Biometrische Authentifizierungsmethode: Bequem für User, aber eine Herausforderung für Unternehmen
Über 100 verschiedene Konten besitzt ein Durchschnittsverbraucher – und alle benötigen eine Authentifizierungsmethode. Aber mal ehrlich: Könnten Sie sich mehr als 100 Passwörter merken? Sehr wahrscheinlich nicht. Die Lösung vieler User: Einheitspasswörter, die selten gewechselt oder sogar nie gewechselt werden. Das Problem: Knackt ein Hacker ein Passwort, hat er meist auch Zugang zu fast allen anderen Konten.
In Zeiten zunehmender Vernetzung sind skalierbare Authentifizierungsmethoden deshalb gefragt. Neue Möglichkeiten bietet die Identitätsfeststellung über biometrische Merkmale, also physiologische oder verhaltenstypische Eigenschaften einer Person, die diese eindeutig charakterisieren.
Im Trend aber nicht neu
Die Authentifizierung über biometrische Merkmale ist im Trend, aber nicht neu. Bereits in den 70er-Jahren wurden erste Fingerabdruckerkennungen mit dem Aufkommen erster Computersysteme automatisiert.
Biometrische Authentifizierungsmethoden wurden zu Beginn (und auch heute noch) im Bereich der Strafverfolgung, für Terrorismusfahndungen und Grenzkontrollen eingesetzt. Weitere Anwendungsgebiete von biometrische Methoden sind Eintrittskontrollen für Hochsicherheitsbereiche bis hin zur Kontrolle auf Datenbestände.
Die breite Akzeptanz dieser Methoden wurde lange Zeit durch die hohen Kosten der benötigten Geräteausstattung blockiert, sind aber mittlerweile (z.B. Fingerabdruck und Gesichtserkennung) auch im Massenmarkt angekommen. Dafür werden sie in geeigneten Scannern verbaut, darunter z.B. in Smartphones, Tastaturen oder sogar Automobilschlüsseln.
Mittlerweile ist die Identifikation via Fingerabdruck in den meisten Smartphones integriert. (Quelle: ar130405/Pixabay)
Heute gibt es bereits sehr viele Techniken, die für die biometrische Authentifizierung entwickelt wurden. Einige davon sind sicherlich bereits auch in Ihrem Alltag angekommen, manche werden jedoch eher in Unternehmen mit hohen Sicherheitsstufen verwendet, darunter:
- Fingerabdruck: Bei der Authentifizierung mithilfe des Fingerabdrucks werden in wenigen Millisekunden die Linienverläufe, Schlingen sowie Verzweigungen des Fingerabdrucks durch Sensoren gescannt, die so genannten Minutien. Um einem Menschen eindeutig einen Fingerabdruck zuzuordnen, reichen bereits 14 Minuten aus. Die Identifikation durch den Fingerabdruck findet unter der Bevölkerung immer mehr Akzeptanz und kommt daher auch immer mehr im Massenmarkt an. Heute gibt es viele Smartphones und andere Geräte, die sich z.B. einfach durch den Fingerabdruck entsperren lassen.
- Handgeometrie: Mit dieser Authentifizierungstechnik wird die Geometrie der Hand, besonders die Fingerlänge der zu authentifizierenden Person gemessen. Eingesetzt wird diese Methode z.B. auf dem New Yorker Flughafen: Dort können sich Geschäftsreisende, die häufiger in die USA fliegen, mittels Handgeometrie schnell authentifizieren und sparen sich dadurch das Anstehen. Sie besitzen eine Smartcard, die den Referenzwert ihrer Handgeometrie enthält und ihre Hand bei der Einreise nur noch auf das Lesegerät legen, das den aktuellen und den gespeicherten Wert vergleicht.
- Iris und Retina: Bei diesen Systemen werden 266 charakteristische Attribute gemessen, die bei jeder Person in höchst unterschiedlich sind. Dafür wird die Regenbogenhaut mit einer Videokamera aus einem sehr kurzen Abstand aufgenommen und die entsprechenden Charakteristika abgeleitet.
- Gesichtserkennung: Bei dieser Authentifizierungsmethode erfolgt eine Identifikation anhand der Gesichtszüge einer Person. In vielen Smartphones und mobilen Endgeräten wird dies bereits eingesetzt. Aufgrund von veränderten Merkmalen (z.B. andere Frisuren, Mimik, Brillen) kann eine Authentifizierung jedoch nicht immer funktionieren. Aus diesem Grund werden meist mehrere Referenzwerte unter verschiedenen Umständen mit einer Videokamera aufgenommen.
- Handvene: Eine neuere Methode ist die Registrierung durch Handvenen. Dabei wird die Venenstruktur der Hand vom Scanner mithilfe eines Infrarotstrahls gemessen und mit anschließend mit einem hinterlegten Muster verglichen.
- Stimme: Bei der Stimmerkennung wird die Tonvibration gemessen. Diese werden mit bereits bestehenden Mustern abgeglichen. Zu diesem Zweck müssen die zu authentifizierenden Personen festgelegte Passwörter oder bestimmte Sätze meist im Vorhinein einsprechen, damit ein späterer Vergleich erfolgen kann.
Stimmbiometrie im Boom
Diese Methode erlebt seit ungefähr zwei Jahren einen Aufwärtstrend, auch wenn die Stimmbiometrie vielerorts noch Skepsis erntet. Dabei hat die Authentifizierung über die eigene Stimme zahlreiche Vorteile, da sie praktisch immer verfügbar ist – und man sich keine 100 Passwörter merken muss.
Eingesetzt wird die Stimmbiometrie mittlerweile in vielen Bereichen. Denkt man beispielsweise an Alexa oder Siri wird einem bewusst, wie sehr die Spracherkennung zur Interaktion mit dem Internet of Things bereits im Alltag eingesetzt wird. Auch bei Contact Centern am Telefon wird die Spracherkennung genutzt, um – vor allem bei Banken wie Barclays oder Santander – die Stimme als Ersatz zum Passwort zu nutzen.
Zunehmende Vernetzung erfordert neue Authentifizierungsmethoden. (Quelle: HeikoAL/Pixabay)
Patentanmeldung zur Stimmerkennung von Apple
Auch Apple ist auf den fahrenden Zug aufgesprungen und hat sich neben Touch ID und Face ID nun eine zusätzliche Methode patentieren (http://patft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.htm&r=1&f=G&l=50&s1=10102359.PN.&OS=PN/10102359&RS=PN/10102359) lassen, um ein iPhone entsperren zu können. Bei dem Patent von Apple handelt es sich um einen textunabhängigen Stimmabdruck des Users, der über dessen individuelle Sprecheigenschaften gebildet wird. Es ist also somit kein Sprachkommando nötig, allein das natürliche Sprechen soll bereits der Stimmerkennung dienen. Treten dabei Probleme auf, können alternative Entsperrmethoden genutzt werden. Ob und wann die Stimmerkennung von Apple in iOS implementiert wird, bleibt bis heute allerdings noch abzuwarten.
Sicherheit der biometrischen Authentifizierung
Doch wie sicher sind biometrischen Daten eigentlich? Hierzu gibt es viele Diskussionen, denn anders als Passwörter sind biometrische Verfahren natürlich schwerer zu fälschen. Auch lassen sich moderne Gesichtsscanner nicht mehr so leicht täuschen, denn mittlerweile wird erkannt, ob ein Foto vor die Kamera gehalten wird oder die echte Person in 3D vor dem Gerät sitzt. Wird also im Zuge einer 2-Faktor-Authentifizierung eine zusätzliche Methode verwendet, ist diese Methode in ihrer Sicherheit kaum zu toppen. Zudem ist die Identifizierung über biometrische Daten für die User sehr bequem, denn sie müssen nur ihr Gesicht vor die Kamera halten oder den Finger scannen lassen, um sich schnell und unkompliziert in ihren Konten anmelden zu können.
Von der breiten Masse werden die Verfahren nur dann nicht mehr akzeptiert, wenn die Verfahren zu komplex sind. Muss beispielsweise zusätzlich zu einer Gesichtserkennung noch ein Passwort und eine zusätzliche TAN eingegeben werden, wird es für den Benutzer schnell kompliziert. Ein weiterer Punkt ist die Sensibilität der Daten. Herzschläge oder Stimmaufzeichnungen sind sehr vertrauliche Informationen, die viele User nur ungern preisgeben. Auch ist der Arbeitsplatz ein sensibler Bereich, an dem das informelle Selbstbestimmungsrecht gefährdet sein kann, wenn biometrische Geräte (beispielsweise mit Videokamera) beispielsweise zur unbemerkten, allgemeinen Mitarbeiterüberwachung missbraucht werden. Weiterhin könnten durch die zusätzlichen Informationen, durch die Aufzeichnung der Geräte, möglicherweise Rückschlüsse auf Krankheiten wie Bluthochdruck oder Diabetes gezogen werden.
Herausforderungen für Unternehmen
Unternehmen, die biometrische Mechanismen zur Authentifizierung nutzen möchten (sei es zur Kunden- oder auch Mitarbeiteridentifizierung), stehen meist vor Herausforderungen. Denn gerade KMU haben meist nicht das passende Know-How für derartige Prozesse. Um biometrische Authentifizierung im Unternehmen etablieren zu können, müssten sie mit einem externen Dienstleister zusammenarbeiten, was wiederum zu einer Kostenfrage führt.
Eine weitere Hürde stellt die seit Mai 2018 erneuerte Datenschutzgrundverordnung dar. Seither dürfen Daten nur noch nach bestimmten Richtlinien und besonders sparsam gespeichert werden. So dürfte die Speicherung von sensiblen Daten wie Fingerabdrücken oder Stimmen dann nicht in Klardaten erfolgen. Gespeichert werden dürfte nur, ob es sich wirklich um einen Kunden oder Mitarbeiter handelt. Außerdem müsste sichergestellt werden, dass die Daten nicht in einfach zugänglichen und hackbaren Datenbanken abgelegt werden. Ansonsten könnte schnell ein ungutes Gefühl bei Mitarbeitern oder Kunden ausgelöst werden, was wiederum zu einem möglichen Vertrauensbruch führen könnte. Für eine gute Geschäftsbeziehung ist Vertrauen aber in jeden Unternehmen essentiell.
Fazit: Die Erfassung der Identität mit biometrischen Daten bietet viele Vorteile im Bereich der Sicherheit und ist auf dem Vormarsch. Auch die Akzeptanz in der Gesellschaft steigt an. Ob und wie sich biometrische Verfahren sinnvoll einsetzen lassen, muss im Unternehmen, wie bei jedem Authentifizierungsverfahren, geprüft werden. Die Eignung von den jeweiligen Verfahren und Mechanismen hängt natürlich von den vorhandenen Sicherheitsanforderungen im Unternehmen ab. Nicht für jedes kleine Unternehmen ist eine Authentifizierung anhand biometrischer Daten notwendig und sinnvoll. Für die meisten Unternehmen reicht bereits eine einfachere Zugangskontrolle sowie Authentifizierung.