Als Segen gilt, dass die richtig ausgewählte biometrische Lösung in Kombination mit weiteren Sicherheitsfaktoren ein Höchstmaß an Sicherheit bieten kann. Als Fluch hingegen wird die mangelnde Kenntnis und Aufklärung über Biometrie sowie das Risiko des Missbrauchs von biometrischen Daten angesehen. Das Podium bildeten Thomas Bengs, Fujitsu Deutschland, Alexander Nouak, Abteilungs-
leiter Sicherheitstechnologie am Fraunhofer-
Institut für Graphische Datenverarbeitung IGD in Darmstadt, Dr. Waldemar Grudzien, Direktor im Bundesverband deutscher Banken e.V., sowie Stephan Speth von PCS Systemtechnik.
Unwissenheit groß
„Bis vor wenigen Jahren waren biometrische
Lösungen lediglich ein Nischenprodukt, das nur in speziellen Umfeldern Anwendung fand und teilweise noch weit von der Marktreife entfernt war“, beobachtete Stephan Speth, Experte für Zutrittskontrollsysteme, der seit nunmehr zehn Jahren biometrische Systeme bei seinen Kunden implementiert. Heute hingegen wachse der Bedarf an Sicherheitslösungen stetig über alle Marksegmente hinweg und die Terminologie „Identity Management“ gewinnt dabei zunehmend an Bedeutung.
Doch die Unwissenheit über die Funktionsweise und die Einsatzmöglichkeiten neuer biometrischer Identifikationslösungen ist groß ebenso wie die Ängste über den pozentiellen Missbrauch der sensiblen Personendaten. Um das Vertrauen von Unternehmen und Anwendern in Biometrie zu gewinnen, ist eine breite Aufklärung über diese neuartige Technologie notwendig. Darüber sind sich die Sicherheitsexperten einig.
Deutschland
eine Biometriewüste?
Laut Thomas Bengs von Fujitsu ist die Akzeptanz von biometrischen Verfahren in Deutschland im Vergleich zu anderen Ländern besonders niedrig. So werden beispielsweise in
Japan schon länger breitflächig biometrische Handvenenscanner bei Banken erfolgreich zur Identifizierung der Kartenkunden eingesetzt, ebenso im Gesundheitswesen. Auch in Amerika gebe es eine hohe Nachfrage in bestimmten Marktsegmenten. Und selbst in anderen europäischen Ländern scheint es mehr Zustimmung für die Biometrie zu geben als in Deutschland.
Was passiert mit meinen Daten?
Die Sicherheitsrisiken spielen eine wesentliche Rolle. Die zentrale Frage lautet: Was passiert mit den biometrischen Daten? Alexander Nouak vom Fraunhofer-Institut für Graphische Datenverarbeitung IGD meint, hierzu: „Das Problem liegt nicht vor dem Sensor, sondern hinter dem Sensor“. Die Speicherung, Verwendung und Synchronisierung biometrischer Personendaten ist höchst kritisch und löst Bedenken hinsichtlich des Datenschutzes aus. So besteht zum Beispiel die Gefahr des Cross-Matchings: Biometrische Merkmale könnten in verschiedenen Anwendungen miteinander verknüpft werden und darüber hinaus für die Authentifizierung irrelevante Informationen wie etwa ethnische Zugehörigkeit oder Krankheiten enthalten. Es werden deshalb dringend effiziente Methoden zum Schutz gespeicherter biometrischer Daten benötigt, die es auch erlauben, biometrische Referenzdaten ähnlich wie Passwörter zu widerrufen und zu erneuern.
Produktzertifizierungen nach Standards, wie denen der internationalen Sicherheitszertifizierung Common Criteria, bieten dem Anwender die Sicherheit, dass seine biometrischen Daten gegebenenfalls mehrfach verschlüsselt und nicht nachvollziehbar sind, wie im Fall der biometrischen Authentifizierungstechnologie PalmSecurevon Fujitsu. Weitere Unterstützung bieten Whitepaper und Studien von Teletrust e.V., BSI oder der BITKOM. Die Podiumsmitglieder des Roundtables fordern jedoch mehr: Etwa eine einheitliche Zertifizierung des gesamten Authentifizerungsprozesses. „Wir brauchen eine Art TÜV für biometrische Systeme“, forderte Alexander Nouak. Thomas Bengs ergänzte, dass hier neben Branchenverbänden und den Unternehmen vor allem auch der Gesetzgeber gefragt sei.
Doch wie Stephan Speth anführte, sähen die Kunden oft zuerst den Komfortnutzen eines biometrischen Systems. Die Sicherheit spiele dabei nur eine untergeordnete Rolle. Anstatt sich PIN- und Passwörter merken zu müssen, wollten die Kunden einen möglichst einfachen Zugang zu Gebäuden oder IT-Systemen.
Biometrie ist kein Allheilmittel
In der Diskussionsrunde war man sich einig: Biometrie darf nicht als Allheilmittel missverstanden werden. „Vielmehr ist sie vor allem eine Zusatzlösung, um bestehende Verfahren zu ergänzen“, erklärte Thomas Bengs von Fujitsu. Vor allem in Kombination mit anderen Verfahren könne Biometrie das Sicherheitsniveau maßgeblich erhöhen. Andernfalls sei sie vorwiegend nur eine reine Komfortanwendung. Treffendes Beispiel ist hier die bislang verbreitetste Biometrielösung: der Fingerprint. Wie mehrfach bekannt gewordene Missbrauchsvorfälle zeigten, ist er als Sicherheitsanwendung unzureichend. Zu leicht ist heute die Fälschung von Fingerabdrücken.
Bei jeder biometrischen Lösung muss das
Einsatzumfeld genau betrachtet werden. So herrschen beispielweise gegenüber dem Netzhaut- oder Irisscan Vorurteile, die so weitverbreitet sind, dass sie einen Einsatz per se
unmöglich machen. „Die Mehrheit der Anwender hat tatsächlich Angst vor schädlichen Auswirkungen der Verfahren auf die Augen“, berichtet Dr. Waldemar Grudzien und muss somit Banken von einem Einsatz abraten. Die Technologie der 3-D-Gesichtserkennung, welche am Fraunhofer IGD erforscht wird, ist Alexander Nouak zufolge sehr vielversprechend, jedoch noch nicht ganz ausgereift. Sie kann derzeit zum Beispiel noch vom Umgebungslicht beeinflusst werden. Um eine eindeutige Identifikation sicherzustellen hier sind sich die Sicherheitsexperten einig , muss ein biometrisches Verfahren „unter die Haut“ gehen, das heißt, Teile im Körper scannen. Dies geschieht etwa beim Handvenenscan. Die Oberfläche allein ist oftmals nicht hinreichend fälschungssicher.
Einsatz biometrischer Systeme in Deutschland
Ob sich auch in der deutschen Bankenlandschaft biometrische Systeme durchsetzen werden, bleibt abzuwarten. Zum einen habe sich das PIN-System bislang bewährt. Zum anderen sieht Dr. Waldemar Grudzien noch ein großes Problem bei der Verifikation biometrischer
Daten im Massenmarkt, da nicht alle biometrischen Verfahren die spezifischen Sicherheitsanforderungen der Kreditwirtschaft erfüllen können. Mit der Venenbiometrie stünde jedoch ein Verfahren zur Verfügung, das den technischen Ansprüchen zu entsprechen scheint und zudem erhöhte Sicherheit mit einem Komfortgewinn verbindet. Der relativ breite Einsatz dieser Technologie bei japanischen Banken könnte eine
Initialwirkung entfalten.
Die Sicherheitsexperten in Deutschland warten jedenfalls nicht erst auf Anregungen der Regierung. Nach den biometrischen Reisepässen und der elektronischen Gesundheitskarte werden bis Ende 2010 Bankkarten mit einem Chip ver-sehen. Die deutsche Kreditwirtschaft arbeitet derzeit daran, ihr Chipkartenbetriebssystem SECCOS mit einer verfahrensneutralen Biometrieschnittstelle auszustatten. Und dieser Impuls ging von der Industrie selbst aus.