In unserer schnelllebigen Welt vergeht die Zeit wie im Flug. Begriffe wie Zeitmanagement, Deadlines und Kalenderplanung sind inzwischen Alltag. Somit lautet das Motto der Gegenwart: „Zeit sparen!“
Passend zu diesem Motto bieten sich biometrische Authentifizierungsverfahren, wie der Scan des Fingerabdrucks und die Gesichtserkennung, an. Einmal an den Scanner und schon kann das gewünschte System benutzt werden oder eine Tür öffnet sich. Lange und komplizierte Passwörter merken und eingeben, gehört somit in die Vergangenheit. Außerdem bietet diese Erkennung den Benutzern zusätzlichen Komfort und Bequemlichkeit. Gründe, die definitiv dazu beitragen, dass diese Verfahren immer beliebter werden.
Wie sicher ist eine biometrische Authentifizierung?
Können der Fingerabdrucksensor, die Gesichtserkennung oder der Iris-Scan überlistet werden?
Theoretisch ja. Die eigentliche Antwort ist jedoch etwas komplexer.
Zunächst sollte grob geklärt werden, wie eine biometrische Technologie die Identität einer Person authentifiziert. Nehmen wir als Beispiel einen Fingerabdruckscanner (auch kurz Fingerscanner genannt). Das System erfasst zuerst die biometrischen Daten und erstellt aus diesen ein Muster (sog. Template), welches für spätere Vergleiche abgespeichert wird. Danach kann anstatt der Passworteingabe der Finger auf den Sensor gelegt werden, anschließend prüft das Gerät den Finger und die Übereinstimmung mit den zuvor erfassten Daten. Mittlerweile stehen vielfältige Scanner zur Verfügung: von kapazitiven Scannern über optische Scanner bis hin zu Ultraschallscannern. Deswegen ist hier wichtig, welche Art Scanner überhaupt eingesetzt wird.
Der nächste Punkt sind die möglichen Fälschungsmethoden eines Fingerabdrucks. Üblicherweise werden im Alltag überall Fingerabdrücke hinterlassen: auf Türklinken, Tassen, Gläsern, Tastaturen etc. Jeder, der Zugriff auf den betreffenden Fingerabdruck hat, kann einen Abdruck davon erstellen, ihn in die erstrebte Zielform umwandeln und den Sensor austricksen. Für den Normalbürger ist diese Vorgehensweise jedoch komplizierter und kostspieliger als der Versuch, das eingetippte Passwort beim „über die Schulter schauen“ zu erraten. Da Menschen leider dazu neigen, leicht zu merkende Passwörter zu wählen oder dasselbe Passwort für verschiedene Dienste und Geräte zu verwenden, ist das Erraten von Passworten kein Hexenwerk.
Cyberkriminelle sind einfallsreich und haben eine Reihe von Methoden, um Sensoren zu umgehen. Illegal erworbene biometrische Daten können zum Täuschen verwendet werden. Es existieren bspw. Selfie-Apps, die nicht nur biometrische Daten für die Gesichtserkennung erheben, sondern diese zudem an Dritte verkaufen, auch Fingerabdrücke können ganz einfach gekauft werden. Da aber die meisten Geräte mittlerweile zusätzlich die Lebenderkennung integriert haben, reicht ein einfacher Fingerabdruck oft nicht mehr aus, um den Scanner zu umgehen. Als Benutzer kann man jedoch nicht erkennen, ob der Sensor eine Lebendprüfung durchführt. Erwähnenswert ist auch, dass Fingerabdrücke virtuell gehackt werden können. Eine App kann theoretisch die Bildschirmanzeige mit der Aufforderung zum Entsperren imitieren, somit den Fingerabdruck erfassen und anschließend den Zugang zu dem Gerät möglich machen. Zudem gelang es Sicherheitsforschern die geringe Auflösung von Fingerabdrucksensoren auszunutzen und einen Masterfingerabdruck zu erstellen, der die typischen Merkmale vieler Finger enthält und die Möglichkeit bietet, auf Geräte verschiedener Benutzer unautorisiert zuzugreifen. Daher ist hier der Appell an die Hersteller: Es sollten qualitative Fingerabdrucksensoren verbaut werden, um solche Angriffe zu verhindern. Außerdem wäre es wünschenswert, Informationen wie, welcher Sensor ist verbaut oder ist die Lebenderkennung integriert, zu bekommen.
Gültigkeitsdauer einer biometrischen Authentifizierung
Ein weiterer Punkt, der oft nicht in Betracht gezogen wird, ist die Gültigkeit bzw. der Verlust dieser biometrischen Authentifizierung. Was passiert, wenn der benutzte Finger sich aufgrund einer Narbe nach einer Verletzung verändert? Kann das System diesen dann noch identifizieren? Ein weiterer Aspekt ist die Zurücksetzung der vorher festgelegten Authentifizierung. Wird bspw. ein Passwort gehackt, so kann der Administrator es im Normalfall wieder zurücksetzen und das Problem ist behoben – anders als bei der Identifikation mittels Fingerabdrucks. Natürlich gibt es noch weitere Finger, die man benutzen könnte, aber die Anzahl der Finger ist auf Zehn beschränkt. Insbesondere der Gedanke, dass staatliche Organisationen Fingerabdrücke sammeln und sie zur Authentifizierung nutzen, ist in diesem vorher erläutertem Fall äußerst beunruhigend.
Die biometrischen Daten selbst sollten bestmöglich geschützt werden, um eine missbräuchliche Verwendung möglichst auszuschließen. Hier sollte man sich als Angestellter die Frage stellen, will man überhaupt, dass das Unternehmen, falls dies der Fall ist, den Fingerabdruck für das eigene System erhebt und benutzt. Wie will das Unternehmen diese sensiblen Daten überhaupt schützen? Kann man oder will man der Firma trauen?
Fazit
Biometrie ermöglicht eine schnelle und einfache Verifizierung, deshalb sind diese Systeme mittlerweile unverzichtbar geworden. Da die Möglichkeit der Fälschung von biometrischer Authentifizierung nicht auszuschließen ist, sollte das Gesamtsystem, wenn die Sicherheitsanforderungen entsprechend hoch sind, durch eine Zwei-Faktor- oder Multi-Faktor-Authentifizierung unterstützt werden. Einfache Systeme bzw. Sensoren können überlistet werden. Demnach sollten Unternehmen vor der Einführung eines solchen Systems den Möglichkeiten des Täuschens bewusst sein und sich über das eingesetzte Gerät genau informieren. Biometrische Systeme beinhalten eindeutige Merkmale der betroffenen Person, die auch sensible Informationen enthalten können. Sind diese Daten erst einmal kompromittiert, sind sie nicht einfach widerruf- oder ersetzbar. Außerdem ist die Anzahl der biometrischen Merkmale einer Person begrenzt. Zusammenfassend kann man sagen, dass die Imitation eines Fingerabdrucks ein aufwendiger Vorgang ist, weshalb sich die Gefahr für den Privatnutzer in Grenzen hält, jedoch im Arbeitsumfeld vorsichtiger zu betrachten ist. Zu merken: Kein System ist zu hundert Prozent sicher.
15. November 2022 @ 14:29
Die Gefahr des Verlustes von biometrischen Daten kann meines Erachtens nach gar nicht überbewertet werden. Wenn der Fingerabdruck/Irisscan, … einmal bei einer Datenpanne geleaked wird und so im Internet landet ist dieses biometrische Merkmal potenziell für immer „verbrannt“ bzw. nie wieder vertrauenswürdig. Wenn man sich anschaut, wie häufig Datenpannen und Hacks in den letzen Jahren vorkommen und welche Unternehmen/Behörden (groß und klein) dabei erwischt werden, läuft es mir kalt den Rücken herunter. Wenn man das mit dem mangelnden Bewusstsein für Datenschutz und IT-Sicherheit bei den Verantwortlichen Unternehmen/Behörden/Politikern(Digital First, Bedenken Second…), … koppelt, ist das absolut kein schönes Bild.
15. November 2022 @ 7:59
Die Gesichtserkennung beim Microsoft-Geräten scheitert schon bei Zwillingen. Bei Apple bestimmt auch – da konnte ich es selbst nur noch nicht testen.
14. November 2022 @ 10:57
Die Sicherheit und Zuverlässigkeit des Verfahrens ist ein Aspekt, die Zulässigkeit eine andere. Als bei uns z. B. im Raum stand ein Zeiterfassungsterminal mit Fingerabdruckscanner anzuschaffen habe ich interveniert, weil das Ziel auch mit weniger invasiven Mitteln erreicht werden kann (RFID). Die Missbrauchswahrscheinlichkeit ist gering.
Wenn ich sehe, was andere Firmen an unwichtigen Bereichen/Funktionen mit Biometrie sichern, frage ich mich auch wo da der Betriebsrat war…