Biometrische Authentifizierungssysteme werden immer häufiger angewendet, um einen Zugriff auf sensible Informationen oder Ressourcen zu sichern. Hierbei werden persönliche menschliche Eigenheiten wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans als Option zu üblichen Authentifizierungsmethoden via Passwort, PIN & Co. genutzt. Doch wie sicher sind diese Biometriesysteme tatsächlich?
In einer Umgebung, in welcher der Schutz unserer persönlichen Daten wie auch die IT-Sicherheit im Unternehmen ein ständiges Thema ist, spielen biometrische Authentifizierungssysteme eine immer zentralere Rolle, angesichts immer raffinierterer Hacker-Verfahren. Eine Gesichtserkennung zum Entsperren des iPhones („Face ID“) kennt mit Sicherheit inzwischen jeder. Auch Fingerabdruckscanner sind auf Mobiltelefonen bereits weit verbreitet. Kein Rätsel also, dass Akzeptanz und Nutzung biometrischer Methoden statistisch betrachtet immer mehr zunehmen, vor allem im Bereich Finanzdienstleistungen, wie eine PwC-Studie aus 2022 (https://www.pwc.de/de/finanzdienstleistungen/biometrische-authentifizierungsverfahren.html) ergab. Doch was ist mit Iris-Scans? Welche weiteren biometrischen Authentifizierungsmerkmale existieren? Und wie sicher sind diese? In diesem Beitrag werfen wir einen Blick auf die Vorteile und Mängel biometrischer Authentifizierungssysteme.
Ehe wir intensiver in das Thema biometrische Authentifizierungssysteme einsteigen, wollen wir einleitend aber noch kurz die nötigen Komponenten erklären: „Biometrie“ ist eine Wissenschaft, die sich mit der Messung von Lebewesen beschäftigt. In unserem Fall, einem IT-Umfeld, bezieht sie sich auf die Ermittlung sowie Analyse von physischen wie auch verhaltensbezogenen Eigenschaften eines Individuums zur Identifikation und letzten Endes zur Authentifizierung, um Zugang zu Systemen, Räumen oder Endgeräten zu erhalten. Zu den physischen Eigenschaften gehören Fingerabdrücke, Züge im Gesicht, Iris-Muster, Handgeometrie und mehr, während verhaltensbezogene Merkmale Dinge wie die Weise zu reden oder zu schreiben inkludieren.
Stärken der biometrischen Authentifizierung
Einer der bedeutendsten Vorzüge der biometrischen Identitätsüberprüfung ist die Einzigartigkeit. Während ein Kennwort, wenn es einmal vertraut ist, von jedwedem (auch missbräuchlich) eingesetzt werden kann, sind die menschlichen Merkmale wie Fingerabdrücke, Gesichtszüge und Iris-Muster unnachahmlich und können somit zur eindeutigen Identifizierung verwendet werden. Hiermit wird es besonders schwierig, diese Eigenschaften zu fälschen oder zu klonen. Fingerabdrücke lassen sich zum Beispiel nicht so einfach klonen, weil sie sich aus komplizierten Mustern zusammensetzen und durch einzigartige Eigenheiten wie Linien sowie Wirbel gekennzeichnet sind. Auch Gesichter und Iris-Muster sind schwierig zu fälschen, da sie etliche unterschiedliche Elemente inkludieren, die alle nachgebildet werden müssten. Dadurch wird es für Angreifer schwieriger, biometrische Authentifizierungssysteme zu umgehen, was diese Verfahren besonders zuverlässig macht. Weit sicherer als ein normales Kennwort.
Im Direktvergleich zu Kennwörtern und PINs sind Verfahren, die biometrische Eigenschaften zur Authentifizierung nutzen, viel benutzerfreundlicher: Anstatt sich sehr lange Zahlen- und Buchstabenkombinationen merken bzw. eintippen zu müssen, genügt es, das biometrische Attribut zu scannen, um Zugang zu bekommen. Das erleichtert die Nutzung und reduziert die Gefahr von menschlichen Ausrutschern oder vergessenen Passwörtern. Der biometrische Authentifizierungsprozess ist zudem einfach simpler und zügiger.
Trotz dieser Vorteile sind biometrische Authentifizierungssysteme auf keinen Fall frei von Herausforderungen und Sicherheitsrisiken. Zudem wirft deren Einsatz selbstverständlich auch Fragen zum Datenschutz auf: Wie und wo werden die privaten biometrischen Daten erfasst und gespeichert? Wie kann sichergestellt werden, dass diese nur für den vorgesehenen Zweck verwendet werden?
Herausforderungen und Sicherheitsrisiken von biometrischer Authentifizierung
Die größte Aufgabe bei der Benutzung biometrischer Authentifizierungssysteme ist die Datensicherheit. Die Daten sollten absolut sicher geschützt werden, um eine unbefugte Nutzung oder den Zugang durch Dritte zu unterbinden. Das ist jedoch leider in der Praxis nicht immer der Fall: In 2019 gab es zum Beispiel ein Datenleck in einer Biometrie-Sicherheitsfirma, was hierzu geleitet hat, dass mehr als eine Million Fingerabdrücke im Web abrufbar waren (https://www.spiegel.de/netzwelt/apps/biometrie-firma-suprema-millionen-zutrittsdaten-unverschluesselt-im-netz-a-1280985.html). Es ist also wichtig, dass Unternehmen sowie Organisationen, welche biometrische Authentifizierungssysteme verwenden, wirklich strenge Sicherheitsmaßnahmen einführen, um die Unversehrtheit der eingelagerten Daten zu gewährleisten. Obendrein gilt es, alle gesetzlichen und regulatorischen Bedingungen für den Gebrauch biometrischer Authentifizierungssysteme zu befolgen, wie beispielsweise essentielle Datenschutzbestimmungen.
Eine weitere Schwäche biometrischer Authentifizierungssysteme: Sie sind keinesfalls fehlerfrei. Dies dürfte keinen erstaunen, trotzdem wäre es an dieser Stelle gesagt. Es kann vorkommen, dass ein System einem berechtigten Nutzer keinen Zugang gewährt („False Reject Rate“) oder – was wesentlich schlimmer ist – einen unberechtigten Nutzer irrtümlicherweise akzeptiert („False Accept Rate“). Diese Art und Weise der Fehlerquelle nimmt hierdurch zu, dass Menschen sich physiologisch ändern – ob durch Älterwerden, Unfälle oder Erkrankungen. Das führt ohne Frage zu Problemen, wenn das System einen Nutzer nicht mehr identifizieren kann, obwohl er erlaubt ist. Deshalb ist es entscheidend, dass biometrische Authentifizierungssysteme in gleichen Abständen aktualisiert werden, um solche Änderungen zu beachten und die Genauigkeit der Erkennung zu verbessern.
Sicherheitsmaßnahmen für biometrische Authentifizierungssysteme
Ja, der Gebrauch biometrischer Authentifizierungsverfahren bringt Risiken. Dennoch gibt es ebenso Möglichkeiten, die Zuverlässigkeit jener Systeme zu erweitern: Allen voran wäre hier eine Verschlüsselung. Biometrische Daten müssten immer chiffriert gespeichert und übertragen werden, um diese vor unbefugtem Zugriff zu schützen.
Außerdem ist es ratsam, biometrische Authentifizierungsverfahren mit der Multifaktor-Authentifizierung zu verknüpfen, sie also nicht alleinig zu verwenden, sondern in Verbindung mit weiteren Verfahren wie klassischen Passwörtern, Sicherheitsfragen oder Einmalkennwörtern. Das erschwert es Angreifern, Zugriff zu bekommen, selbst wenn sie ein Kriterium erfolgreich manipulieren.
Da die Technologie zur biometrischen Authentifizierung sich ständig fortentwickelt, werden auch stetig neue Verfahren erkundet, wie beispielweise die Venenerkennung oder eine Gehmustererkennung. Doch so wie auch die Authentifizierungsmethoden sich weiterentwickeln, „wachsen“ ebenso die Bedrohungen mit. Es ist daher nützlich, biometrische Systeme regelmäßig zu aktualisieren, um auf neue Gefahren und Technologien pünktlich reagieren zu können.
