Sicherheitsexperten fordern mehr Aufklärung über biometrische Verfahren

Fachleute diskutierten über Vor- und Nachteile, Risiken und Potenziale des Einsatzes biometrischer Systeme

(29.05.09) - Als Experte für biometrische Authentifizierungstechnologie sieht Fujitsu Europe Limited einen Aufklärungsbedarf über biometrische Verfahren und lud vor diesem Hintergrund zu dem Roundtable "Biometrie - Fluch oder Segen?" ein. Experten aus dem Fachgebiet diskutierten Anfang Mai über Vor- und Nachteile, Risiken und Potenziale des Einsatzes biometrischer Systeme. Als Segen gilt, dass die richtig ausgewählte biometrische Lösung in Kombination mit weiteren Sicherheitsfaktoren ein Höchstmaß an Sicherheit bieten kann. Als Fluch hingegen wird die mangelnde Kenntnis und Aufklärung über Biometrie sowie das Risiko des Missbrauchs von biometrischen Daten angesehen. Das Podium bildeten Thomas Bengs, Fujitsu Europe Limited, Alexander Nouak, Abteilungsleiter Sicherheitstechnologie am Fraunhofer-Institut für Graphische Datenverarbeitung IGD in Darmstadt, Dr. Waldemar Grudzien, Direktor im Bundesverband deutscher Banken e.V. sowie Stephan Speth von der PCS Systemtechnik GmbH.

"Bis vor wenigen Jahren waren biometrische Lösungen lediglich ein Nischenprodukt, das nur in speziellen Umfeldern Anwendung fand und teilweise noch weit von der Marktreife entfernt war", beobachtet Stephan Speth, Experte für Zutrittskontrollsysteme, der seit nunmehr zehn Jahren biometrische Systeme bei seinen Kunden implementiert. Heute hingegen wachse der Bedarf an Sicherheitslösungen stetig über alle Marksegmente hinweg und die Terminologie "Identity Management" gewinnt dabei zunehmend an Bedeutung. Doch die Unwissenheit über die Funktionsweise und die Einsatzmöglichkeiten neuer biometrischer Identifikationslösungen ist groß - ebenso wie die Ängste über den potentiellen Missbrauch der sensiblen Personendaten. Um das Vertrauen von Unternehmen und Anwendern in Biometrie zu gewinnen, ist eine breite Aufklärung über diese neuartige Technologie notwendig. Darüber sind sich die Sicherheitsexperten einig.

Deutschland - eine Biometriewüste?

Laut Thomas Bengs von Fujitsu ist die Akzeptanz von biometrischen Verfahren in Deutschland im Vergleich zu anderen Ländern besonders niedrig. So werden beispielsweise in Japan schon länger breitflächig biometrische Handvenenscanner bei Banken erfolgreich zur Identifizierung der Kartenkunden eingesetzt, ebenso im Gesundheitswesen. Auch in Amerika gebe es eine hohe Nachfrage in bestimmten Marktsegmenten. Und selbst in anderen europäischen Ländern scheint es mehr Zustimmung für die Biometrie zu geben als in Deutschland.

Was passiert mit meinen Daten?

Die Sicherheitsrisiken spielen eine wesentliche Rolle. Die zentrale Frage lautet: Was passiert mit den biometrischen Daten? Alexander Nouak vom Fraunhofer-Institut für Graphische Datenverarbeitung IGD meint hierzu: "Das Problem liegt nicht vor dem Sensor, sondern hinter dem Sensor”. Die Speicherung, Verwendung und Synchronisierung biometrischer Personendaten ist höchst kritisch und löst Bedenken hinsichtlich des Datenschutzes aus. So besteht zum Beispiel die Gefahr des Cross-Matchings: Biometrische Merkmale könnten in verschiedenen Anwendungen miteinander verknüpft werden und darüber hinaus für die Authentifizierung irrelevante Informationen wie etwa ethnische Zugehörigkeit oder Krankheiten enthalten. Es werden deshalb dringend effiziente Methoden zum Schutz gespeicherter biometrischer Daten benötigt, die es auch erlauben, biometrische Referenzdaten ähnlich wie Passwörter zu widerrufen und zu erneuern

Produktzertifizierungen nach Standards, wie denen der internationalen Sicherheitszertifizierung Common Criteria, bieten dem Anwender die Sicherheit, dass seine biometrischen Daten ggf. mehrfach verschlüsselt und nicht nachvollziehbar sind, wie im Fall der biometrischen Authentifizierungstechnologie "PalmSecure" von Fujitsu. Weitere Unterstützung bieten Whitepaper und Studien von Teletrust e.V., BSI oder der BITKOM. Die Podiumsmitglieder des Roundtables fordern jedoch mehr: Etwa eine einheitliche Zertifizierung des gesamten Authentifizerungsprozesses. "Wir brauchen eine Art TÜV für biometrische Systeme", forderte Alexander Nouak. Thomas Bengs ergänzte, dass hier neben Branchenverbänden und den Unternehmen vor allem auch der Gesetzgeber gefragt sei. Doch wie Stephan Speth anführt, sähen die Kunden oft zuerst den Komfortnutzen eines biometrischen Systems. Die Sicherheit spiele dabei nur eine untergeordnete Rolle. Anstatt sich PIN- und Passwörter merken zu müssen, wollten die Kunden einen möglichst einfachen Zugang zu Gebäuden oder IT-Systemen.

Biometrie ist kein Allheilmittel

In der Diskussionsrunde war man sich einig: Biometrie darf nicht als Allheilmittel missverstanden werden. "Vielmehr ist sie vor allem eine Zusatzlösung, um bestehende Verfahren zu ergänzen", erklärt Thomas Bengs von Fujitsu. Vor allem in Kombination mit anderen Verfahren könne Biometrie das Sicherheitsniveau maßgeblich erhöhen. Andernfalls sei sie vorwiegend nur eine reine Komfortanwendung. Treffendes Beispiel ist hier die bislang verbreitetste Biometrie-Lösung: der Fingerprint. Wie mehrfach bekannt gewordene Missbrauchsvorfälle zeigten, ist er als Sicherheitsanwendung unzureichend. Zu leicht ist heute die Fälschung von Fingerabdrücken.

Bei jeder biometrischen Lösung muss das Einsatzumfeld genau betrachtet werden. So herrschen beispielweise gegenüber dem Netzhaut- oder Iris-Scan Vorurteile, die so weitverbreitet sind, dass sie einen Einsatz per se unmöglich machen. "Die Mehrheit der Anwender hat tatsächlich Angst vor schädlichen Auswirkungen der Verfahren auf die Augen", berichtet Dr. Waldemar Grudzien und muss somit Banken von einem Einsatz abraten. Die Technologie der 3D-Gesichtserkennung, welche am Fraunhofer IGD erforscht wird, ist Alexander Nouak zufolge sehr vielversprechend, jedoch noch nicht ganz ausgereift. Sie kann derzeit zum Beispiel noch vom Umgebungslicht beeinflusst werden. Um eine eindeutige Identifikation sicherzustellen - hier sind sich die Sicherheitsexperten einig - muss ein biometrisches Verfahren "unter die Haut" gehen, das heißt Teile im Körper scannen. Dies geschieht etwa beim Handvenenscan. Die Oberfläche allein ist oftmals nicht hinreichend fälschungssicher.

Stand des Einsatzes biometrischer Systeme in Deutschland

Ob sich auch in der deutschen Bankenlandschaft biometrische Systeme durchsetzen werden, bleibt abzuwarten. Zum einen habe sich das PIN-System bislang bewährt. Zum anderen sieht Dr. Waldemar Grudzien noch ein großes Problem bei der Verifikation biometrischer Daten im Massenmarkt, da nicht alle biometrischen Verfahren die spezifischen Sicherheitsanforderungen der Kreditwirtschaft erfüllen können. Mit der Venenbiometrie stünde jedoch ein Verfahren zur Verfügung, das den technischen Ansprüchen zu entsprechen scheint und zudem erhöhte Sicherheit mit einem Komfortgewinn verbindet. Der relativ breite Einsatz dieser Technologie bei japanischen Banken könnte eine Initialwirkung entfalten.

Die Sicherheitsexperten in Deutschland warten jedenfalls nicht erst auf Anregungen der Regierung. Nach den biometrischen Reisepässen und der elektronischen Gesundheitskarte, werden bis Ende 2010 Bankkarten mit einem Chip versehen. Die deutsche Kreditwirtschaft arbeitet derzeit daran, ihr Chipkartenbetriebssystem "Seccos" mit einer verfahrensneutralen Biometrie-Schnittstelle auszustatten. Und dieser Impuls ging von der Industrie selbst aus. (Fujitsu: ra)