Zum Hauptinhalt springen

Die Biometrie wird immer häufiger als zusätzliche Schutzschicht sowohl für private als auch betriebliche Sicherheitssysteme eingesetzt. Angesichts der Einmaligkeit von biometrischen und Verhaltensdaten könnte man davon ausgehen, dass sie absolute Sicherheit bieten. Trotzdem sind stehen viele der Euphorie skeptisch gegenüber, wenn es darum geht, sie als Allheilmittel der Authentifizierung anzusehen.

In der modernen Cybersicherheit konzentriert man sich darauf, die Risiken für diese leistungsstarke Sicherheitslösung zu minimieren: Schließlich waren herkömmliche Passwörter lange Zeit ein Schwachpunkt von Sicherheitssystemen. Um diese Schwachstelle auszuräumen, verbindet man mit der Biometrie den Identitätsnachweis mit dem menschlichen Körper und menschlichen Verhaltensmustern.

In diesem Artikel erläutern wir, wie biometrische Daten im Bereich der Cybersicherheit eingesetzt werden können. Dazu gehen wir auf die folgenden Fragen ein, die häufig im Zusammenhang mit Biometrie auftauchen:

  • Was bedeutet Biometrie?
  • Was sind biometrische Daten?
  • Was ist ein biometrischer Scanner?
  • Welche Risiken birgt die biometrische Sicherheit?
  • Wie lässt sich die Biometrie sicherer machen?

Lassen Sie uns zunächst mit den Grundlagen beginnen.

Was ist Biometrie?

Hier eine kurze Definition des Begriffs: Biometrische Daten sind biologische Messwerte – oder physische Merkmale –, die der Identifizierung von Personen dienen. Abgleich per Fingerabdruck, Gesichtserkennung und Retina-Scans sind vermutlich die bekanntesten Formen dieser Technologie. Doch es gibt viele weitere:

Forschern zufolge sind auch die Form eines Ohrs, die Art, wie jemand sitzt und geht, individuelle Körpergerüche, Venenmuster auf der Hand und sogar Gesichtszüge eindeutig zuweisbare Merkmale. Diese Merkmale definieren die Biometrie weiter.

Drei Arten von biometrischer Sicherheit

Obwohl auch andere Einsatzmöglichkeiten denkbar sind, wird die Biometrie häufig im Bereich der Sicherheit eingesetzt, wo man kann sie in drei Gruppen einteilen kann:

  1. Biologische Biometrie
  2. Morphologische Biometrie
  3. Verhaltensbiometrie

Bei der biologischen Biometrie werden Merkmale auf genetischer und molekularer Ebene genutzt. Dazu gehören Merkmale wie DNA oder Ihr Blut, das mittels einer Probe Ihrer Körperflüssigkeiten untersucht wird.

Bei der morphologischen Biometrie geht es um die physische Struktur Ihres Körpers. Dabei werden physische Merkmale wie Ihre Augen, Fingerabdrücke oder die Form Ihres Gesichts aufgenommen und anschließend von einem Sicherheitsscannern abgeglichen.

Die Verhaltensbiometrie beruht demgegenüber auf Mustern, die für jede Person einzigartig sind. Wie Sie gehen, sich artikulieren und sogar die Art und Weise, wie Sie Eingaben auf einer Tastatur machen, lässt eindeutige Rückschlüsse auf Sie als Person zu, wenn diese Muster aufgezeichnet werden.

Biometrische Sicherheit funktioniert

In unserer alltäglichen Sicherheit spielt die Biometrie als Identitätsnachweis eine immer größere Rolle. Körpermerkmale sind relativ fest und selbst bei Zwillingen individuell. Die einzigartige biometrische Identität eines jeden von uns kann die Passwortsicherheit bei Computern, Telefonen sowie in Sicherheitsbereichen und abgeschlossenen Gebäuden ersetzen oder zumindest ergänzen.

Nachdem die biometrischen Daten erfasst und zugeordnet wurden, müssen sie gespeichert werden, damit sie bei künftigen Zugangsversuchen zum Abgleich zur Verfügung stehen. Meistens werden diese Daten verschlüsselt und im Gerät oder auf einem Remote-Server abgelegt.

Biometrische Scanner sind Geräte, die man benötigt, um die biometrischen Daten bei der Identitätsprüfung zu erfassen. Diese Scans werden mit den gespeicherten Daten einer Datenbank abgeglichen, um den Zugang zum System freizugeben oder zu verweigern.

So wird bei der biometrischen Sicherheit Ihr Körper zum „Schlüssel“, der Ihnen den Zugang freischaltet.

Biometrische Daten bieten im Wesentlichen zwei Vorteile:

  • Sie sind einfach zu nutzen: Ihre biometrischen Daten haben Sie immer dabei, Sie können sie nicht verlieren oder vergessen.
  • Sie sind schwer zu stehlen oder nachzuahmen: Biometrische Daten können nicht wie ein Passwort oder ein Schlüssel gestohlen werden.

Auch wenn diese Systeme nicht perfekt sind, so sind sie für die Zukunft der Cybersicherheit doch äußerst vielversprechend.

Beispiele für biometrische Sicherheit

Hier sind einige typische Anwendungsbeispiele von biometrischer Sicherheit:

  • Spracherkennung
  • Fingerabdruck-Scans
  • Gesichtserkennung
  • Iris-Erkennung
  • Herzfrequenz-Sensoren

In der Praxis hat sich die biometrische Sicherheit in vielen Branchen bereits bewährt.

Mithilfe komplexer biometrischer Daten werden zum Beispiel vertrauliche Dokumente und Wertgegenstände geschützt. Die Citibank verwendet bereits Spracherkennung, und die britische Bank Halifax testet Geräte, mit denen die Identität der Kunden per Herzschlagüberwachung verifiziert wird. Ford zieht sogar in Betracht, biometrische Sensoren in Autos zu verbauen.

Biometrische Daten werden auf der ganzen Welt in elektronische Reisepässe integriert. In den USA sind elektronische Reisepässe mit einem Chip ausgestattet, auf dem ein digitales Foto von Gesicht, Fingerabdruck oder Iris gespeichert ist. Zudem sind die Reisepässe mit einer Technologie ausgestattet, die verhindert, dass der Chip von unbefugten Datenlesern gelesen und die Daten ausgespäht werden können.

Mit der zunehmenden Verbreitung treten die praktischen Vor- und Nachteile dieser Sicherheitssysteme immer klarer zutage.

Sind biometrische Scanner sicher? – Verbesserungen und Bedenken

Biometrie-Scanner werden immer ausgeklügelter. Biometrische Daten werden sogar eingesetzt, um Telefone zu entsperren. Die Technik zur Gesichtserkennung auf dem iPhone X von Apple beispielsweise projiziert 30.000 Infrarotpunkte auf das Gesicht des Benutzers, um diesen anhand eines Musterabgleichs zu authentifizieren. Die Wahrscheinlichkeit eines Fehlers beim Abgleich mit den biometrischen Daten auf einem iPhone X liegt nach Angaben von Apple bei eins zu einer Million.

Das Smartphone LG V30 kombiniert Gesichts- und Spracherkennung mit Fingerabdruck-Scans und speichert die Daten für mehr Sicherheit ausschließlich auf dem Telefon. Der Sensoren-Hersteller CrucialTec verknüpft seine Fingerabdruck-Scanner mit einem Herzfrequenz-Sensor, um eine zweistufige Authentifizierung zu erzielen. So lässt sich sicherstellen, dass mithilfe geklonter Fingerabdrücke nicht auf die Systeme des Unternehmens zugegriffen werden kann.

Die Herausforderung besteht darin, dass Biometrie-Scanner, einschließlich Gesichtserkennungssystemen, ausgetrickst werden können. Forscher an der US-amerikanischen University of North Carolina at Chapel Hill luden Fotos von 20 Freiwilligen aus den Social Media herunter und verwendeten diese Fotos für die Konstruktion eines 3D-Modells der Gesichter. Die Forscher knackten erfolgreich vier der fünf getesteten Sicherheitssysteme.

Beispiele für geklonte Fingerabdrücke finden sich überall. Bei der Cybersicherheits-Konferenz „Black Hat“ wurde gezeigt, dass ein Fingerabdruck mit Materialien im Wert von 10 US-Dollar innerhalb von etwa 40 Minuten zuverlässig geklont werden kann, indem man den Fingerabdruck einfach aus Kunststoff oder Kerzenwachs nachbildet.

Der deutsche Chaos Computer Club hackte den Touch ID-Fingerabdruck-Scanner von Apple innerhalb von zwei Tagen nach Markteinführung. Die Hacker fotografierten einfach einen Fingerabdruck auf einer Glasoberfläche und entsperrten damit das iPhone 5s.

Biometrie: Fragen des Identitäts- und Datenschutzes

Biometrische Authentifizierung ist praktisch, aber Datenschützer befürchten, dass die biometrischen Sicherheitssysteme die Privatsphäre untergraben. Sorge bereitet, dass persönliche Daten zu leicht und ohne Zustimmung gesammelt werden könnten.

Gesichtserkennung gehört in chinesischen Städten beim Einkaufen in Geschäften zum Alltag. London ist bekannt für seine vielen Überwachungskameras. Und New York, Chicago und Moskau verlinken mittlerweile ihre Überwachungskameras mit Gesichtserkennungs-Datenbanken, um die örtliche Polizei bei der Verbrechensbekämpfung zu unterstützen. Die Carnegie Mellon University in den USA führt die Technologie noch weiter und entwickelt zurzeit eine Kamera, die die Iris einzelner Personen in einer Menschenmenge aus einer Entfernung von zehn Metern scannen kann.

Ab 2018 wurde die Gesichtserkennung auch am Flughafen Dubai eingesetzt. Reisende passieren dort einen Tunnel in einem virtuellen Aquarium, wo sie von 80 Kameras fotografiert werden.

Gesichtserkennungs-Kameras sind auch an anderen Flughäfen auf der ganzen Welt bereits in Betrieb, wie etwa an den Flughäfen in Helsinki, Amsterdam, Minneapolis-Saint Paul und Tampa. Alle diese Daten müssen irgendwo gespeichert werden, was die Angst vor ständiger Überwachung und Datenmissbrauch schürt ...

Biometrie: Bedenken bezüglich der Datensicherheit

Ein besonders drängendes Problem ist, dass Datenbanken mit persönlichen Informationen Ziele von Hackern sind. Zum Beispiel: Als das U.S. Office of Personnel Management im Jahr 2015 gehackt wurde, erschlichen sich Cyberkriminelle Zugang zu den Fingerabdrücken von 5,6 Millionen Regierungsmitarbeitern, die potentiell für Identitätsdiebstahl missbraucht werden konnten.

Die Speicherung biometrischer Daten auf einem Gerät – wie etwa per Touch ID oder Face ID auf dem iPhone – gilt als sicherer als die Speicherung bei einem Dienstleister, selbst wenn die Daten verschlüsselt sind.

Dieses Risiko ist vergleichbar mit dem einer Passwortdatenbank: Hacker können das System knacken und Daten stehlen, die nicht effektiv gesichert sind. Die Auswirkungen sind jedoch sehr unterschiedlich. Wenn ein Passwort in die falschen Hände gerät, kann es geändert werden. Biometrische Daten hingegen bleiben für immer gleich.

Wege zum Schutz der biometrischen Identität

Angesichts der Risiken für die Privatsphäre und die Sicherheit müssen bei biometrischen Systemen zusätzliche Schutzmaßnahmen ergriffen werden.

Unbefugter Zugriff wird schwieriger, wenn für Systeme mehrere Authentifizierungsmethoden erforderlich sind, wie z. B. das Erkennen von menschlichen Bewegungen (wie etwa Blinzeln) und der Abgleich von codierten Proben mit Benutzern innerhalb verschlüsselter Domänen.

Einige Sicherheitssysteme arbeiten außerdem mit zusätzlichen Merkmalen, wie z. B. Alter, Geschlecht und Körpergröße, die in die biometrischen Daten einfließen und so Schutz vor Hackern bieten.

Das Programm der Unique ID Authority of India Aadhaar in Indien ist ein gutes Beispiel hierfür. 2009 wurde in Indien ein mehrstufiges Authentifizierungsprogramm eingeführt, bei dem Iris-Scans, Fingerabdrücke von allen zehn Fingern sowie Gesichtserkennung zum Einsatz kommen.

Diese Informationen werden mit einem persönlichen Ausweis verknüpft, der jedem der 1,2 Milliarden Bewohner Indiens ausgestellt wird. Bald wird diese Karte für alle, die in Indien soziale Dienste in Anspruch nehmen haben, Pflicht sein.

Im Zusammenhang mit der Zwei-Faktor-Authentifizierung sind biometrische Daten ein guter Ersatz für Benutzernamen. Sie umfasst:

  • Etwas, das Sie sind (biometrische Daten)
  • Etwas, das Sie haben (z. B. ein Hardware-Token) oder etwas, das Sie wissen (z. B. ein Passwort)

Die Zwei-Faktor-Authentifizierung ist eine leistungsstarke Kombination, insbesondere angesichts der zunehmenden Verbreitung von IoT-Geräten. Durch den mehrschichtigen Schutz sind derart gesicherte Internetgeräte weniger Datenschutzverletzungen ausgesetzt.

Die Verwendung eines Passwortmanagers zur Speicherung herkömmlicher Passwörter bietet zusätzliche Sicherheit.

Lehren aus der Biometrie

Zusammenfassend lässt sich sagen, dass die Biometrie in der Cybersicherheit eine zukunftsweisende Möglichkeit des Identitätsnachweises darstellt.

Nach allem, was wir bisher kennen, ist die Kombination aus physischer Signatur oder Verhaltensmustern und anderen Formen der Authentifizierung der bislang beste Schutz. Es ist zumindest besser als die Verwendung eines zeichenbasierten Passworts als einziges Mittel der Verifizierung.

Die biometrische Technologie bietet sehr überzeugende Lösungen für die Sicherheit. Trotz der Risiken sind die Systeme praktisch und kaum zu kopieren. Und natürlich hat die Entwicklung dieser Systeme gerade erst begonnen.

Verwandte Artikel:

Was ist Biometrie? Wie wird sie in der digitalen Sicherheit eingesetzt?

Biometrische Daten sind biologische Messwerte oder physische Merkmale, die der Identifizierung von Personen dienen. Erfahren Sie alles über die damit verbundenen Sicherheitsbedenken sowie die Vor- und Nachteile der Biometrie in Bezug auf die Identitätssicherheit.
Kaspersky Logo