Schwerpunkte

Biometrische Authentifizierung

Die passwortlose Gesellschaft birgt Risiken

19. September 2019, 14:51 Uhr   |  Autor: David Wollmann / Redaktion: Diana Künstler | Kommentar(e)

Die passwortlose Gesellschaft birgt Risiken
© 123rf

Biometrische Verfahren wie Gesichtserkennung, Iris-Scans und Fingerabdrücke haben Hochkonjunktur. Hohe Sicherheit können sie aber zurzeit noch nicht garantieren. Auf den richtigen Technologie-Mix kommt es an.

Jeder braucht Passwörter, aber niemand liebt sie wirklich. Passwörter haben einen riesigen Nachteil: Sie werden geleakt, geklaut oder schlicht und einfach vergessen. Generell gilt: Je sicherer das Passwort, desto schwerer lässt es sich merken. Alibaba-Gründer Jack Ma brachte daher in China sein Bezahlsystem „Smile to Pay“ auf den Markt, und seitdem können Kunden in China ihre Rechnungen mit einem Lächeln begleichen. Das System setzt neben einer 3D-Kamera einen Algorithmus ein, durch den sich Gesichtsmerkmale identifizieren lassen, die nur von menschlichen Wesen stammen können. Dadurch soll ausgeschlossen werden, dass Cyberkriminelle mit Fotos oder Videos versuchen, das System zu knacken. Aber wie gut funktioniert das?

Sicherheitstests mahnen zur Vorsicht
Biometrische Identifikationsverfahren wie Gesichtserkennung, Iris-Scans, Stimm-Muster oder Fingerabdrücke versprechen eine Welt ohne Passwörter. Sie sind ein unverwechselbares Kennzeichen, weil sie direkt einer einzelnen Person zugeordnet werden können. Scans von Fingerabdrücken, das Muster der Papillarlinien auf der Fingerkuppe, werden unter den biometrischen Verfahren weltweit zurzeit am häufigsten eingesetzt. Mit einer in der Branche geschätzten durchschnittlichen False-Acceptance-Rate (FAR) von 0,001 Prozent und einer False-Rejection-Rate (FRR) von 0,1 Prozent liegt diese Technik sicherheitstechnisch jedoch im Mittelfeld der biometrischen Verfahren. Ein FAR-Wert von 0,001 Prozent bedeutet, dass unter 100.000 Anmeldungen ein Nutzer fälschlicherweise Zugang zum System erhält. Bei einem FRR-Wert von 0,1 Prozent wird unter 1.000 Anmeldungen ein korrekter Benutzer nicht erkannt und fälschlicherweise zurückgewiesen.

Biometrische Verfahren, so unverwechselbar die dabei verwendeten Kennzeichen auch sein mögen, sind also nicht unfehlbar. Zudem lassen sich Fingerabdrücke zum Beispiel leicht auf den Gläsern oder Kaffeetassen in der Büroküche einsammeln und dann verwenden. Gelingt es einem Cyberkriminellen, sich als Mitarbeiter auszugeben und Zugang zum Firmengebäude zu verschaffen, könnte er die Fingerabdrücke kopieren und später damit ins Firmennetzwerk eindringen. Auch von anderer Seite drohen Probleme. Wird durch eine Verletzung ein Fingerabdruck verändert oder geht ganz verloren, dann lässt sich dieses verlorengegangene biometrische Merkmal nicht so einfach verändern oder ersetzen wie ein Passwort, das lediglich ausgetauscht werden muss. Auch Nässe oder Schmutz können Messergebnisse des Fingerabdruck-Scanners verfälschen. Dann bekommt ein falscher Mitarbeiter Zugang zum System und echte Mitarbeiter werden abgewiesen.

Zu hohe Fehlerquoten
Fingerscans sind daher zum Schutz von Hochsicherheitsbereichen in Firmengebäuden und auch von sensiblen Anwendungen wie Online Banking nur bedingt geeignet. Nicht viel besser sieht es zurzeit beim Verfahren der biometrischen Gesichtserkennung aus. Die Ergebnisse mittels 3D-Gesichtserkennung lassen aufhorchen. Bei Tests der amerikanischen Normierungsbehörde NIST (National Institute of Standards and Technology) wurde eine FAR-Quote von 0,1 Prozent und ein FRR-Wert von 0,3 Prozent erreicht. Zu viel, um von einer sicheren Authentifizierung via biometrischer Gesichtserkennung sprechen zu können, die auch hohen Ansprüchen genügt.

Aus sicherheitstechnischer Perspektive liegt eine passwortlose Gesellschaft, die sich ausschließlich auf biometrische Identifikationsverfahren stützt, noch nicht in greifbarer Nähe: Die Risiken sind zurzeit noch zu hoch. Passwörter dagegen haben ihre Kinderkrankheiten hinter sich. Dass sie kompromittiert werden, liegt in der Mehrzahl der Fälle nicht an den Passwörtern selbst, sondern am zu sorglosen Umgang mit ihnen. Noch immer heften sich Mitarbeiter in Unternehmen ihre Zugangscodes in Klartext auf Zetteln an den Monitor oder verwenden zu einfache Passwörter, die ein versierter Angreifer in wenigen Sekunden geknackt hat. Die Frage ist dann nicht ob, sondern wann ein Angriff erfolgt, der ernstzunehmende Konsequenzen für das betroffene Unternehmen nach sich zieht.

Seite 1 von 2

1. Die passwortlose Gesellschaft birgt Risiken
2. Awareness schaffen

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

NTT Security (Germany) GmbH