Biometrische Authentifizierung – Balance zwischen Komfort, Sicherheit und Datenschutz

h_7-8-2016_100

Die Authentifizierung über Nutzernamen und Passwort ist weder einfach noch sicher und bequem. Da bietet sich die Nutzung biometrischer Authentifizierungsverfahren geradezu an.

Der Großteil der Verbraucher ist heute an ein hohes Maß an Komfort gewöhnt, wenn es darum geht, online auf Bankdaten und -services zuzugreifen. Sich über mobile Endgeräte mit der eigenen Bank zu verbinden, ist selbstverständlich geworden. Auch die Abwicklung von Zahlungen, die Kontrolle der Konten, das Handeln mit Aktien und viele andere Transaktionen – alles per Smartphone oder Tablet – sind heute alltäglich.

Im Finanzbereich werden innovative Formen der Bankaktivitäten und Zahlungsabwicklungen eingeführt. Transaktionen, die von Kunden zuvor am Schalter oder heimischen PC abgewickelt wurden, finden heute auf mobilen Endgeräten statt. Treiber für diese Entwicklungen sind der Wunsch der Anwender nach einer möglichst bequemen Handhabung sowie die Aktivitäten von Herstellern wie Apple und Samsung als auch führender Finanzinstitute.

Nutzernamen und Passwort. Die traditionelle Methode, den Zugriff auf Online-Applikationen über eine Kombination aus Nutzernamen und Passwort zu schützen, ist in den letzten Jahren vor allem in Hinblick auf Nutzungskomfort und Sicherheit in die Kritik geraten. Zwar lassen sich Nutzernamen und Passwörter an einem Desktop-Rechner noch halbwegs komfortabel eingeben, allerdings kann dies auf einem Mobilgerät in eine echte Fummelei ausarten, was zu einer unzureichenden Nutzungsqualität führt. Und dieser negative Eindruck färbt direkt auf das anbietende Unternehmen ab.

Auch in puncto Sicherheit ist die Kombination aus Nutzernamen und Passwort mittlerweile wenig vertrauenserweckend. Man verfolge nur die Berichterstattung über die aktuellen Datendiebstähle von Millionen an Passwörtern, die anschließend zu Dumpingpreisen im Dark Web angeboten werden. Die Wiederverwendung von Passwörtern aus Bequemlichkeit erscheint in diesem Kontext äußerst fragwürdig, denn ein Passwort ist nur so gut, wie die schwächste Stelle im Web, für die man es nutzt. Gerade die Bequemlichkeit hat zudem dazu geführt, dass häufig naheliegende Begriffe wie etwas »12345« oder »Passwort« als Kennwort eingesetzt werden. Kurzum: Diese Art der Authentifizierung über Nutzernamen und Passwort ist weder einfach noch sicher und bequem. Entsprechend ist es Aufgabe der Serviceanbieter, neue Methoden der Authentifizierung zu etablieren. Denn immer mehr unserer täglichen Aktivitäten finden online statt.

Biometrische Erkennung. Innovationen auf dem Gebiet der Biometrie bieten eine Möglichkeit, die Benutzerfreundlichkeit und die Sicherheit gegenüber dem Ansatz mit Benutzernamen/Passwort zu steigern. Die biometrische Erkennung – also die Identifikation anhand eindeutiger individueller Attribute wie Fingerabdruck, Stimme oder Herzfrequenz – ist eine logische und überzeugende Vorgehensweise für die Authentifikation. Die Vorteile liegen auf der Hand: Biometrische Daten sind einfach einzusetzen, denn niemand muss sich an Passwörter oder Nutzernamen erinnern, und die Eindeutigkeit ist gegeben. Entsprechend zählen Sensoren zur Erkennung von Fingerabdrücken bei vielen Smartphones zum Standard. Auch von Amazon, Mastercard und HSBC gibt es entsprechende Aktivitäten: So wurden Pläne bekannt, Fotos oder Videos eines Nutzers als »Selfie Pay« zur Identifikation bei Online-Einkäufen zu nutzen. Als individuelle, einzigartige und nicht veränderbare Merkmale einer Person sind biometrische Daten äußerst sensibel zu behandeln. Daher muss großer Wert darauf gelegt werden, diese Informationen sicher zu verwahren, damit sie nicht zu einer neuen Währung für Cyberkriminelle verkommen.

Die Sicherheit der biometrischen Daten. Es gab bereits aufsehenerregende Vorfälle, bei denen biometrische Daten entwendet wurden. So musste das für die Personalverwaltung in den USA verantwortliche US Federal Government Office of Personnel Management (OPM) Ende letzten Jahres eingestehen, dass es Hackern gelungen war, mehr als 5,6 Millionen Datensätze mit Fingerabdrücken von staatlichen Mitarbeitern, Auftragnehmern und anderen Personen, die für öffentliche Stellen tätig waren, zu entwenden. Auf den Philippinen wurden die Daten von 55 Millionen Wählern bei einer Cyber-Attacke auf die dortige Wahlkommission (Commission on Elections) gestohlen, wobei sich in diesen Datensätzen 15,8 Millionen Fingerabdrücke befanden. Die Botschaft dieser Vorfälle ist eindeutig: Wenn weitere Organisationen umfangreiche Datenbanken mit biometrischen Informationen aufbauen, wird es zu weiteren Datendiebstählen kommen. Daher engagieren sich beispielsweise die Europäische Union und auch Kanada gegen eine Speicherung von biometrischen Daten in großen Datenbanken, wenn dies nicht zwingend notwendig ist.

Unverrückbar steht also fest: Aufgrund der eindeutigen Zuordnung biometrischer Daten zu einer einzelnen Person müssen diese sensiblen Informationen äußerst sorgfältig behandelt werden. Unternehmen und andere Organisationen sind entsprechend in der Pflicht, eine entsprechende technologische und organisatorische Basis für deren Speicherung und Verarbeitung zu schaffen. In einigen Ländern existieren zwar bereits explizite rechtliche Vorgaben zum Datenschutz biometrischer Daten. Die meisten Staaten verfügen allerdings noch nicht über entsprechende Gesetze.

Je mehr Akzeptanz der Einsatz biometrischer Technologien weltweit findet, desto wichtiger wird es jedoch, dass Anwender über die Erhebung ihrer Daten und über deren Verwendung in Kenntnis gesetzt werden. So müssen etwa Nutzer in Australien und der Europäischen Union auch darüber informiert werden, wo ihre Daten gespeichert sind und wer Zugriff darauf hat. Dies ist zwar über für Anwender zugängliche Datenschutzrichtlinien einfach zu bewerkstelligen, befreit Unternehmen aber nicht von der Pflicht, sich über die Unterschiede und Risiken der zwei primären Ansätze zur biometrischen Authentifizierung zu informieren.

»one to many« vs. »one to one«. Das erste Modell beruht auf dem Vergleich individueller biometrischer Daten mit den Datensätzen einer zentralen Datenbank, um eine Übereinstimmung festzustellen. Dieses Prinzip ist bekannt als »one to many« oder auch als Server-seitiger biometrischer Abgleich. Der zweite Ansatz basiert auf dem Abgleich der persönlichen biometrischen Informationen mit einem einzelnen biometrischen Identifikationsmuster – etwa einem Fingerabdruck, einer Stimmprobe oder einem Gesichtsscan – das auf einem einzigen Endgerät gespeichert ist. Hierbei redet man von »one to one« oder einem Geräte-seitigen biometrischen Abgleich.

Geräte-seitiger biometrischer Abgleich. Dieser Geräte-seitige biometrische Abgleich eliminiert die Notwendigkeit, große Datensammlungen mit biometrischen Informationen anzulegen, zu pflegen und abzusichern. Zudem ist es nicht notwendig, die Daten vom Gerät in eine entfernte Datenbank zu transferieren, was unter Umständen zu Konflikten mit Gesetzen zur grenzüberschreitenden Übertragung biometrischer Daten führen kann. Der Verzicht auf Speicherung biometrischer Informationen in umfangreichen Datenbanken beraubt Datendiebe zudem um ein beliebtes Angriffsziel. Da jedes Gerät die biometrischen Daten seines Nutzers für sich behält, müssten Hacker jedes einzelne Gerät angreifen – was für Cyberkriminelle eine eher unattraktiv Perspektive darstellt.

Wenig überraschen dürfte, dass dieser Art des Authentifizierungsprozesses schnell standardisiert wurde, und zwar von den Mitgliedern der FIDO (Fast IDentity Online) Alliance. Diese schnell wachsende Interessengemeinschaft besteht aus Unternehmen, die alle Bereiche der biometrischen Authentifizierung abdecken – von Lösungsanbietern über Gerätehersteller bis hin zu Anwendern inklusive großer Finanzinstitute. Gemeinsam ist diesen Unternehmen die Erkenntnis, dass ein Geräte-seitiger Abgleich biometrischer Daten einerseits die einfache und bequeme Nutzung biometrischer Authentifizierungsverfahren realisiert, auf der anderen Seite aber auch ein Höchstmaß an Datenschutz, die Minimierung von Sicherheitsrisiken sowie die umfassende Kontrolle der Anwender über ihre persönlichen Daten gewährleistet sind.


Philip Dunkelberger,
President und CEO von Nok Nok Labs,
www.noknok.com
Titelbild: © Torsak Thammachote, ArtMaster85 /shutterstock.com 

Biometrie ist Teil des intelligenten Wohnens

Passwort-Zeitalter noch lange nicht vorbei: Trotz Biometrie bleiben sichere Passwörter der Standard

Das Einmaleins der IT-Security: 30 Sicherheitstipps für KMU

Checkliste: Wie Unternehmen ihr Zugriffsmanagement auf die digitale Transformation vorbereiten

Top-Trends 2016 bei sicheren Identitätslösungen

Interesse an biometrischen Verfahren wächst

5,6 Millionen Fingerabdrücke gehackt

Neue Sicherheitstechnologien für elektronische Reisepässe und E-Government-Anwendungen

Neue Chancen für den IT-Standort Deutschland – Unternehmen setzen wieder auf »IT made in Germany«

Jeder Zweite würde biometrische Daten einsetzen

Schreiben Sie einen Kommentar