Sie sind hier: HomeTelekommunikation

Biometrie: Wenn jemand anderes du sein kann

Ob James Bond, Star Trek oder Minority Report – biometrische Verfahren sind in Kinofilmen sehr beliebt. Auch im realen Leben werden sie zunehmend populärer und ersetzen immer mehr traditionelle Authentifizierungsmethoden. Aber sind sie wirklich so sicher? Fünf Probleme der Biometrie.

Biometrie Bildquelle: © Bild: fs Quelle: fotolia

Die Situation, in der ein Superheld zur Öffnung einer geheimnisvollen Tür sein Auge scannen lässt, kennen die meisten wohl aus futuristischen Filmen. Was lange Zeit nur Hollywood vorbehalten war, ist mittlerweile längst Realität und in vielen Bereichen unseres Alltags angekommen: Per Fingerabdruck entriegeln wir unser Smartphone, über Gesichtserkennung verschaffen wir uns Zutritt zu sensiblen Unternehmensbereichen und mittels Netzhaut-Scan werden wir demnächst bezahlen. Anbieter von Biometrie-Lösungen haben mittlerweile ein weltweites Marktvolumen von fünf Milliarden US-Dollar. Die Tendenz ist steigend. Bis zum Jahr 2020 sollen es 33 Milliarden Dollar werden.

Die Vorteile liegen auf der Hand: Abgesehen von dem Coolness-Faktor verläuft die Verifizierung viel schneller und bequemer als bei allen Alternativen. Denn anders als Passwörter oder Hardware-Token können biometrische Merkmale nicht verlegt, verloren oder vergessen werden. Die Linien der Finger und Hände, die Eigenschaften von Augen und Gesichtern sowie Stimmen und Handschriften sind untrennbar mit ihrem Träger verknüpft und deshalb einzigartig. Angesichts dieser zahlreichen Vorteile überrascht das rasante Wachstum biometrischer Verfahren nicht.

Doch jede Sicherheitstechnologie hat auch ihre Schwächen. Hollywood macht es uns vor, indem die Bösewichte ganz leicht biometrische Merkmale kopieren und sich als andere Person ausgeben. Trotz allgemeiner Begeisterung sollte beim Einsatz biometrischer Verfahren auf folgende Aspekte geachtet werden:

1. Biometrische Merkmale können nicht „zurückgesetzt“ werden
Mit der Einzigartigkeit biometrischer Merkmale kommt auch ihre Unveränderlichkeit. Passwörter lassen sich leicht zurücksetzen oder ändern, ein Fingerabdruck jedoch nicht. Wenn ein biometrisches Merkmal in die falschen Hände gelangt und beispielsweise im Dark Web zum Kauf angeboten wird, lässt sich das nicht so leicht rückgängig machen. Doch was passiert dann mit dem Träger des biometrischen Merkmals? Bleibt dieser bis an sein Lebensende von entsprechenden Authentifizierungsverfahren ausgeschlossen, um das Risiko einer Verwechslung zu vermeiden? Und was ist, wenn sich ein gespeichertes biometrisches Merkmal durch äußerliche Einflüsse wie einen Unfall verändert und nicht mehr erkannt wird? Den Anbietern biometrischer Verfahren ist es bislang nicht gelungen, eine zufriedenstellende Lösung dieses Dilemmas zu finden.

2. Biometrische Verfahren lassen sich leicht überlisten
Dass biometrische Merkmale nicht geändert werden können, mag zunächst kein großes Problem sein – denn es wird oft betont, dass sie nicht kopiert werden können. Die Behauptung ist jedoch falsch. In der Vergangenheit fälschte der Chaos Computer Club (CCC) bereits mehrmals erfolgreich Fingerabdrücke und stellte Iris-Attrappen führender deutscher Politiker her wie zum Beispiel von Wolfgang Schäuble, Ursula von der Leyen und auch von Angela Merkel. Mit diesen Aktionen wollte der CCC auf die Schwächen biometrischer Verfahren aufmerksam machen. Denn in Zeiten hochauflösender Fotos, 3D-Druckern und immer preiswerterer leistungsstarker Technologie sind biometrische Merkmale relativ leicht zu kopieren.

3. Die Fehlerrate ist vergleichsweise hoch
98 Prozent Genauigkeit mag für Laien gut klingen. Wenn aber in der Praxis bei der tagtäglichen biometrischen Authentifizierung von 10.000 Mitarbeitern eines Unternehmens 200 Personen nicht durch die Zugangskontrolle kommen, ist das weniger gut. Dieses häufige Problem, dass valide Benutzer nicht erkannt werden, wird Falschzurückweisungsrate (FRR) genannt. Das Gegenteil ist das Problem der Falschakzeptanzrate (FAR), bei der unberechtigte Benutzer autorisiert werden. Beide Werte stehen in einem Zusammenhang, das heißt, je kleiner die FAR wird, desto höher wird die FRR.

4. Massenabfertigung ist mit biometrischen Verfahren unmöglich.
Ein Fingerabdruckscan beim eigenen Smartphone geht schnell und einfach. Im Grunde passiert dabei nur ein Abgleich eines Merkmals gegen ein gespeichertes Merkmal, was ein vergleichsweise triviales Verfahren (1 gegen 1) mit einem guten FRR-zu-FAR-Verhältnis.

Die Verifizierung von mehreren hunderten Menschen, unabhängig ob parallel oder sequenziell, gestaltet sich schon schwieriger: Dabei muss – sofern lediglich Biometrie zur Authentifizierung verwendet wird – das Merkmal einer Person mit dem Merkmal von N-gespeicherten Personen verglichen werden. Abgesehen davon, dass diese Überprüfung vergleichsweise aufwändig ist (1 gegen n), steigt zudem die Wahrscheinlichkeit von Falschzurückweisungen als auch Falschakzeptanz erheblich. Bei 50.000 Personen, die kurz vor Anpfiff ein Fußballstadion betreten wollen, ist beides ein Problem. Bei Massenabfertigungen scheinen andere Formen der Zugangskontrolle daher sinnvoller, denn selbst beim Einsatz von weiteren Kriterien, die den Abgleich von 1 zu N wieder in die Richtung 1 zu 1 reduzieren, kommen Datenschutzdebatten wie beim biometrischen Personalausweis ins Spiel.

5. Im Datenschutz gibt es noch viele Unklarheiten.
Vor allem in Deutschland bestehen strenge Regeln und Richtlinien zum Thema Datenschutz, die vorgeben, in welcher Form und unter welchen Bedingungen Unternehmen, Institutionen oder Personen biometrische Informationen speichern dürfen. Dennoch herrschen viele Rechtsunklarheiten, die auszuräumen sind. Eins steht jedoch fest: Fehlt eine vorherige Zustimmung, ist die Überprüfung biometrischer Merkmale in vielen Fällen illegal. Auch sind sich einige Anwender nicht sicher, ob ihr Fingerabdruck in den Datenbanken großer Unternehmen tatsächlich gut aufgehoben ist. Vor allem gegenüber amerikanischen Servern herrscht Skepsis, was nicht zuletzt auf die NSA-Enthüllungen zurückzuführen ist. Viele Menschen überlegen es sich daher zweimal, ob sie Konzernen ihre biometrischen Informationen anvertrauen wollen. Das fehlende Vertrauen ist darüber hinaus ein Grund, warum viele Konsumenten andere Authentifizierungsverfahren vorziehen. Ob die Anbieter die Skeptiker überzeugen und das Vertrauen zurückgewinnen können, bleibt abzuwarten