Corner-top-right-trans
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Biometrische Authentisierung


Zur Feststellung, ob eine Person bestimmte Berechtigungen nutzen kann, z. B. zum Zutritt in ein Gebäude oder einen Raum (Zutrittskontrolle), zur Nutzung eines Computers (Zugangskontrolle) oder zur Ausübung bestimmter Rechte auf einem IT-System (Zugriffskontrolle) ist die Authentisierung der Person erforderlich. Diese erfolgt in zwei Schritten: Zunächst gibt die Person ihre Identität preis (Identifizierung) und im zweiten Schritt verifiziert sie ihre Identität durch einen entsprechenden Nachweis. Bei der Authentisierung einer Person durch eine andere Person, z. B. einen Polizeibeamten bei einer Personenkontrolle, erfolgen beide Schritte zusammen: Der Polizist lässt sich einen Ausweis zeigen, kann damit die Person identifizieren, indem er den Namen liest, und hat gleichzeitig ein Objekt in der Hand, das es ihm möglich macht festzustellen, ob die vor ihm stehende Person mit dem Ausweisinhaber übereinstimmt.

Die Authentisierung gegenüber einem automatischen System, wie z. B. einem Computer, führt im Erfolgsfall zur Erteilung einer Berechtigung (Acceptance), das System zu benutzen, anderenfalls zu einer Rückweisung (Rejection). In beiden Fällen sind Folgeaktionen möglich. So kann protokolliert werden, wer welche Rechte wann erhalten hat, aber auch wer sich vergeblich um die Rechte bemüht hat. Im letzteren Falle könnte auch eine Alarmierung erfolgen, weil sich möglicherweise eine unberechtigte Person die Rechte verschaffen wollte.

Methoden der Authentisierung

Es gibt verschiedene Prinzipien, mit denen eine automatische Authentisierung erfolgen kann. Man unterscheidet zwischen der Authentisierung durch Besitz, durch Wissen und durch körperliche Merkmale.

Die Authentisierung durch Besitz erfolgt mit maschinenlesbaren Ausweisen, wobei eine Chipkartenlösung gegenüber einer Magnetstreifenkartenlösung aus Sicherheitserwägungen vorzuziehen ist. Weitere Möglichkeiten gibt es mit Hardwarekomponenten wie USB-Sticks oder RFID-Schlüsseln sowie mit der elektronischen Signatur.

Die Authentisierung durch Wissen erfolgt gemeinhin mittels geheim zu haltender Passwörter oder Persönlicher Identifikations-Nummern (PIN).

In vielen Fällen werden Authentisierungsverfahren mittels Besitz oder Wissen miteinander kombiniert. Bekannt ist dies zum Beispiel bei der Benutzung des Geldautomaten, bei der sowohl eine Scheck- oder Kreditkarte als auch eine PIN benutzt werden müssen.

An dieser Stelle stehen jedoch Authentisierungsverfahren mithilfe körperlicher Merkmale im Vordergrund des Interesses. Diese Authentisierung wird auch als biometrische Authentisierung bezeichnet. Dabei sind folgende biometrische Verfahren bekannt:

  • Fingerabdruck
  • Gesichtsgeometrie
  • Handabdruck
  • Stimmanalyse
  • Unterschriftserkennung
  • Iriserkennung
  • Retinascanning (Netzhaut)
  • Bewegungsanalyse
  • Handvenenstrukturen (in Infrarotlicht)
  • Tippverhaltensanalyse
  • Genomanalyse.

Hinzu kommen Kombinationen dieser Verfahren wie z. B. Gesichtserkennung mit Stimmanalyse und Bewegungsanalyse der Mundpartie beim Sprechen.

Biometrische Merkmale, die zur Authentisierung taugen, so

  • in der Grundausprägung gleich sein (also z. B. alle Fingerabdrücke),
  • in der persönlichen Ausprägung einmalig sein (dies gilt z. B. nicht bei der Genomanalyse, weil die Genome eineiiger Zwillinge identisch sind),
  • sich über das ganze Leben nicht verändern können und
  • von technischen Systemen leicht erfasst werden können.

Die technische Realisierung eines biometrischen Authentisierungsverfahrens erfolgt stets in ähnlicher Weise:

Ausgangspunkt ist die Erfassung eines biometrischen Merkmals mittels optischer, thermischer, chemosensorischer, akustischer oder drucksensitiver Verfahren für spätere Vergleichszwecke. Aus den erfassten Rohdaten wird mittels geeigneter Algorithmen mithilfe des Computers ein sog. „Template“ (Muster) berechnet und zentral oder dezentral für spätere Vergleiche (z. B. auf einer Chipkarte) abgespeichert.

Beim eigentlichen Authentisierungsvorgang wird mit den gleichen Erfassungssystemen das biometrische Merkmal erfasst und ebenfalls mit den geeigneten Algorithmen berechnet. Das Ergebnis der Berechnung am aktuellen Merkmal wird als „biometrische Signatur“ bezeichnet. Diese Signatur wird mit dem hinterlegten Template computergestützt verglichen. Das Ergebnis dieses Vergleichs führt dann zur automatisierten Entscheidung, ob die Authentisierung zum Erfolg führt oder nicht.

Treffsicherheit biometrischer Verfahren

Die Treffsicherheit biometrischer Verfahren folgt Gesetzen der Wahrscheinlichkeit. Es ist stets davon auszugehen, dass Signatur und Template nie gleich sind. Wären sie es, sollte von einer Manipulation ausgegangen werden, weil dann denkbar ist, dass anstelle einer aktuellen Signatur eine illegal verfügbare Kopie des Templates zum Vergleich herangezogen worden wäre. Der Vergleich zwischen Signatur und Template kann daher allemal nur einen Grad von Ähnlichkeit ermitteln.

Je nach den Anforderungen an die Treffsicherheit des biometrischen Erkennungssystems muss ein Schwellenwert für die Ähnlichkeit festgelegt werden, über dem die Berechtigung vergeben und unter dem sie verweigert wird. Je höher (oder geringer) der Schwellenwert gewählt wird, desto geringer (oder höher) ist die Wahrscheinlichkeit, dass eine Berechtigung unzutreffend erteilt wird. Andererseits steigt (sinkt) mit dem Schwellenwert die Wahrscheinlichkeit, dass jemand unberechtigt abgewiesen wird.

Die Treffsicherheit von biometrischen Erkennungsverfahren wird mit verschiedenen Kenngrößen beschrieben, den sog. Rates.

Die Wahrscheinlichkeit, dass jemand unrichtigerweise zurückgewiesen wird, wird als „False Rejection Rate“ (FRR) bezeichnet; die Wahrscheinlichkeit, dass jemand unberechtigterweise eine Berechtigung erteilt bekommt, wird als „False Acceptance Rate“ (FAR) bezeichnet. Die „Equal Error Rate“ ist der Schwellenwert, für den FRR=FAR gilt, und der damit einen sinnvollen Kompromiss hinsichtlich der Sicherheitskalibrierung darstellt. Von den vielen übrigen „Rates“, die etwas über das biometrische System aussagen, sei noch die „Failure to Enroll Rate“ (FTE) erwähnt, die die Wahrscheinlichkeit benennt, dass von einer Person aus medizinischen Gründen kein brauchbares Template zu späteren Vergleichszwecken gewonnen werden kann. Dies gilt vor allem für Fingerabdrücke, bei denen FTEs von ca. 2 % ermittelt worden sind.

FRR und FAR sind abhängig

  • von der Qualität des biometrischen Systems hinsichtlich der Genauigkeit der Erfassung, der Qualität der Template- und Signatur-Berechnung sowie der Genauigkeit des Vergleichs,
  • von der Kalibrierung des biometrischen Systems, also der Wahl der Schwellenwerte und
  • der Kooperation der Betroffenen.

Bei allzu genauer Kalibrierung wird die FRR zu groß, d. h. z. B., bei einem Zutrittskontrollsystem bleiben zu viele Berechtigte vor der Tür. Dagegen führt eine zu ungenaue Kalibrierung zu einer großen FAR, d. h. zu viele Unberechtigte durchschreiten die Tür.

An dieser Stelle ist eine Gegenüberstellung von Authentisierungsverfahren auf der Grundlage von Besitz und Wissen einerseits und auf der Grundlage körperlicher Merkmale andererseits angebracht: Verfahren aufgrund von Besitz und Wissen sind in ihrer Aussagestärke kausal, d. h., nach dem Einsatz des Authentisierungsmittels steht eindeutig fest, ob jemandem eine Berechtigung erteilt werden darf oder nicht. Dagegen ist die Aussagestärke eines biometrischen Verfahrens wahrscheinlichkeitsgesteuert, d. h., nach dem Einsatz des Authentisierungsmittels besteht die Klarheit nur mit einer bestimmten, meist deutlich unter 100 % liegenden Wahrscheinlichkeit.

Dieser Schwäche biometrischer Verfahren steht gegenüber, dass sie kaum kompromittierbar (fälschbar) sein dürften. Eine Fälschung der biometrischen Merkmale bei der Authentisierung gilt zwar nicht als ausgeschlossen, dürfte jedoch einen übermäßigen Aufwand bei hoher krimineller Energie erfordern. Dies kann man bei den Verfahren mit Besitz oder Wissen nicht behaupten. Ein Passwort ist leicht verraten oder ausgespäht, ein maschinenlesbarer Ausweis ist leicht weitergegeben, gestohlen oder gar gefälscht.

Die Stärke biometrischer Verfahren kann sich daher nur entfalten, wenn sie durch eine Methode mit Besitz oder Wissen ergänzt wird und dabei den kausalen Verfahren höhere Sicherheit vor Kompromittierung verleiht. Die biometrischen Verfahren bedürfen also stets einer solchen Ergänzung, für sich allein sind sie wegen der FRR und der FAR wertlos.

Produkte im praktischen Einsatz

Eine aktuelle Produktübersicht (iX 10/2007, S. 52) führt 33 Hersteller auf, die 38 Produkte anbieten. Die Produkte verteilten sich auf folgende biometrische Verfahren:

  • 24 Systeme für Fingerabdrücke
  • 8 Systeme mit Gesichtserkennung
  • 2 Systeme mit Iriserkennung
  • 1 System mit der Handvenenerkennung
  • 3 kombinierte Systeme (Fingerabdruck / Handabdruck / Gesichtserkennung, Fingerabdruck / Gesichtserkennung / Iriserkennung, Fingerabdruck / Gesichtserkennung).

Datenschutz bei der biometrischen Authentisierung

  • Die biometrische Authentisierung ergänzt die Authentisierung mit Besitz oder Wissen und führt zur wesentlich höheren Sicherheit gegen Identitätsdiebstahl durch Täuschung des Systems. Dies ist am Beispiel des biometrischen Reisepasses bzw. Personalausweises berechtigterweise in einer heftigen Diskussion eingewandt worden. Technisch-organisatorische Datenschutzziele wie die Zutritts-, Zugangs- und Zugriffskontrolle nach Nr. 1, 2 und 3 der Anlage zu § 9 BDSG sind nur mit sicherer Authentisierung zu erreichen, sodass die Biometrie hier erhebliche Fortschritte bringt.
  • Als Sicherheitsrisiko gilt die missbräuchliche Verwendung von Templates durch den unbefugten Zugriff auf Systeme, auf denen die Templates gespeichert sind. Ein solches System ist das eben erwähnte biometrische Ausweispapier, welches das Template selbst enthält. Wenn es gelingt, das Template auszulesen, so kann es zur Fälschung von Ausweisen und somit zum Identitätsdiebstahl kommen
  • Die bei der Gewinnung der biometrischen Vergleichsdaten (Template, Signatur) zuerst erfassten Rohdaten enthalten Überschussinformationen, die z. B. Auskunft über Geschlecht, Alter, Ethnie oder Krankheiten geben. Es muss sichergestellt werden, dass diese Daten unmittelbar nach der Errechnung der Vergleichsdaten gelöscht werden.
  • Biometrische Authentisierungsysteme, die der Verdachtsgewinnung dienen sollen, können auch Unverdächtige treffen. Gleiches gilt für Systeme, die aus der Masse heraus gesuchte Personen identifizieren können (z. B. der Feldversuch auf dem Mainzer Hauptbahnhof von Oktober 2006 bis Januar 2007).
  • Die permanente Aufzeichnung von biometrischen Authentisierungen kann zu Bewegungsprofilen führen und dann – mit Zusatzwissen – auch zu Persönlichkeitsprofilen.
  • Die Aufnahme biometrischer Merkmale in Ausweispapiere wird zu Begehrlichkeiten führen, sie auch zu vielen anderen Zwecken als nur der Grenzkontrolle oder der polizeilichen Personenkontrolle zu verwenden. Dadurch bergen diese Verwendungen die Gefahr der Totalüberwachung.

Fazit:

Die biometrische Authentisierung folgt anderen Gesetzen als die klassischen Verfahren mit Wissen oder Besitz. Für sich allein ist sie daher nur höchst eingeschränkt für die Authentisierung tauglich. Dagegen kann sie in Kombination mit den genannten kausalen Verfahren deren Probleme mit der Fälschbarkeit oder der unberechtigten Nutzung der echten Authentisierungsmittel mit hoher Effizienz beheben. Allerdings bietet die biometrische Authentisierung beim breiten Einsatz für die unbemerkte Erkennung von Personen in der Öffentlichkeit erhebliche Risiken für die Persönlichkeitsrechte.

14.01.2010