahren werden von staatlicher Seite aus in der Gesellschaft eingeführt zur Kontrolle und auch zur Bewertung von (unzulässigem) Verhalten / Kreditwürdigkeit. Gesetze mit gegenläufiger Schutzrichtung sind daher nicht auffindbar.
In Deutschland und zukünftig in Europa sieht es anders aus. Die (erstmalige) Erhebung wie auch jede weitere, spätere Verarbeitung der personenbezogenen Daten bedarf einer gültigen Rechtsgrundlage oder aber der Einwilligung des Betroffenen. Immerhin wandeln die aktuellen Systeme mit Gesichtserkennung die Gesichtsmerkmale und -muster des Abgefilmten in bestimmte Hashwerte bzw. Templates um, die als biometrisches Datum (§ 3 Abs. 1 BDSG; Art. 4 Nr. 14 DSGVO) einen individuellen Code bilden und daher besonders schützenswert sind. Anschließend werden diese Muster mit dem „Live-Bild“ verglichen und bei einer Übereinstimmung die Personenidentifikation positiv festgestellt.
Nach der Datenschutz-Grundverordnung (DSGVO) ist eine solche Verarbeitung der biometrischen Daten gemäß Art. 9 Abs. 1 DSGVO sogar grundsätzlich untersagt ist. Daher bedarf es ab dem 25. Mai 2018 der ausdrücklichen Einwilligung des Betroffenen in die Datenverarbeitung oder aber ein besonderes (öffentliches) Interesse, das wiederum an strenge Voraussetzungen geknüpft ist. Theoretisch müsste der Betroffene sogar jeden Morgen beim Gang durch den Sicherheitsbereich erneut ausdrücklich seine Einwilligung in die anschließende Videoaufnahme abgeben, wenn dies eine neue Aufzeichnung und Verarbeitung seiner biometrischen Daten bedeutet. Indes wird sich dies in der Praxis nicht bewerkstelligen lassen.
Die hohen gesetzlichen Anforderungen bestehen aus gutem Grund: So betrifft dieses Verfahren nahezu einzigartige, nur der betroffenen Person zuordenbare natürliche Merkmale, anhand derer sie jederzeit identifizierbar ist. Anders als bei einem Passwort oder mechanischen Schlüssel „haftet“ dieser Faktor dem betroffenen Menschen nahezu sein Leben lang an. Mittlerweile und dank der verbesserten Software auf Grundlage der KI lässt sich die Personenzuordnung selbst trotz größerer Veränderungen, z.B. durch einen anderen Haarschnitt, dem Tragen einer Brille oder aber durch die natürlichen Alterungsprozesse kaum verhindern. Deshalb führt die verbesserte Technik der Videokameras und Software zur Optimierung der Personenfeststellung.
Risiken und Gefahren
Die Gesichtserkennung zur Authentifizierung mittels des biometrischen Faktors galt lange Zeit als zukunftsweisend, würde dieses Passwörter und Schlüssel ersetzen und insgesamt Risiken und Betrugsmethoden verringern. Nicht zuletzt würde es das Leben vereinfachen.
Dieses visionäre Bild ist längst zerbröckelt. So hat beispielsweise hierzulande der Chaos Computer Club bereits ausgiebig die Schwachstellen der Systeme mit Iris-Scan aufgezeigt und veranschaulicht, wie sich beispielsweise das Handy von Angela Merkel anhand eines Fotos öffnen ließe. Sogar das aktuellste Samsung-Flaggschiff konnte demnach in wenigen, einfachen Schritten geknackt werden. Es bedarf lediglich eines hochauflösenden Fotos des Benutzers, das großflächig ausgedruckt und mit einer Wölbung der Iris vor der aktiven Kamera gehalten wird, um das Smartphone zu entsichern.
Die nächste Generation der Gesichtserkennungssoftware, die beispielsweise Bewegungen anstelle eines starren Bildes erforderlich macht, soll kaum schwieriger zu überwinden sein. Und was passiert erst beim Identitätsdiebstahl? Der Täter hätte dann in seinem Handeln freien Lauf und kommt durch jede Tür.
Bei allen vermeintlich positiven Aspekten der schnellen Authentifizierung durch die Gesichtserkennung werden die Möglichkeiten zur (staatlichen) Überwachung des Einzelnen vergessen. In diesem Zusammenhang gilt es, sich die schnelle Auffindbarkeit einer Person und sogar die Verbrecherjagt in den sozialen Netzwerken oder Überwachungssystemen vor Auge zu führen.
Blick nach Deutschland
Die digitale Welt Chinas ist hierzulande (noch) nicht greifbar. Auch in nächster Zeit dürften in Deutschland die Türschlösser, Drehkreuze und TAN-Listen noch einen festen Platz im Alltag einnehmen. Allerdings kommen vermehrt alternative Sicherheitssysteme auf Grundlage biometrischer Faktoren auf den europäischen Markt, wie z.B. die Verhaltensanalyse beim Online-Banking.
Und im Hinblick auf die jüngsten Entwicklungen im Bereich der öffentlichen Videoüberwachung lässt sich ein Bild aufzeichnen, das auf Ebene der staatlichen Überwachungsmechanismen die chinesischen Verhältnisse näher heranholt als manch einem lieb ist.